Serviços

Regulamento Geral de Proteção de Dados

A Hardsecure apoia a organização na definição de um Plano de Ação que garanta a cobertura integral de todas as áreas da instituição, no sentido de corrigir/mitigar problemas que serão identificados e implementar as que forem possíveis no âmbito da duração dos respetivos projetos que serão criados com este plano.

A 9 de Agosto de 2019, entraram em vigor os seguintes diplomas: 

  •  Lei n.º 58/2019, de 8 de Agosto (“Lei de Execução”), com vista à execução do Regulamento Geral sobre a Proteção de Dados (“RGPD”), e 
  • Lei n.º 59/2019, de 8 de Agosto (“Dados Pessoais para Prevenção, Deteção, Investigação ou Repressão de Infrações Penais”).

 

 

Lei n.º 58/2019, de 08 Agosto - Lei de Execução da Proteção de dados Pessoais
Com a Lei de Execução, o legislador nacional veio introduzir algumas novidades e pormenorização relativamente às regras resultantes do RGPD, vigente em Portugal (como no remanescente Espaço Económico Europeu), desde 25 de Maio de 2018.
Para além da revogação da antiga lei de proteção de dados pessoais, a Lei n.º 67/98, de 26 de Outubro (“LPDP”), e da alteração e republicação da lei de organização e funcionamento da Comissão Nacional de Proteção de Dados (“CNPD”)- a Lei n.º 43/2004, de 18 de Agosto, a Lei de Execução estabelece o seguinte:

1 | Será a CNPD a autoridade de controlo nacional para efeitos de tal lei e do RGPD.

2 |  Atribui-se ao Instituto Português de Acreditação, I.P. (“IPAC, I.P.”) a competência para a acreditação dos organismos de certificação em matéria de proteção de dados.

3 | Regulam-se certos aspetos do desempenho das funções de Encarregado de Proteção de Dados (“EPD/DPO”), não sendo exigível a sua certificação profissional e sobrevivendo o seu dever de sigilo à cessação de funções. Especificam-se ainda algumas competências do EPD, tais como:

(a) assegurar a realização de auditorias, 
(b) sensibilizar os utilizadores para questões de segurança e 
(c) assegurar as relações com os titulares dos dados, bem como é fixada a obrigatoriedade de designação de EPD nas entidades públicas.

4 | Fixa-se em 13 anos a idade mínima para o consentimento de menores no âmbito de oferta direta de serviços da sociedade da informação, sem a necessidade da intervenção dos titulares das respetivas responsabilidades parentais (note-se que esta regra não é válida quanto aos restantes domínios, nos quais permanece o regime regra da maioridade).

5 | Especifica-se o âmbito de proteção dos dados pessoais de pessoas falecidas (incluindo dados pessoais de categorias especiais, dados que se reportem à intimidade da vida privada, à imagem ou aos dados relativos às comunicações) e o modo de exercício dos respetivos direitos por quem haja sido designado para o efeito pelo titular dos dados ou, na sua falta, pelos respetivos herdeiros.

6 | Clarifica-se que o direito de portabilidade apenas abrange os dados fornecidos pelos respetivos titulares e que a portabilidade dos dados deve, sempre que possível, ter lugar em formato aberto.

7 | Fixam-se limites aos sistemas de videovigilância para proteção de pessoas e bens, sem prejuízo de outras normas legais sobre a sua utilização, designadamente por motivos de segurança pública.
Tais limites correspondem, em termos gerais, às condições que já eram impostas pela CNPD na concessão de autorizações ao abrigo da LPDP.
Proíbe-se a captação de som, exceto no período em que as instalações vigiadas estejam encerradas ou mediante autorização prévia da CNPD.

8 | Consagram-se regras específicas para a conservação de dados, sendo limitado o exercício do direito ao apagamento dos dados no âmbito do RGPD nos casos em que existe prazo legalmente fixado para a conservação dos mesmos.

9| Aplicam-se limitações à proteção de dados pessoais quando estes sejam tratados para fins jornalísticos, de expressão académica, artística ou literária, de arquivo de interesse público, de investigação científica ou histórica ou estatísticos.

10 | Clarifica-se o regime da publicação de dados pessoais em jornal oficial e no âmbito da contratação pública.

11 | Disciplinam-se certos aspetos do tratamento de dados de saúde e de dados genéticos, prevendo-se que, em determinados casos (designadamente, para efeitos de medicina preventiva ou do trabalho, diagnóstico médico, prestação de cuidados ou tratamentos de saúde ou de ação social ou a gestão de sistemas e serviços de saúde ou de ação social), o acesso aos dados seja feito exclusivamente de forma eletrónica, salvo impossibilidade técnica ou expressa indicação em contrário do titular dos dados.
Estabelece-se ainda o dever de notificação ao titular dos dados de qualquer acesso realizado aos seus dados pessoais, cabendo ao responsável pelo tratamento assegurar a disponibilização desse mecanismo de rastreabilidade e notificação.
Por fim, sujeita-se o tratamento dos dados de saúde e dos dados genéticos a medidas e requisitos técnicos mínimos de segurança que serão objeto de regulamentação por portaria governamental.

12 |  Fixam-se os montantes mínimos das coimas, consoante se trate de infrator pessoa singular, PME ou grande empresa, podendo estas variar entre €500, no caso de contraordenações graves praticadas por pessoas singulares, e €20.000.000 ou 4% do volume de negócios a nível mundial, conforme o que for mais elevado, no caso de contraordenações muito graves praticadas por grandes empresas.
De notar que, exceto em caso de dolo, a instauração de processo de contraordenação depende de prévia advertência do agente, por parte da CNPD, para cumprimento da obrigação omitida ou reintegração da proibição violada em prazo razoável.

13 |  À semelhança do que já acontecia ao abrigo da LPDP, são ainda tipificados crimes, com penas que podem ascender a 4 anos de prisão ou a multa de 480 dias:
(i)    utilização de dados de forma incompatível com a finalidade da recolha,
(ii)    acesso indevido, 
(iii)    desvio de dados, 
(iv)    viciação ou destruição de dados, 
(v)    inserção de dados falsos, 
(vi)    violação do dever de sigilo e 
(vii)    desobediência.

Lei 59/2019 - Dados Pessoais para Prevenção, Deteção, Investigação ou Repressão de Infrações Penais

Relativamente à Lei 59/2019, que aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, transpondo a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de Abril de 2016, salienta-se a proibição de decisões tomadas exclusivamente com base no tratamento automatizado, incluindo a definição de perfis, exceto quando autorizadas por lei.

 A Hardsecure, com a entrada no novo Regulamento Geral de Proteção de Dados (RGPD) apoia as organizações na implementação de processos, procedimentos e mecanismos legais e de segurança.


No que diz respeito ao RGPD a organização:

  •  É responsável pela coleta, processamento, armazenamento, transmissão ou destruição de dados pessoais comuns e dados pessoais sensíveis dos seus colaboradores e parceiros;
  •  É responsável por garantir os controlos legais, empresariais, segurança lógicos e segurança físicos de acordo com o risco e ameaça a que os dados, de acordo com as suas categorias estão expostos;
  • É responsável por garantir a confidencialidade, integridade, autenticidade e disponibilidade dos dados, de acordo com a finalidade para a qual se destinam, com o consentimento inequívoco e claro das pessoas que autorizaram o seu acesso e divulgação.

 

Porque na Hardsecure, a privacidade e segurança da sua organização é a nossa prioridade!