Tudo o que precisa de saber sobre o RGPD. Guia para a aplicação do Regulamento Geral de Proteção de Dados com soluções AIRC

(1)

Tudo o que precisa de

saber sobre o RGPD

Guia para a aplicação do

Regulamento Geral de

Proteção de Dados com

soluções AIRC

(2)

AIRC, 2018 Página 2 de 12

Índice

1. CONHEÇA O IMPACTO DO RGPD NA SUA ORGANIZAÇÃO ... 3

2. O QUE É O REGULAMENTO GERAL DE PROTEÇÃO DE DADOS (RGPD)? ... 3

2.1 O QUE É O RGPD? ... 3

2.2 A QUEM SE APLICA? ... 3

2.3 O QUE VAI MUDAR?QUAIS AS NOVAS OBRIGAÇÕES? ... 3

2.4 A PARTIR DE QUANDO DEVERÁ SER APLICADO? ... 4

3. SOLUÇÕES AIRC E CUMPRIMENTO DO RGPD ... 5

3.1 A RESPONSABILIDADE DE CUMPRIR O RGPD É DA AIRC OU DOS CLIENTES DA AIRC? ... 5

3.2 AS SOLUÇÕES (APLICAÇÕES INFORMÁTICAS) DA AIRC ESTÃO PREPARADAS PARA O RGPD? ... 5

3.3 AS AVALIAÇÕES DE IMPACTO (PIA) SOBRE DADOS PESSOAIS, A SEREM REALIZADAS PELOS CLIENTES, DEVEM TER DOCUMENTAÇÃO SOBRE AS APLICAÇÕES AIRC QUE UTILIZEM? ... 6

3.4 QUAL O APOIO E ACONSELHAMENTO QUE ESTÃO A PREPARAR PARA PRESTAR AO CLIENTE SOBRE RGPD? ... 7

3.5 QUE DIREITOS DOS TITULARES DOS DADOS ESTARÃO GARANTIDOS PELAS SOLUÇÕES DA AIRC? ... 7

4. PRINCIPAIS QUESTÕES POR PARTE DOS NOSSOS CLIENTES ... 8

4.1 QUAIS AS RECOMENDAÇÕES ESTRATÉGICAS QUE ESTÃO A TRABALHAR COM O CLIENTE NO SENTIDO DE GARANTIR, DEMONSTRAR E FACILITAR A CONFORMIDADE? ... 8

4.2 VÃO CRIAR ALGUMA DOCUMENTAÇÃO, INCLUINDO O DIAGRAMA DE FLUXO DE INFORMAÇÃO, QUE FACILITE AO CLIENTE A DEMONSTRAÇÃO DE CONFORMIDADE NAS AUDITORIAS? ... 8

4.3 QUAIS AS MEDIDAS QUE ESTÃO A IMPLEMENTAR NO ERPAIRC SOBRE RGPD? ... 8

4.4 TÊM ALGUMA DATA DE LANÇAMENTO DE UPDATES SOBRE RGPD NO VOSSO ROADMAP DO ERPAIRC? ... 9

4.5 QUAIS AS MEDIDAS DE “PRIVACY BY DESIGN AND BY DEFAULT” QUE ESTÃO A IMPLEMENTAR NO ERPAIRC? ... 9

4.6 ESTÃO A TOMAR MEDIDAS QUE FACILITEM O TRATAMENTO ADEQUADO DOS ATRIBUTOS DE DADOS PESSOAIS SENSÍVEIS? ... 9

4.7 ESPERAM CRIAR ALGUM DESENVOLVIMENTO OU MÓDULO QUE FACILITE A AUDITORIA DA INFORMAÇÃO, NOMEADAMENTE A CATEGORIZAÇÃO DE DADOS PESSOAIS SENSÍVEIS? ... 10

4.8 ESTÃO A MELHORAR DE ALGUMA FORMA O SUPORTE À OBTENÇÃO DE CONSENTIMENTO PELO CIDADÃO E RESPETIVOS REGISTO E RASTREABILIDADE? ... 10

(3)

1. CONHEÇA O IMPACTO DO RGPD NA SUA ORGANIZAÇÃO

A entrada em vigor do Regulamento Geral de Proteção de Dados (RGPD), a partir do dia 25 de maio de 2018, irá trazer alterações ao tratamento de dados pessoais por parte dos organismos da administração pública.

A AIRC preparou um conjunto de respostas para as principais questões colocadas por parte dos nossos Clientes. Conheça como as soluções AIRC o podem auxiliar a cumprir o RGPD.

2. O QUE É O REGULAMENTO GERAL DE PROTEÇÃO DE DADOS (RGPD)?

2.1 O que é o RGPD?

O RGPD (Regulamento Geral de Proteção de Dados) ou GDPR (General Data Protection Regulation) é um Regulamento Europeu (EU 2016/679) que estabelece as regras referentes à proteção, tratamento e livre circulação de dados pessoais das pessoas singulares em todos os países membros da União Europeia, e visa harmonizar a legislação existente nos Estados-Membros, criando as bases para o mercado único digital.

Sendo de aplicação direta em cada um dos países da União Europeia (dado ser um Regulamento e não uma Diretiva), o RGPD entrará em vigor a partir do dia 25 de maio de 2018.

Aguarda-se, contudo, a publicação de legislação portuguesa que enquadre a aplicação do RGPD, mas, embora seja legislação necessária para facilitar a aplicação do mesmo, não poderá impedir, nunca, a sua aplicação genérica em Portugal.

2.2 A quem se aplica?

Esta legislação aplica-se a todas as organizações estabelecidas em território da União Europeia e àquelas que, estando localizadas fora da UE, tratem dados de titulares aí residentes, desde que comercializem os seus produtos/serviços (a título oneroso ou gratuito) ou monitorizem comportamentos que ocorram dentro da UE.

2.3 O que vai mudar? Quais as novas obrigações?

Nos termos do RGPD, as obrigações dos responsáveis pelo tratamento de dados pessoais (no que concerne aos clientes da AIRC, todos os que utilizam as nossas aplicações, em especial, os Municípios) deixam de ter de requerer o registo dos tratamentos de dados pessoais junto da CNPD (Comissão Nacional de Proteção de Dados) passando a estar sujeitos a inspeções dessa entidade para verificação da conformidade com o RGPD.

(4)

AIRC, 2018 Página 4 de 12 Esta alteração da função preventiva para uma função inspetiva/punitiva da CNPD acarreta uma alteração significativa das obrigações dos responsáveis pelo tratamento de dados, nomeadamente, no caso dos Municípios:

 Esclarecer e proporcionar formação aos funcionários acerca das normas do RGPD;

 Informar os titulares de dados pessoais, no momento da recolha dos dados, dos seus direitos e do fundamento de recolha dos mesmos;

 Apenas nos casos em que a recolha não se fundamente no uso de autoridade pública (por exemplo, processos de licenciamento), no cumprimento de contratos (por exemplo, fornecimento de água) ou na proteção de interesses essenciais do responsável (por exemplo, videovigilância), será necessário recolher e documentar a recolha do consentimento efetivo (não pode ser tácito) do titular de dados;

 Definir os tratamentos de dados realizados, mapear e categorizar os dados pessoais recolhidos e tratados, em especial dados sensíveis e de menores, e documentar esses tratamentos;

 Adotar mecanismos de segurança dos dados pessoais;

 Nomear o Encarregado de Proteção de Dados (EPD) [ou Data Protection Officer (DPO)] que deverá ser responsável por verificar o processo de conformidade dos processos e da documentação dos mesmos dentro do Município;

 Avaliar a necessidade de elaboração de um Privacy Impact Assessement (PIA), ou seja, um documento que avalia o impacto no tratamento dos dados pessoais, e respetiva monitorização.

o Esse documento deverá conter uma avaliação de risco sobre a tecnologia e sobre os processos que suportam o tratamento de informação pessoal na organização, bem como a identificação das medidas a adotar para minimizar os possíveis riscos detetados;

 Criar automatismos que simplifiquem a conformidade com o RGPD;

 No caso de deteção de violação de dados pessoais, comunicar às autoridades reguladoras e, em determinadas circunstâncias, aos respetivos titulares dos dados a ocorrência de incidentes de violação de dados, no prazo de 72h, após ser conhecida essa violação.

O não cumprimento do RGPD pode levar à aplicação de coimas (multas) num valor que pode ascender a 20 milhões de euros, sendo que é possível que a legislação nacional defina se e em que circunstâncias essas coimas se aplicam à administração pública nacional.

Nos termos do disposto no n.º 7 do artigo 83.º do RGPD – que permite a possibilidade de cada estado-membro determinar se e em que medida as coimas podem ser aplicadas às autoridades e organismos públicos estabelecidos no seu território – está prevista (Proposta de Lei n.º 120/XIII, aprovada em Conselho de Ministros de 22 de março de 2018) a não aplicação às entidades públicas das coimas previstas no RGPD. Não obstante, as entidades públicas estão sujeitas aos poderes de correção da CNPD, tal como previstos no RGPD.

2.4 A partir de quando deverá ser aplicado?

Após 4 anos de discussão, o RGPD foi publicado a 27 de abril de 2016 e entrou em vigor em maio de 2016. O diploma prevê um período de transição de 2 anos até à implementação total, com aplicação a partir de 25 de maio de 2018.

(5)

AIRC, 2018 Página 5 de 12 No âmbito da Resolução do Conselho de Ministros n.º 41/2018, aprovada no passado dia 22 de março, ficaram definidas as orientações técnicas para a Administração Pública em matéria de arquitetura de segurança das redes e sistemas de informação relativos a dados pessoais.

Com a presente resolução, pretende-se preparar a Administração Pública para lidar, no plano tecnológico, com as novas exigências em matéria de tratamento de dados. São definidos requisitos técnicos, obrigatórios ou recomendados, para as redes e sistemas de informação da administração direta ou indireta do Estado, bem como se estabelece um prazo máximo de 18 meses, a contar da data da entrada em vigor do RGPD (i.e., 25 de maio de 2018) para a implementação das referidas orientações técnicas.

Ou seja, ainda que o prazo da aplicação do RGPD para a generalidade das organizações que se encontram estabelecidas no território da União Europeia tenha como data limite o dia 25 de maio de 2018, o governo português, em sede da capacidade que lhe é conferida neste âmbito e, considerando a complexidade que envolve a aplicação do RGPD nos organismos da administração pública, decidiu conceder àqueles um prazo adicional de 18 meses para a completa adoção e cumprimento do regulamento.

3. SOLUÇÕES AIRC E CUMPRIMENTO DO RGPD

3.1 A responsabilidade de cumprir o RGPD é da AIRC ou dos Clientes da AIRC?

Em primeiro lugar, é necessário esclarecer que a AIRC será sempre um subcontratado do responsável pelo tratamento de dados pessoais para o RGPD (os nossos Clientes), embora tenha obrigações de apoio e documentação destes.

Neste sentido, a AIRC não é responsável pela definição dos tratamentos, das suas finalidades, dos dados recolhidos, cumprimento de obrigações de informação ao titular dos dados ou mesmo recolha e documentação dos consentimentos, na eventualidade destes serem necessários para legitimar os tratamentos efetuados.

Em suma, a responsabilidade perante o RGPD é sempre, em primeira linha, dos nossos Clientes, pois as nossas soluções são meras ferramentas auxiliares para o desempenho das funções e prossecução das finalidades por eles definidas.

3.2 As soluções (aplicações informáticas) da AIRC estão preparadas para o RGPD?

Apesar de não ter responsabilidade direta pelos tratamentos de dados decididos pelos nossos Clientes, a AIRC apresenta soluções que permitem aos seus Clientes cumprir adequadamente, com o mínimo de esforço possível, algumas das obrigações a que estão sujeitas no âmbito do RGPD.

(6)

AIRC, 2018 Página 6 de 12 Nomeadamente as nossas soluções vão estar preparadas para:

a) Assegurar a rastreabilidade de qualquer violação de dados (destruição, alteração ou consulta indevidas) que sejam guardados nas nossas aplicações (desde que para isso sejam devidamente configuradas (ou nos solicitem tal configuração);

b) Assegurar a portabilidade dos dados, o direito à consulta e à retificação dos dados (mediante processos que devem ser definidos pelo Cliente);

c) Assegurar a pesquisa (em todas as soluções AIRC), de modo a detetar os dados pessoais registados e garantir o acesso apenas por quem tiver os perfis adequados para tal (de acordo com a definição de papéis e acessos que o Cliente entender);

d) Nas situações em que seja necessário extrair uma cópia da base de dados, permitir a possibilidade (caso o Cliente assim o decida) de anonimizar imediatamente os dados pessoais, garantindo o total respeito pelas normas do RGPD, sem grande esforço;

e) Eliminar os dados marcados como tendo o consentimento do titular como único fundamento do tratamento.

3.3 As avaliações de impacto (PIA) sobre dados pessoais, a serem realizadas pelos Clientes, devem ter documentação sobre as aplicações AIRC que utilizem?

Sim.

A pedido dos Clientes, no âmbito de avaliações de impacto que entendam realizar nos termos definidos no RGPD, a AIRC colaborará com os encarregados de proteção de dados nomeados e irá disponibilizar informação técnica sobre todas as soluções que comercializa, necessária à descrição da tecnologia utilizada e da sua segurança (em todos os aspetos que não dependam das situações específicas do Cliente), assim como documentação sobre os dados pessoais que podem ser guardados e consultados através das aplicações AIRC.

Reforça-se, contudo, que as aplicações AIRC são ferramentas que os Clientes usam nas suas atividades. Embora estas estejam feitas à imagem das necessidades dos Clientes, a AIRC não é responsável por documentar quem tem legitimidade para as usar, qual o seu perfil, nem as ordens de serviço/processos definidos pelos Clientes para que as aplicações sejam utilizadas no âmbito dos tratamentos de dados definidos pelo Cliente.

Em suma: Como as obrigações de documentação e de segurança organizacional, física e lógica (informática) do RGPD são, em primeira linha do nosso Cliente, a AIRC pode auxiliar caso nos seja solicitado.

Contudo, caso não nos seja solicitado nenhum apoio em particular, a nossa única obrigação, como subcontratado dos nossos Clientes, é a de dar informação técnica sobre as funcionalidades e segurança das aplicações, não podendo responder nem documentar nenhuma atividade que seja definida por ou da responsabilidade do Cliente.

(7)

AIRC, 2018 Página 7 de 12 3.4 Qual o apoio e aconselhamento que estão a preparar para prestar ao Cliente sobre RGPD? Como referido na pergunta 3.3., como as obrigações de documentação e de segurança organizacional, física e lógica (informática) do RGPD são, em primeira linha do nosso Cliente, a AIRC pode auxiliar caso nos seja solicitado.

Estamos preparados, face às questões concretas que nos coloquem, para dar apoio no que for necessário (em especial no que respeita a implementação de medidas técnicas, documentação de segurança informática e/ou de definição de processos), contudo esse apoio deve ser contextualizado pelo encarregado de proteção de dados do Cliente, consoante as necessidades de cada um que tenham sido identificadas nas avaliações efetuadas, e pode carecer de contratação autónoma.

Contudo, caso não nos seja solicitado nenhum apoio em particular, a nossa única obrigação, como subcontratado dos nossos Clientes, é a de dar informação técnica sobre as funcionalidades e segurança das aplicações, não podendo responder nem documentar nenhuma atividade que seja definida por ou da responsabilidade do Cliente.

3.5 Que direitos dos titulares dos dados estarão garantidos pelas soluções da AIRC?

Apesar de não ter responsabilidade direta pelos tratamentos de dados decididos pelos nossos Clientes, e, consequentemente, pela forma como serão garantidos os direitos dos titulares dos dados, a AIRC apresenta soluções que permitem aos Clientes cumprir adequadamente, com o mínimo de esforço possível, algumas das obrigações a que estão sujeitas no âmbito do RGPD.

Nomeadamente as nossas soluções vão estar preparadas para:

a) Assegurar a rastreabilidade de qualquer violação de dados (destruição, alteração ou consulta indevidas) que sejam guardados nas nossas aplicações (desde que para isso sejam devidamente configuradas (ou nos solicitem tal configuração);

d) Nas situações em que seja necessário extrair uma cópia da base de dados, permitir a possibilidade (caso o Cliente assim o decida) de anonimizar imediatamente os dados pessoais, garantindo o total respeito pelas normas do RGPD, sem grande esforço;

e) Eliminar os dados marcados como tendo o consentimento do titular como único fundamento do tratamento.

(8)

4. PRINCIPAIS QUESTÕES POR PARTE DOS NOSSOS CLIENTES

4.1 Quais as recomendações estratégicas que estão a trabalhar com o Cliente no sentido de garantir, demonstrar e facilitar a conformidade?

A principal recomendação estratégica que efetuamos é a de o nosso Cliente nomear o mais rapidamente possível o encarregado de proteção de dados e fazer avaliações de conformidade com o RGPD e de risco para a proteção de dados pessoais.

No que concerne às nossas aplicações, e no âmbito dessas avaliações que devem ser realizadas pelos Clientes, estaremos sempre disponíveis para fornecer a informação técnica necessária e solicitada, sendo certo que as nossas aplicações cumprem as exigências técnicas e de segurança adequadas ao cumprimento do RGPD.

4.2 Vão criar alguma documentação, incluindo o diagrama de fluxo de informação, que facilite ao Cliente a demonstração de conformidade nas auditorias?

No âmbito das aplicações da AIRC apenas o MyDoc permite a definição pelo Cliente de “fluxos de informação” geridos pela aplicação.

Para além das questões técnicas que documentamos nos nossos manuais (nomeadamente, quem define, com que perfil e quais os processos definidos), que estão já ao dispor dos Clientes, podemos auxiliar no que nos for solicitado para poderem extrair da aplicação as informações de configuração desses fluxos de informação que entendam necessárias à documentação.

No que se refere às outras aplicações, as mesmas não contêm “workflows” pelo que não há, definido na aplicação, nenhum fluxo de informação da responsabilidade da AIRC. Assim, como o uso está documentado nos manuais, podemos auxiliar, a pedido do Cliente e nos termos definidos no ponto 3.4.

4.3 Quais as medidas que estão a implementar no ERP AIRC sobre RGPD?

Apesar de não ter responsabilidade direta pelos tratamentos de dados decididos pelos nossos Clientes, a AIRC apresenta soluções que permitem aos Clientes cumprir adequadamente, com o mínimo de esforço possível, algumas das obrigações a que estão sujeitas no âmbito do RGPD.

(9)

AIRC, 2018 Página 9 de 12 a) Assegurar a rastreabilidade de qualquer violação de dados (destruição, alteração ou consulta indevidas)

que sejam guardados nas nossas aplicações (desde que para isso sejam devidamente configuradas (ou nos solicitem tal configuração);

f) Nas situações em que seja necessário extrair uma cópia da base de dados, permitir a possibilidade (caso o Cliente assim o decida) de anonimizar imediatamente os dados pessoais, garantindo o total respeito pelas normas do RGPD, sem grande esforço;

g) Eliminar os dados marcados como tendo o consentimento do titular como único fundamento do tratamento.

4.4 Têm alguma data de lançamento de updates sobre RGPD no vosso roadmap do ERP AIRC? O planeamento das alterações necessárias para permitir as funcionalidades referidas nos pontos 3.2 e 4.3 está a ser finalizado e avançaremos com o calendário específico dos “updates” assim que possível.

4.5 Quais as medidas de “Privacy by Design and by Default” que estão a implementar no ERP AIRC?

As nossas aplicações têm, desde o início, um processo de conceção que envolve a verificação de fatores de conformidade com a legislação em vigor, assim como com as necessidades dos nossos Clientes, quer seja ao nível da rastreabilidade das potenciais violações quer seja ao nível da proteção dos dados.

Neste momento, e no que depende do software, todas cumprem as exigências mínimas do RGPD no âmbito da segurança dos dados.

Os nossos processos de desenvolvimento aplicacional terão, desde o início, o acompanhamento do nosso Encarregado de Proteção de Dados e o mesmo dará os pareceres necessários para que as alterações só possam ser colocadas em implementação após verificação da sua conformidade com o RGPD.

4.6 Estão a tomar medidas que facilitem o tratamento adequado dos atributos de dados pessoais sensíveis?

Sim. Todos os dados pessoais sensíveis, nos termos do RGPD, que possam ser guardados e consultados nas nossas aplicações, estão identificados como tal e serão desenvolvidas medidas específicas necessárias à proteção dos mesmos (nomeadamente quanto aos perfis de utilizadores que podem ter acesso aos mesmos

(10)

AIRC, 2018 Página 10 de 12 dada a necessidade que tenham de os consultar).

Também no que respeita à possibilidade de limitação do tratamento ou apagamento dos mesmos após o prazo de conservação definido ou a pedido legítimo dos titulares, serão desenvolvidas soluções que permitem a implementação dessas medidas de forma mais fácil do que a possível hoje.

4.7 Esperam criar algum desenvolvimento ou módulo que facilite a auditoria da informação, nomeadamente a categorização de dados pessoais sensíveis?

Sim. As nossas aplicações vão assegurar a portabilidade dos dados, o direito à consulta e à retificação dos dados (mediante processos que devem ser definidos pelo Cliente). Nessas funcionalidades estarão marcados os dados pessoais considerados sensíveis.

Todos os acessos, alterações e destruição de dados sensíveis estarão, por defeito, guardados nos “logs” das bases de dados, e de forma adequada.

4.8 Estão a melhorar de alguma forma o suporte à obtenção de consentimento pelo cidadão e respetivos registo e rastreabilidade?

Em primeiro lugar, a maioria dos tratamentos de dados não está sujeito à obtenção do consentimento, principalmente, na situação em que há contratos (fornecimento de água) ou exercício de poderes públicos (licenciamentos, taxas, requerimentos, etc.)

Note-se que a legitimidade dos tratamentos de dados pessoais no âmbito do RGPD tem várias fontes. Nos termos do artigo 6.º do RGPD

“O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:

a) O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;

b) O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados;

c) O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;

d) O tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular;

e) O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento;

(11)

AIRC, 2018 Página 11 de 12 f) O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo

tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.

Contudo, as aplicações da AIRC terão a identificação, no momento do preenchimento de dados pessoais, se o tratamento dos mesmos tem como fundamento ou não o consentimento do titular.

Com essa indicação poderá, depois, ser efetuada qualquer operação que decorra desse facto (esquecimento, retirada do consentimento, limitação do tratamento, por exemplo).

4.9 Quais os desenvolvimentos que facilitam a gestão da retenção da informação?

Em primeiro lugar, é necessário ter em conta que o direito à eliminação de dados no âmbito de Autarquias Locais (que compõem a grande maioria dos Clientes da AIRC) tem limitações decorrentes de obrigações legais (Decreto -Lei n.º 16/93, de 23 de Janeiro e Portaria n.º 412/2001, de 17 de Abril).

Assim sendo, caberá a cada Cliente verificar se estão ou não cumpridos os requisitos legais que permitem o apagamento de dados.

Contudo, a AIRC irá desenvolver, para certas categorias de documentos e dados, a possibilidade de definição, pelo Cliente, do período de retenção, sendo que o apagamento efetivo carecerá sempre de uma atuação humana de utilizador com perfil adequado para tal.

(12)

Tudo o que precisa de saber sobre o RGPD. Guia para a aplicação do Regulamento Geral de Proteção de Dados com soluções AIRC