Eventos
Questões Workshop RGPD na prática
Resposta às questões que surgiram no Workshop RGPD na prática
Devido ao elevado número de questões, algumas ficaram por responder.
Foi perante um auditório completamente lotado, com mais de 150 pessoas e cerca 85 empresas e instituições, que a ARENTIA realizou o seu workshop “RGDP na prática”, com vista ao esclarecimento dos impactos desta nova regulamentação na vida das empresas, e que entrará em vigor a 25 de maio deste ano.
Neste evento, que se realizou no estádio Magalhães Pessoa em Leiria, ficou clara a preocupação dos empresários quanto ao tema, e também que o mesmo levanta muitas questões, que na maioria dos casos, não têm sido até agora respondidas. As empresas irão necessitar de identificar processos e implementar medidas, e isso requererá, em boa parte dos casos, o acompanhamento de um parceiro especializado na temática apresentada.
No final, foi notória a satisfação dos participantes, pela participação num evento não comercial, e onde existiu a transmissão de conhecimento aos participantes, que terão saído do mesmo mais enriquecidos sobre tema.
1 - Como tratar CV recebidos sem os solicitar?
Todos os processos da organização que lidam com dados pessoais deverão ser analisados de acordo com os requisitos da nova regulamentação, sendo um dos requisitos o tempo de armazenamento dos dados, devendo este ser definido por processo e comunicado de forma explicita ao cidadão; neste caso, o tempo de armazenamento deverá ser publicado no site da organização e comunicado ao candidato, podendo ser guardado por um tempo definido desde solicitada a respetiva autorização ao próprio. Por exemplo poderá ser: Enviar uma mensagem clara e inequívoca a pedir o consentimento ativo para conservar o CV para: a) sendo candidatura espontânea guardar para poder ser contactado após profilling e adequação a uma oportunidade, pelo período de x meses, findo o qual teria de ser reconfirmado; b) sendo para uma candidatura específica e não sendo o candidato selecionado o mesmo de a)
2 - Quem é o responsável pelos dados dos trabalhadores de trabalho temporário, a empresa de trabalho temporário, prestadora de serviços ou o cliente?
O responsável pelo tratamento dos dados dos trabalhadores é sempre em primeiro lugar a entidade empregadora, que no caso de prestar serviços em clientes com os seus colaboradores, ao abrigo de um contrato, poderá partilhar os dados dos seus colaboradores com o cliente, ficando assim a entidade contratante responsável pelo tratamento dos dados partilhados, devendo protege-los com todas as medidas de proteção exigidas pela regulamentação e acordadas no contrato estabelecido. No caso de não haver um contrato escrito entre a empresa A e a empresa B, as duas são consideradas RT (responsáveis pelo tratamento). A responsabilidade é sempre das duas (A e B). Se a B for subcontratante, a A deve definir e controlar "as finalidades e os meios" da B. Não havendo contrato escrito ambas devem fazer mutuamente uma vez que são consideradas perante a Autoridade RT.
3 - Se tiver um cliente que está coletado em nome individual, os seus dados são considerados dados pessoais?
Um trabalhador independente é um cidadão, logo, os seus dados são considerados pessoais e como tal, abrangidos pelo Regulamento.
4 - Quando o cliente nos assina um contrato, para alem deste ter aceite o uso dos dados, como o guardo depois?
Devo digitalizar, encriptar e destruir o papel?O papel é um tipo de formato de armazenamento de dados que deverá ser protegido com as medidas de proteção adequadas aos requisitos que se identificarem no levantamento do processo de negócio associado. Qualquer que seja o formato em que é guardado, deverá ter as medidas de proteção adequadas para proteger os dados pessoais dos envolvidos.
5 - Tenho informação que a proteção de dados se destina a individuais e empresas. Temos que contactar também as empresas a pedir autorização?
A regulamentação destina-se a proteger os dados pessoais dos cidadãos, logo os dados empresariais não são alvo do regulamento.
6 - Apenas o nome e apelido da pessoa já é considerado um dado pessoal?
Sim, o nome e o apelido, apenas, são dados pessoais, devendo a entidade adotar todas as medidas na forma, formato e fins a que a utiliza, bem como as proteções requeridas.
7 - O alojamento da base de dados num data center internacional já é considerada uma transferência internacional dos dados pessoais?
A transferência de dados internacional, aplica-se à partilha de dados entre entidades residentes em países diferentes e/ou dentro da mesma entidade com escritórios localizados em diferentes países. Um data center localizado num país diferente, na verdade representa um serviço de hosting dos sistemas de informação, ao abrigo de um contrato, que deverá este garantir todas as medidas de proteção definidas pela entidade contratante; caso o data center se encontre fora da UE, deverão ser salvaguardas medidas adicionais no sentido de garantir que o prestador do serviço Data Center implementou, segue e monitoriza todas as medidas de proteção exigidas na regulamentação.
8 - Nas empresas de construção um dos elementos necessários a remeter antes de entrada em obra é os elementos de identificação dos colaboradores. Como tratar estas situações?
O responsável pelos dados dos trabalhadores é sempre em primeiro lugar a entidade empregadora, que no caso de prestar serviços em clientes com os seus colaboradores, ao abrigo de um contrato, poderá partilhar os dados dos seus colaboradores com o cliente, ficando assim a entidade contratante responsável pelos dados partilhados, devendo protege-los com todas as medidas de proteção exigidas pela regulamentação e acordadas no contrato estabelecido.
9 - Qual a definição e âmbito do "responsável do processamento de dados"?
O responsável pelo processo de gestão de proteção de dados é o DPO (Data Protection Officer) que é responsável pela conformidade do processo com a regulamentação; O responsável pela aplicação das medidas de proteção e violação de proteção dos dados pessoais é a organização e os diretores/responsáveis de cada processo de negócio, pois cabe a estes a obrigação da execução de todas as medidas definidas no processo. É recomendável que todos os colaboradores que processam dados pessoais venham a ter incluídas cláusulas novas relativas ao RGPD.
10 - Só pode haver um DPO em cada empresa?
Cada organização deverá ter um DPO, sendo este o responsável pela conformidade da organização com a regulamentação e também o ponto de contacto pela organização para a proteção de dados para a CNPD, clientes e fornecedores. O DPO poderá ter uma equipa multidisciplinar para garantir a implementação e gestão de todo o processo.
CONTEÚDO
ORADORES
LOCAL DO EVENTO
ORGANIZAÇÃO
11 - O número de telemóvel profissional e o e-mail profissional de um funcionário de um cliente nosso, está abrangido pelo novo RGPD?
Toda a informação que possa identificar um individuo, representa um dado pessoal; um endereço de mail genérico como por exemplo "serviço@xpto.pt" é exclusivamente profissional uma vez que não identifica nenhum individuo; desta forma, na relação profissional entre entidades deverá ser salvaguarda a autorização de utilização de mails e números de telefone para o fim a que se destina, devendo ser tomadas as medidas de proteção adequadas dos contactos.
12 - O Novo Regulamento Geral de Proteção de Dados destina-se à proteção de dados pessoais ou também à proteção de dados de entidades coletivas como empresas (NIF, Dados Financeiros, etc)? Relativamente às empresas, essa confidencialidade já existia, certo? Na prática, as empresas com o novo RGPD têm de salvaguardar dados apenas de pessoas individuais, certo?
A regulamentação destina-se a proteger os dados pessoais dos cidadãos, logo os dados empresariais não são alvo do regulamento. Sim as empresas já deverão ter implementado processos de gestão de segurança de informação.
13 - Se alguma entidade pública solicitar mais dados do que os necessários para o contrato eu posso recusar a fornece-los? E se ela não quiser fazer o contrato por eu não fornecer esses dados a quem é que me posso queixar?
As entidades públicas estão também a implementar a nova regulamentação de proteção de dados, pelo que, após a entrada em vigor da mesma deverão, sempre que solicitam informação, solicitar apenas o estritamente necessário para o propósito (caso contrário estarão a violar um dos requisitos), pelo que numa situação como a que expõe, sim poderá queixar-se desde que devidamente argumentada. O DPO em qualquer organismo público deverá estar devidamente anunciado e conhecido pelos colaboradores. Ao pretender fazer uma reclamação sobre dados pessoais é a este que deve ser dirigido.
14 - Esclarecimento do conceito de dados sensíveis e decisões automáticas?
Dados sensíveis são todos aqueles que expõe a vida privada e/ou informação sobre menores; decisões automáticas são mecanismos automáticos de criação de perfil de cliente, largamente utilizadas pela maioria das organizações como forma de alcançar melhor os seus clientes, tendo informação dos seus hábitos, gostos, preferências e consumos. O RGPD refere-se aos Dados Sensíveis da Lei 67/98 como de Categorias Especiais de Dados Pessoais (Ex. dados biométricos, saúde, orientação sexual). Todos os dados que possam expor o Titular dos Dados (TD) relativamente a qualquer categoria especial só poderá ser tratada por profissionais sujeitos a obrigações de sigilo profissional.
15 - Tanto quanto sei, por exemplo, qualquer companhia de seguros tem acesso ao meu histórico na minha companhia de seguros através do meu número de contribuinte. Com esta nova lei elas podem continuar a aceder aos meus dados?
As companhias de seguros, terão que aderir à nova regulamentação também, pelo que deverão solicitar a todos os assegurados as respetivas autorizações para a utilização dos seus dados com explicação dos fins a que se destina e a forma como a vai utilizar e com quem partilhar.
16 - O que se entende concretamente por "transferências de dados internacionais"?
A transferência de dados internacional, aplica-se à partilha de dados entre entidades residentes em países diferentes e/ou dentro da mesma entidade com escritórios localizados em diferentes países; Um data center localizado num país diferente, na verdade representa um serviço de hosting dos sistemas de informação, ao abrigo de um contrato, que deverá este garantir todas as medidas de proteção definidas pela entidade contratante; caso o data center se encontre fora da UE, deverão ser salvaguardas medidas adicionais no sentido de garantir que o prestador do serviço Data Center implementou, segue e monitoriza todas as medidas de proteção exigidas na regulamentação.
17 - Uma base de dados de e-mails sem ter um consentimento explícito de cada pessoa, tem que ser completamente descartada? Antes de maio pode ser utilizado um voucher como forma de atrair a fazer um novo registo consentido da pessoa?
A nova regulamentação só entrará em vigor em maio, pelo que até lá se mantém a legislação em vigor; após 25/maio, as bases de dados de contactos deverão ser compradas apenas a entidades com a nova regulamentação implementada, garantindo assim que todos os contactos incluídos nas listas têm o devido consentimento. Todos os contactos que estabelecer até lá, deverá aproveitar para formalizar o respetivo pedido de consentimento.
18 - Em caso de uma solicitação por parte de um cliente da remoção dos seus dados pessoais, terei de comunicar a AT (autoridade tributária)?
A remoção dos dados pessoais deverá assegurar a manutenção dos dados requeridos por outras regulamentações em vigor, pelo que deverá manter todos os dados que a AT exigir na legislação pelo tempo que a AT definir, assim como outros organismos existentes.
19 - Relativamente à portabilidade de dados, como se poderá concretizar face a processos clínicos? Por exemplo, um paciente de uma clínica que tenha usufruído de consultas em psicologia e, entretanto, tenha tido alta ou tenha simplesmente suspendido o acompanhamento, poderá ter direito a requisitar e ficar com o seu processo clinico? Deverão estas normas sobrepor-se ao código de ética e deontologia da própria ordem do profissional em causa?
A legislação que em Portugal será publicada para responder à nova regulamentação irá incluir a relação desta com outras em vigor.
20 - Já tive a resposta à última questão. Será a CNPD. Mas faço outra. E se ela também não nos responder no prazo de um mês (como está a acontecer agora) a quem é que nos podemos queixar?
A legislação irá definir tempos de resposta na relação com os cidadãos e com as organizações para a CNPD. O tempo de resposta da CNPD ao cidadão não pode exceder 3 meses. O RGPD prevê que a entidade a quem recorrer será a Autoridade Europeia para a Proteção de Dados com assento no Comité Europeu para a Proteção de Dados.
21 - Como responsável de uma plataforma online cujo objetivo é vender o produto a clínicas, sendo que estas coletam dados pessoais dos seus utentes, coloco as seguintes questões:
a) Que documentos usam os meus clientes perante os seus utentes?
As clínicas, na implementação do processo de gestão de proteção de dados, identificarão esta informação durante a execução do Data Mapping, tendo em particular atenção aos Dados de Categorias Especiais de Dados Pessoais.
b) Que documentos uso perante os meus clientes?
A sua organização, na implementação do processo de gestão de proteção de dados, identificarão esta informação durante a execução do Data Mapping, tendo em particular atenção aos Dados de Categorias Especiais de Dados Pessoais.
22 - Devemos limitar e controlar as apps nos telemóveis de uso profissional aos nossos colaboradores para evitar recolha de dados?
A sua organização, na implementação do processo de gestão de proteção de dados, durante a execução do Data Mapping identificará os processos de negócio, dados pessoais associados e todo o tipo de recursos associados ao processamento, incluindo funcionários e aplicações; o DPIA identificará as medidas de proteção necessárias de implementar para mitigar todos os riscos.
23 - Cenário: motorista de transportadora telefona a pedir contacto com o cliente para combinar entrega, vai haver muita burocracia a cumprir? E se é dado indevidamente?
A sua organização, na implementação do processo de gestão de proteção de dados, durante a execução do Data Mapping identificará os processos de negócio, dados pessoais associados e todo o tipo de recursos associados ao processamento, incluindo funcionários e aplicações; o DPIA identificará as medidas de proteção necessárias de implementar para mitigar todos os riscos.
24 - Como proteger face ao fornecedor de TI que tem acesso aos sistemas e BD?
Cada entidade é responsável pelos seus processos de negócios e pelos dados associados, pelo que todas as entidades terão que implementar um processo de gestão de proteção de dados, relacionando-se através de contratos.
25 - Todas as empresas têm que ter um DPO?
Não, mas o Regulamento define os casos de obrigatoriedade, como, por exemplo, para todos os Organismos Públicos. Também há uma obrigação para as empresas privadas em relação à nomeação de um DPO – desde que tenha mais de 250 empregados ou, tendo menos, trate dados sensíveis. Porém, a nossa recomendação é que, (portanto, para qualquer caso), independentemente de poderem contar com o aconselhamento de um DPO externo, tendo em consideração as tarefas a executar nos casos previstos (por exemplo, contacto com Clientes ou a CNPD), convirá haver sempre um DPO interno nomeado, pois estará melhor colocado para representar a empresa, Se a empresa privada tiver menos de 250 trabalhadores mas existir um risco para os direitos e liberdades do Titular dos Dados deverá a empresa mitigar através de um DPIA e com consulta à CNPD para clarificação. A existência de um DPO, mesmo que não a tempo inteiro e/ou externo, ajuda a mitigar este risco. Às entidades ou organismos públicos será expressamente obrigatório a nomeação de um DPO mesmo que seja a tempo parcial e/ou partilhado entre outros organismos.
26 - Os dados referentes a uma empresa, como o nome, NIF, morada etc, pode ser considerado dados pessoais?
Não. Os Dados ao abrigo do regulamento são apenas os que dizem respeito às Pessoas.
27 - No caso de um lar que é uma iPss que lida com dados dos utentes idosos e que não tenham capacidade de assinar os descendentes assinam por eles? Estes casos têm alguma legislação específica para iPss?
Este tipo de situações deverão ser asseguradas por legislação em vigor específica para pessoas nestas condições.
28 - Quando faço prospeção comercial e por exemplo contacto telefonicamente uma empresa e no seguimento desse contacto me dizem telefonicamente que devo enviar um email para uma pessoa específica. Como é que este cenário é tratado?
Durante a implementação do processo de gestão de proteção de dados, deverá ser identificado este tipo de processo de negócio, devendo ser definida a abordagem a seguir que deverá estar de acordo com a política de proteção de dados a definir.
29 - Somos uma empresa na área da informática, com 8 funcionários, mas que lida com clientes com base de dados extensas. Temos, portanto, acesso a milhares de dados pessoais. Temos de ter um DPO?
Embora, a existência de um DPO em empresas privadas está dependente do número de empregados (a partir de 250 é obrigatório) ou da existência na organização de tratamento de Dados Pessoais sensíveis e categorias especificas, uma vez que se trata de dados que poderão ser considerados em larga escala, aconselhamos a nomear um DPO, até mesmo porque será necessário coordenar a relação com todos os clientes nesta matéria. Deverão igualmente prever procedimentos técnicos e contratuais/processuais específicos e exigidos nos respetivos contratos sob pena de se entrar em violação ao Regulamento.
30 - Nos casos em que nos é entregue um cartão de visita com os contactos como é que demonstro que me foi autorizado o envio de email marketing?
No contacto inicial deverá referir a proveniência do mesmo, devendo, no entanto, na abertura da ficha de cliente seguir o processo de acordo com a nova regulamentação.
31 - As imagens recolhidas em vídeo vigilância interno são consideradas dados pessoais?
Sim, as imagens de videovigilância são consideradas Dados Pessoais.
32 - Como tratar a informação dos recursos humanos? Para novos contatos de trabalho o que deve ser adicionado para assegurar o novo regulamento de proteção de dados?
A sua organização, na implementação do processo de gestão de proteção de dados, durante a execução do Data Mapping identificará os processos de negócio, dados pessoais associados e todo o tipo de recursos associados ao processamento, incluindo funcionários e aplicações; o DPIA identificará as medidas de proteção necessárias de implementar para mitigar todos os riscos.
33 - Relativamente a trabalhadores independentes como deve ser gerida a informação de acordo com o regulamento?
Um trabalhador Independente é um cidadão, logo, os seus dados são considerados pessoais e como tal, abrangidos pelo Regulamento
34 - O que fazer com o arquivo morto?
É necessário garantir, no processo de implementação do RGPD, o compromisso e expectativa dos Titulares dos Dados de acordo com a finalidade e obrigações legais vigentes. O arquivo morto poderá existir se houver uma finalidade adequada e cumprindo as garantias de proteção necessárias.
35 - Imagine que tenho uma empresa que presta formação. Envio newsletters a todos os formandos periodicamente a promover uma nova ação de formação. Vou ter de pedir o consentimento a todos eles? Assumindo que não tenho feedback de nenhum deles, no dia 25 de maio não posso enviar mais nenhuma newsletter?
A necessidade de se estar em conformidade com a nova Legislação "em comparação de alguma concorrência e para proteção legítima dos Titulares dos Dados", faz com que durante a implementação do processo de gestão de proteção de dados, deverão solicitar a todos os clientes os respetivos consentimentos para a utilização dos seus dados; os clientes que não responderem deverão ser eliminados, permitindo assim uma limpeza da base de dados de clientes e redução da mesma aos que realmente estão interessados nos vossos serviços de formação.
36 - Somos uma empresa de informática. Se trouxer um backup da base de dados do cliente para análise, tenho de anonimizar os dados para fazer essa análise? Devo apagar o backup apos essa análise?
As medidas de proteção que irá utilizar nos dados dos seus clientes, deverão estar definidas nos respetivos contratos, que deverão ser revistos de forma a incluir as clausulas necessárias para a proteção de dados pessoais.
37 - Mesmo para inquéritos de satisfação é necessário pedir autorização só cliente?
A relação com os clientes estará sempre ao abrigo de um processo de negócio dentro da sua organização, que durante a implementação do processo de gestão de proteção de dados, estes serão identificados, analisados e incluídos nos formulários de consentimento a solicitar ao cliente.
38 - Como funciona o pedido de esquecimento? Numa empresa de formação, se o for mando pedir para ser esquecido. Devemos apagar os dados do formando? Devemos ficar com algum registo que ele pediu para se esquecido?
A remoção dos dados pessoais deverá assegurar apenas a manutenção dos dados requeridos por outras regulamentações em vigor.
Esperamos que as questões tenham ficado esclarecidas.
Em caso de dúvida, entre em contato.