O RGPD e a CIBERSEGURANÇA

O RGPD obriga ao "Compliance" nas seguintes áreas – a Crowe em Portugal tem soluções para assegurar o seu cumprimento.

 

Abrangência territorial

O Regulamento é aplicável ao processamento de dados pessoais provenientes da UE, quer o processamento tome lugar dentro ou fora da União Europeia.

Minimização de dados

Os dados pessoais armazenados devem ser adequados, relevantes, e limitados ao estritamente necessário para o propósito do seu processamento.

Direito de acesso aos dados

Quando requerido, o responsável pelos dados pessoais deve fornecer ao proprietário uma cópia de todos os seus dados pessoais a serem processados.

Direito a ser esquecido

O proprietário dos dados tem direito à eliminação total e atempada dos mesmos quando solicitado. Deve também ser garantido ao nível da segurança ou seja, depois de os dados do titular serem eliminados os mesmo não podem voltar a surgir em listas de marketing direto.

Proteção de dados by design

No momento da determinação da forma de processamento o responsável pelos dados pessoais, deve implementar medidas técnicas apropriadas para garantir a proteção dos dados.

Garantia de processadores

O responsável pelos dados pessoais deve apenas usar processadores que ofereçam garantias suficientes para a implementação de medidas técnicas e organizacionais adequadas.

Registo de atividades

Cada responsável pelos dados pessoais tem a obrigação de manter um registo das atividades de processamento. Este registo deve conter os recipientes com os quais os dados pessoais foram ou serão partilhados.

Encriptação de dados

O responsável pelos dados pessoais e o processador devem implementar encriptação de todos os dados pessoais.

Testes de segurança regulares

O responsável pelos dados pessoais e o processador devem implementar um processo regular de teste, auditoria e avaliação da eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento de dados.

Notificação de quebras de segurança

Todas as quebras de segurança de dados pessoais devem ser notificadas à autoridade de proteção de dados.

Notificação detalhada de quebras de segurança

No caso de uma quebra de segurança, o relatório emitido deve descrever em detalhe a natureza da mesma, incluindo, quando possível, as categorias e o número aproximado de indivíduos afetados.

Capacidade de investigação - Deteção de ameaças em tempo (quase) real

Todas as quebras de segurança de dados pessoais devem ser comunicadas à autoridade de proteção de dados em menos de 72 horas, incluindo os factos, as suas consequências e as medidas tomadas para remediar a situação.

Glossário | RGPD

Autoridade de controlo

Autoridade pública independente criada por um Estado-Membro.

Consentimento do titular dos dados

Manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.

Dados Biométricos

Qualquer informação resultante de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos.

Dados Genéricos

Qualquer informação relativa às características genéticas, hereditárias ou adquiridas, de uma pessoa singular que deem informações únicas sobre a fisiologia ou a saúde dessa pessoa singular e que resulta designadamente de uma análise de uma amostra biológica proveniente da pessoa singular em causa.

Dados Pessoais

Qualquer informação, de qualquer natureza e independentemente do respetivo suporte, incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável (”titular dos dados”); é considerada identificável a pessoa que possa ser identificada direta ou indiretamente, designadamente por referência a um identificador como o nome, número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da sua identidade física, fisiológica, mental, económica, cultural ou social.

Dados Relativos à Saúde

Qualquer informação relacionada com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde.

Definição de perfis

Qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações.

Destinatário

Pessoa singular ou coletiva, a autoridade pública, o serviço ou qualquer outro organismo a quem sejam comunicados os dados pessoais, independentemente de se tratar ou não de um terceiro, sem prejuízo de não serem consideradas destinatários as autoridades a quem sejam comunicados dados no âmbito de uma disposição legal.

Encarregado de Proteção de Dados/EPD ("DPO - Data Protection Officer")

Pessoa designada pela organização que estará envolvida em todas as questões relacionadas com a proteção de dados pessoais. Esta função deve ser atribuída sempre que o processamento for levado a cabo por uma entidade pública; se verifique a monitorização constante de indivíduos em larga escala; ou exista processamento de dados sensíveis em larga escala. As principais funções do encarregado de proteção de dados envolvem informar e aconselhar a empresa sobre a conformidade da proteção de dados; aconselhar sobre a avaliação do impacto da proteção de dados; monitorizar a conformidade da proteção de dados, que inclui, por exemplo, formar a equipa e realizar auditorias relacionadas com esta área; e cooperar e atuar como ponto de contacto com as autoridades de proteção de dados.

Empresa

Pessoa singular ou coletiva que, independentemente da sua forma jurídica, exerce uma atividade económica, incluindo as sociedades ou associações que exercem regularmente uma atividade económica.

Ficheiro

Qualquer conjunto estruturado de dados pessoais, acessível segundo critérios específicos, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico.

Grupo empresarial

Grupo composto pela empresa que exerce o controlo e pelas empresas controladas.

Limitação do Tratamento

Inserção de uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro.

Objeção pertinente e fundamentada

Objeção a um projeto de decisão que visa determinar se há violação do presente regulamento ou se a ação prevista relativamente ao responsável pelo tratamento ou ao subcontratante está em conformidade com o presente regulamento, demonstrando claramente a gravidade dos riscos que advêm do projeto de decisão para os direitos e liberdades fundamentais dos titulares dos dados e, eventualmente, para a livre circulação de dados pessoais no território da União.

Organização internacional

Uma organização e os organismos de direito internacional público por ela tutelados, ou outro organismo criado por um acordo celebrado entre dois ou mais países ou com base num acordo dessa natureza.

Pseudonimização

Tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável.

Regras vinculativas aplicáveis às empresas

Regras internas de proteção de dados pessoais aplicadas por um responsável pelo tratamento ou um subcontratante estabelecido no território de um Estado-Membro para as transferências ou conjuntos de transferências de dados pessoais para um responsável ou subcontratante num ou mais países terceiros, dentro de um grupo empresarial ou de um grupo de empresas envolvidas numa atividade económica conjunta.

Representante

Pessoa singular ou coletiva estabelecida na União que, designada por escrito pelo responsável pelo tratamento ou subcontratante, representa o responsável pelo tratamento ou o subcontratante no que se refere às suas obrigações respetivas nos termos do presente regulamento.

Subcontratante

Pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes.

Tratamento

Qualquer operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.

Terceiro

Pessoa singular ou coletiva, a autoridade pública, o serviço ou qualquer outro organismo que, não sendo o titular dos dados, o responsável pelo tratamento, o subcontratante ou outra pessoa sob autoridade direta do responsável pelo tratamento ou do subcontratante, esteja habilitado a tratar os dados.

Violação de dados pessoais

Violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.

 

Voltar >