Compartilhar via

Regulamento Geral sobre a Proteção de Dados

O Regulamento Geral sobre a Proteção de Dados (RGPD) introduz novas regras para organizações que oferecem bens e serviços às pessoas na União Europeia (UE) ou que coletam e analisam dados vinculados a residentes da UE. O RGPD se aplica onde quer que você e sua empresa estejam localizados. Este documento o orienta com informações para respeitar os direitos e cumprir com as obrigações do RGPD ao usar produtos e serviços da Microsoft. Um Plano de ação recomendado para o RGPD e as Listas de Verificação de Preparação de Responsabilidade fornecem recursos adicionais para avaliar e implementar a conformidade de RGPD.

Terminologia

Definições úteis para os termos do RGPD usados neste documento:

  • Controlador de Dados (Controlador): uma pessoa jurídica, autoridade pública, agência ou outro organismo que, individualmente ou em conjunto com outras pessoas, determina os objetivos e meios de processamento de dados pessoais.
  • Dados pessoais e entidade de dados: qualquer informação relacionada a uma pessoa natural identificada ou identificável (entidade de dados); uma pessoa natural identificável é uma que pode ser identificada, direta ou indiretamente.
  • Processador: uma pessoa singular ou legal, autoridade pública, agência ou outro organismo, que processa dados pessoais em nome do responsável pelo tratamento.
  • Dados do cliente: dados produzidos e armazenados nas operações do dia a dia para o funcionamento do seu negócio.

O que é o RGPD?

O RGPD concede direitos às pessoas para gerirem os dados pessoais que uma organização recolhe sobre os mesmos. Pessoas pode exercer estes direitos através de um Pedido de Titular de Dados (DSR). A organização tem de fornecer informações oportunas sobre DSRs e violações de dados e realizar Avaliações de Impacto da Proteção de Dados (DPIAs).

Considere vários pontos ao implementar ou avaliar os requisitos do RGPD:

  • Desenvolver ou avaliar a conformidade da sua política de privacidade de dados com o RGPD.
  • Avaliar a segurança dos dados da sua organização.
  • Identificar o controlador de dados.
  • Determinar que processos de segurança de dados poderá ter de realizar.

O plano de ação Recomendado para as Listas de Verificação de Preparação do RGPD e da Responsabilidade pode dar origem a pontos de reflexão adicionais.

Para cumprir as normas do RGPD, conclua as seguintes tarefas. Siga os links da lista para obter detalhes sobre a sua implementação.

  • Solicitações do Titular de Dados (DSR). Uma solicitação formal feita por um titular de dados a um controlador para executar uma ação (alteração, restrição, acesso) em relação aos seus dados pessoais.
  • Notificação de violação. No âmbito do RGPD, uma violação de dados pessoais é "uma violação da segurança que conduz à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados ou processados de outra forma".
  • Avaliações do Impacto sobre a Proteção dos Dados (DPIA). Os controladores de dados são necessários ao abrigo do RGPD para preparar um DPIA para operações de dados que "possam resultar num alto risco para os direitos e liberdades das pessoas naturais".

Conforme mencionado anteriormente, as Listas de Verificação de Preparação de Responsabilidade e RGPD recomendadas fornecem um guia para implementar ou avaliar a conformidade do RGPD com produtos e serviços Microsoft.

Utilizar o Gestor de Conformidade do Microsoft Purview para avaliar o risco

O Gestor de Conformidade do Microsoft Purview é uma funcionalidade no portal do Microsoft Purview que o ajuda a compreender a postura de conformidade da sua organização e a tomar medidas para reduzir os riscos. O Gestor de Conformidade tem uma avaliação pré-criada para este regulamento para clientes Enterprise E5. Encontre o modelo para criar a avaliação na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Gerenciador de Conformidade.

Solicitação do Titular de Dados (DSR)

O RGPD concede aos indivíduos (ou titulares de dados) determinados direitos relacionados com o processamento dos seus dados pessoais, incluindo o direito de corrigir dados imprecisos, apagar dados ou restringir o respetivo processamento, receber os respetivos dados e satisfazer um pedido de transmissão dos dados para outro responsável pelo tratamento. O responsável pelo tratamento é responsável por fornecer uma resposta oportuna e consistente com o RGPD. Para obter detalhes técnicos, confira Solicitações do titular de dados.

FAQs do DSR

Que ações completam um DSR?

DSRs envolvem seis atividades: descoberta, acesso, retificação, restrição, exportação e exclusão.

Quais são suas fontes de dados?

Uma grande fração dos dados de uma organização provém de aplicações do Office , como o Excel e o Outlook. Também pode encontrar dados relevantes para um DSR nas Informações geradas por produtos e serviços Microsoft e registos gerados pelo sistema.

Quais tipos de dados precisam ser pesquisados?

Os dados pessoais podem ser encontrados em dados do cliente, informações geradas por produtos e serviços Microsoft e registos gerados pelo sistema.

Como são pesquisados os dados pessoais?

A procura de dados pessoais varia entre produtos e serviços Microsoft. As ferramentas de pesquisa incluem Pesquisa de Conteúdo ou recurso de pesquisa no aplicativo. Os administradores podem aceder a registos gerados pelo sistema associados à atividade de um utilizador.

Em que formatos os dados pessoais devem estar disponíveis?

O "direito de portabilidade de dados" do RGPD permite que um titular dos dados solicite uma cópia dos dados pessoais num "formato estruturado, normalmente utilizado e legível por computador" e solicite que a sua organização transmita estes ficheiros a outro responsável pelo tratamento de dados.

Quais são as exigências do GDPR e minhas responsabilidades como controlador?

Como controlador, o GDPR exige que você seja capaz de:

  • Dê aos titulares dos dados uma cópia dos respetivos dados pessoais, juntamente com uma explicação das categorias dos respetivos dados que estão a ser processados, das finalidades desse processamento e das categorias de terceiros a quem os dados podem ser divulgados.
  • Ajudar cada indivíduo a exercer seu direito de corrigir dados pessoais incorretos, apagar dados ou restringir seu processamento, receber seus dados em formato legível e, se for caso, atender a uma solicitação para transmitir seus dados para outro controlador.

Quais são as exigências do RGPD e as responsabilidades da Microsoft como processador?

A Microsoft tem de implementar as medidas técnicas e organizacionais adequadas para o ajudar a responder a pedidos de titulares de dados que exerçam os seus direitos, conforme abordado anteriormente.

Onde posso encontrar as informações relacionadas ao RGPD para servidores locais?

Você pode encontrar uma série de artigos relacionados a RGPD. Produzidos pela Microsoft, eles fornecem abordagens recomendadas para a carga de trabalho local para o SharePoint Server, o Exchange Server, o Project Server, o servidor do Office Web Apps, o Office Online Server e os compartilhamentos de arquivos locais.

Como a Microsoft permite que você responda a solicitações de entidades de dados?

Os serviços online oferecem uma série de recursos para permitir que você, como controlador, responda à solicitação de um titular de dados. Os serviços online corporativos e os controles administrativos da Microsoft ajudam você a agir em dados pessoais em reação às solicitações de direitos dos titulares dos dados, o que permite descobrir, acessar, corrigir, restringir, excluir e exportar dados pessoais que residem nos dados gerenciados pelo controlador armazenados na nuvem da Microsoft. Os serviços online também fornecem dados em formato legível por máquina, caso você precise.

Avaliações do Impacto sobre a Proteção dos Dados

No âmbito do RGPD, os controladores de dados têm de preparar uma Avaliação do Impacto da Proteção de Dados (DPIA) para operações de processamento que "possam resultar num risco elevado para os direitos e liberdades das pessoas naturais". Não existem produtos e serviços Microsoft inerentes à criação de um DPIA. Em vez disso, depende dos detalhes da configuração da Microsoft. Pode encontrar uma lista de detalhes que tem de considerar no Office em Conteúdos do DPIA.

Perguntas frequentes sobre DPIA

Quando executar um DPIA?

Tem de efetuar um DPIA ao abordar riscos para a segurança de dados pessoais ou como resultado de uma falha de segurança de dados. Para obter exemplos específicos de fatores de risco no Office, consulte Determinar se um DPIA é Necessário.

O que é necessário para concluir um DPIA?

O RGPD exige que um DPIA inclua:

  • Avaliação da necessidade e da proporcionalidade do processamento de dados em relação aos objetivos do DPIA.
  • Avaliação dos riscos aos direitos e às liberdades dos titulares dos dados.
  • As medidas desejadas para lidar com os riscos, incluindo proteções, medidas de segurança e mecanismos para garantir a proteção de dados pessoais e demonstrar a conformidade com o RGPD.

Quais são minhas responsabilidades como Controlador?

No âmbito do RGPD, como responsável pelo tratamento, é-lhe exigido que realize DPIAs antes do processamento de dados que possa resultar num alto risco para os direitos e liberdades dos indivíduos , especialmente o processamento que utiliza novas tecnologias. O RGPD fornece a seguinte lista não seesgotativa dos casos em que tem de realizar DPIAs:

  • Processamento automatizado para fins de criação de perfis e atividades semelhantes, que tem efeitos legais ou afeta de forma semelhante os titulares dos dados.
  • Processamento em grande escala de categorias especiais de dados pessoais - dados que revelam origem racial ou étnica, opinião política e similares - ou de dados relacionados com condenações e ofensas criminais.
  • Monitoramento sistemático de uma área de acesso público em grande escala.

O RGPD também requer que consulte a Sua Autoridade de Proteção de Dados (DPA) antes de iniciar qualquer processamento se não conseguir identificar processos suficientes para minimizar os riscos elevados para os titulares dos dados.

Quais são as responsabilidades da Microsoft?

A Microsoft pratica princípios de privacidade estrutural e privacidade por padrão em suas funções de engenharia e negócios. Como parte desses esforços, a Microsoft realiza análises de privacidade abrangentes em operações de processamento de dados que têm o potencial de causar impactos nos direitos e nas liberdades dos titulares dos dados. As equipas de privacidade incorporadas nos grupos de serviços analisam a conceção e implementação de serviços para garantir que os dados pessoais são processados de forma respeitosa, de acordo com o direito internacional, as expectativas dos utilizadores e os compromissos expressos da Microsoft.

Estas revisões de privacidade tendem a ser granulares - um determinado serviço pode receber dezenas ou centenas de críticas. A Microsoft implementa essas análises de privacidade granulares em Avaliações do Impacto sobre a Proteção dos Dados (DPIAs) que abrangem os principais agrupamentos de processamento, que então são examinadas pelo Oficial de Proteção de Dados (DPO) da Microsoft EU. O DPO avalia os riscos relacionados ao processamento de dados para garantir que existam mitigações suficientes em vigor. Se o DPO encontrar riscos não mitigados, recomendam alterações ao grupo de engenharia. As DPIAs são revistas e atualizadas à medida que os riscos de proteção de dados mudam.

A Microsoft, como processador, tem o dever de ajudar os controladores a assegurar a conformidade com os requisitos para DPIA estabelecidos no RGPD. Para dar suporte aos nossos clientes, as seções relevantes de DPIAs da Microsoft foram abstraídas e serão fornecidas por meio desta seção em atualizações futuras, com a intenção de permitir que os controladores que dependem de serviços Microsoft aproveitem os resumos para criar suas próprias DPIAs.

Notificação de violação

O RGPD define os requisitos de notificação para controladores de dados e processadores quando existe uma violação dos dados pessoais. Enquanto processador de dados, a Microsoft ajuda os clientes a cumprir os requisitos de notificação de violação do RGPD. Os controladores de dados são responsáveis por avaliar os riscos à privacidade de dados e determinar se uma violação exige uma notificação de DPA do cliente. A Microsoft fornece as informações necessárias para a avaliação. Para obter mais informações sobre como a Microsoft deteta e responde a uma falha de segurança de dados pessoais, veja Notificação de Violação de Dados Ao Abrigo do RGPD.

Perguntas frequentes sobre notificação de falha

O que constitui uma violação de dados pessoais no âmbito do RGPD?

Dados pessoais significam quaisquer informações relacionadas a um indivíduo que possam ser usadas para identificá-los direta ou indiretamente. Uma violação de dados pessoais é "uma violação da segurança que conduz à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados ou processados de outra forma".

Quais são as suas responsabilidades como controlador?

Se a violação de dados pessoais que possa resultar em alto risco aos direitos e às liberdades dos indivíduos (como discriminação, roubo de identidade, fraude, perda financeira ou danos à reputação) ocorrer, o RGPD exige que você:

  • Notifique a Autoridade de Proteção de Dados (DPA) adequada no prazo de 72 horas após ter tomado conhecimento da mesma, por exemplo, depois de a Microsoft o notificar. Se não notificar o DPA dentro desse período de tempo, terá de explicar o motivo ao DPA. Este aviso ao DPA é necessário mesmo quando existe um risco para indivíduos que não é provável que resulte num risco elevado.
  • Notifique os titulares dos dados sobre a violação sem demora injustificada.
  • Documente a violação, incluindo uma descrição da natureza da violação , como quantas pessoas foram afetadas, o número de registos de dados afetados, as consequências da violação e qualquer ação de correção que a sua organização está a propor ou tomou.

Quais são as responsabilidades da Microsoft como Processador?

Depois de tomarmos conhecimento de uma violação de dados pessoais, o RGPD exige que o notifiquemos sem atrasos indevidos. Nos casos em que a Microsoft é um processador, nossas obrigações refletem tanto os requisitos do RGPD quanto nossas cláusulas contratuais mundiais padrão. Consideramos que todas as violações de dados pessoais confirmadas estão no âmbito; não há risco de limiar de danos. Notificamos os nossos clientes se a falha de segurança de dados foi sofrida diretamente pela Microsoft ou por qualquer um dos nossos subprocessadores. Temos processos implementados para identificar e contactar rapidamente o pessoal de incidentes de segurança que identifica na sua organização. Além disso, todos os subprocessadores são contratualmente obrigados a comunicar as suas próprias violações à Microsoft e a fornecer garantias para esse efeito.

Como a Microsoft detectará uma violação de dados?

Todos os nossos serviços e funcionários seguem os procedimentos internos de gerenciamento de incidentes, para garantir que tomemos as devidas precauções para evitar violações de dados antes de mais nada. No entanto, além disso, os serviços de nuvem corporativos da Microsoft possuem controles de segurança específicos em nossas plataformas para detectar violações de dados no raro evento de elas ocorrerem.

Como a Microsoft responderá a uma violação de dados?

Para o apoiar para uma violação dos dados pessoais, a Microsoft tem: - Pessoal de segurança preparado sobre os procedimentos específicos a seguir. - Políticas, procedimentos e controlos implementados para garantir que a Microsoft mantém registos detalhados. Essa resposta inclui uma documentação que captura os fatos do incidente, seus efeitos e ação corretiva, bem como informações de acompanhamento e armazenamento em nossos sistemas de gerenciamento de incidentes.

Como a Microsoft me notificará no caso de uma violação de dados?

A Microsoft tem políticas e procedimentos em vigor para notificá-lo imediatamente. Para satisfazer os requisitos de aviso ao DPA, fornecemos uma descrição do processo que utilizámos para determinar se ocorreu uma violação dos dados pessoais, uma descrição da natureza da violação e uma descrição das medidas que tomámos para mitigar a violação.

Listas de verificação de preparação de responsabilidade para o RGPD

Estas listas de verificação fornecem uma forma conveniente de aceder às informações de que poderá precisar para suportar o RGPD através dos produtos Microsoft. Pode gerir os itens da lista de verificação ao referenciar o ID de Controlo e o Título do Controlo em Controlos Geridos pelo Cliente no mosaico RGPD com o Gestor de Conformidade do Microsoft Purview.

Perguntas frequentes do RGPD

A Microsoft faz os compromissos com seus clientes em relação ao RGPD?

Sim. O RGPD requer que os controladores (como as organizações que utilizam o serviços online empresarial da Microsoft) utilizem apenas processadores (como a Microsoft) que forneçam garantias suficientes para cumprir os requisitos-chave do RGPD. A Microsoft fornece proativamente estes compromissos a todos os clientes de Licenciamento em Volume como parte dos seus contratos.

Como a Microsoft me ajuda a consentir?

A Microsoft fornece ferramentas e documentação para dar suporte à sua responsabilidade ao RGPD. Este suporte inclui Direitos do Titular dos Dados, realizar as suas próprias Avaliações de Impacto da Proteção de Dados e trabalhar em conjunto para resolve violações de dados pessoais.

Quais compromissos estão nos termos RGPD?

Os Termos de RGPD da Microsoft refletem os compromissos obrigatórios dos processadores no Artigo 28. O artigo 28 exige que os processadores se comprometam a:

  • Usar somente os subprocessadores com o consentimento do controlador e se responsabilizar por subprocessos.
  • Processe dados pessoais somente nas instruções do controlador, incluindo em relação a transferências.
  • Garanta que as pessoas que processam dados pessoais estejam comprometidas com a confidencialidade.
  • Implemente medidas técnicas e organizacionais apropriadas para garantir um nível de segurança de dados pessoais apropriado para o risco.
  • Auxiliar os controladores em suas obrigações de responder às solicitações dos titulares de dados para exercer seus direitos RGPD.
  • Atender aos requisitos de notificação e assistência de violação.
  • Auxiliar os controladores nas avaliações de impacto na proteção de dados e na consulta com as autoridades de supervisão.
  • Excluir ou retornar dados pessoais no final do provisionamento de serviços.
  • Dar suporte ao controlador com evidências de conformidade com o RGPD.

Em que base a Microsoft facilita a transferência de dados pessoais fora da UE?

A Microsoft tem usado por extenso as Cláusulas Contratuais Padrão (também conhecidas como as Cláusulas Modelo) como base para a transferência de dados dos serviços online corporativos. As cláusulas contratuais Standard são termos padrão fornecidos pela Comissão Europeia que pode utilizar para transferir dados para fora do Espaço Económico Europeu em conformidade. A Microsoft incorporou as Cláusulas Contratuais Standard em todos os contratos de Licenciamento em Volume através dos Termos do Produto. Relativamente aos dados pessoais do Espaço Económico Europeu, da Suíça e do Reino Unido, a Microsoft garante que as transferências de dados pessoais para um país/região terceiro ou uma organização internacional estão sujeitas a salvaguardas adequadas, conforme descrito no artigo 46.o do RGPD. Para além dos compromissos assumidos pela Microsoft no âmbito das Cláusulas Contratuais Standard para subcontratantes e outros contratos-modelo, a Microsoft continua a respeitar os termos do quadro do Escudo de Privacidade, mas já não depende dele como base para a transferência de dados pessoais da UE/EEE para o Estados Unidos.

Quais são as outras ofertas de conformidade da Microsoft?

Enquanto empresa global com clientes em quase todos os países/regiões do mundo, a Microsoft tem um portefólio de conformidade robusto para ajudar os seus clientes. Para ver uma lista completa das suas ofertas de conformidade, incluindo FedRamp, HIPAA/HITECH, ISO 27001, ISO 27002, ISO 27018, NIST 800-171, UK G-Cloud, entre muitos outros, visite os tópicos de oferta de conformidade.

Como o RGPD afetará a minha empresa?

O RGPD impõe uma ampla variedade de requisitos às organizações que coletam ou processam dados pessoais, incluindo um requisito para atender a seis princípios principais:

  • Transparência,imparcialidade e legalidade no gerenciamento e no uso de dados pessoais. Tem de ser claro com as pessoas sobre como está a utilizar os dados pessoais e também precisa de uma "base legal" para processar esses dados.
  • Limitar o processamento de dados pessoais a finalidadesespecificadas, explícitas e legítimas. Não pode reutilizar ou divulgar dados pessoais para fins que não sejam "compatíveis" com a finalidade para a qual recolheu originalmente os dados.
  • Minimize a recolha e armazenamento de dados pessoais apenas para o que é adequado e relevante para o objetivo pretendido.
  • Confirme a precisão dos dados pessoais e ative-os para serem apagados ou retificados. Tem de tomar medidas para garantir que os dados pessoais que detém são precisos e que podem ser corrigidos se ocorrerem erros.
  • Limitar o armazenamento de dados pessoais. Tem de garantir que mantém os dados pessoais apenas durante o tempo necessário para alcançar as finalidades para as quais recolheu os dados.
  • Garantir a segurança, integridade e confidencialidade dos dados pessoais. Sua organização deve tomar medidas para manter os dados pessoais protegidos por meio de medidas de segurança técnica e organizacional.

Tem de compreender as obrigações específicas da sua organização ao abrigo do RGPD e como irá cumpri-las. A Microsoft está aqui para ajudá-lo no seu percurso do RGPD.

Quais direitos as empresas precisam garantir segundo os termos do RGDP?

O RGDP fornece aos residentes da UE o controle sobre seus dados pessoais por meio de um conjunto de “direitos de assunto de dados”. Este conjunto inclui o direito a:

  • Acessar informações sobre como os dados pessoais são usados.
  • Acessar dados pessoais mantidos por uma organização.
  • Ter dados pessoais incorretos excluídos ou corrigidos.
  • Ter dados pessoais corrigidos e apagados em determinadas circunstâncias (às vezes chamado de "direito a ser esquecido").
  • Restringir ou se opor ao processamento automático de dados pessoais.
  • Receber uma cópia dos dados pessoais.

O que são processadores e controladores?

Um responsável pelo tratamento é uma pessoa singular ou jurídica, autoridade pública, agência ou outro organismo que, individualmente ou em conjunto com outras pessoas, determina as finalidades e os meios de processamento de dados pessoais. O processador é uma pessoa física ou jurídica, autoridade pública, órgão ou outra entidade que processa dados pessoais em nome do controlador.

O RGPD aplica-se a processadores e controladores?

Sim, o RGPD se aplica a controladores e processadores. Os controladores devem usar apenas processadores que utilizam medidas para atender aos requisitos do RGPD. Nos termos do RGPD, os subcontratantes têm direitos adicionais e responsabilidade por não conformidade ou atuam fora das instruções fornecidas pelo responsável pelo tratamento, em comparação com a Diretiva de Proteção de Dados. Os deveres do processador incluem, mas não estão limitados a:

  • Processar os dados somente conforme as instruções do controlador.
  • Usar medidas técnicas e organizacionais apropriadas para proteger dados pessoais.
  • Auxiliar o controlador com as solicitações de assunto de dados.
  • Garantir que os subprocessadores envolvidos atendam a esses requisitos.

Qual o valor máximo da multa pela não conformidade das empresas?

As empresas podem ser multadas até 20 milhões de euros ou 4% do volume de negócios global anual, o que for maior, por não cumprirem determinados requisitos do RGPD. Outras soluções individuais podem aumentar o risco caso você não cumpra aos requisitos do RGPD.

Minha empresa precisa indicar um DPO (Diretor de Proteção de Dados)?

Isso depende de vários fatores identificados dentro da regulamentação. O artigo 37.º do RGPD estabelece que os responsáveis pelo tratamento e tratamento devem designar um responsável pela protecção de dados em qualquer caso em que: (a) uma autoridade ou organismo público, com excepção dos tribunais que actuam na sua capacidade judicial, efetue o tratamento; b As principais actividades do controlador ou do processador consistem em operações de processamento que, em virtude da sua natureza, do seu âmbito ou das suas finalidades, exigem uma monitorização regular e sistemática dos titulares dos dados em grande escala; ou c As actividades fundamentais do responsável pelo tratamento ou do subcontratante consistem no tratamento em grande escala de categorias especiais de dados nos termos do artigo 9.o e dos dados pessoais relativos a condenações criminais e infrações referidas no artigo 10.o.

Quanto custará atender à conformidade com o RGPD?

Cumprir a conformidade com o RGPD custará tempo e dinheiro para a maioria das organizações, embora possa ser uma transição mais suave para quem opera num modelo de serviços cloud bem arquitetado e tem um programa de governação de dados eficaz.

Como faço para saber se os dados que a minha organização está processando são cobertos pelo RGPD?

O RGPD regula o conjunto, armazenamento, uso e compartilhamento de "dados pessoais". O RGPD define os dados pessoais amplamente como quaisquer dados relacionados com uma pessoa singular identificada ou identificável.

Os dados pessoais podem incluir, mas não se limitam a, identificadores online (por exemplo, endereços IP), informações dos colaboradores, bases de dados de vendas, dados de serviços ao cliente, formulários de feedback dos clientes, dados de localização, dados biométricos, imagens de CCTV, registos de esquemas de fidelização, informações de saúde e financeiras e muito mais. Pode até incluir informações que não parecem ser pessoais - como uma fotografia de uma paisagem sem pessoas - em que um número de conta ou código exclusivo liga essas informações a um indivíduo identificável. E mesmo os dados pessoais que pseudonimizar podem ser dados pessoais se o pseudónimo puder ser ligado a um indivíduo específico.

O processamento de determinadas categorias "especiais" de dados pessoais, como dados pessoais que revelam a origem racial ou étnica de uma pessoa, ou que diz respeito à sua saúde ou orientação sexual, está sujeito a regras mais rigorosas do que o processamento de dados pessoais "comuns". Esta avaliação de dados pessoais é altamente específica de factos, pelo que contacte um especialista para avaliar as suas circunstâncias específicas.

A minha organização está apenas a processar dados em nome de outras pessoas. Continua a ter de cumprir o RGPD?

Sim. Embora as regras sejam diferentes, o RGPD se aplica à organizações que coletam e processam os dados para fins próprios ("controladores"), bem como para as organizações que processam os dados em nome de outras pessoas ("processadores"). Esse requisito é uma mudança da Diretiva de Proteção de Dados existente, que se aplica a controladores.

O que é considerado especificamente dados pessoais?

Os dados pessoais são quaisquer informações relacionadas a uma pessoa, identificável ou não. Não há distinção entre as funções pública, privada ou de trabalho de uma pessoa. Os dados pessoais podem incluir:

  • Nome
  • Endereço residencial
  • Endereço comercial
  • Telefone
  • Celular
  • Endereço de email
  • Número do passaporte
  • RG
  • CPF (ou equivalente)
  • Habilitação
  • Informações físicas, fisiológicas ou genéticas
  • Informações médicas
  • Identidade cultural
  • Detalhes bancários/números de conta
  • Número de contribuinte
  • Endereço comercial
  • Números de cartão de crédito/débito
  • Postagens em mídia social
  • Endereço IP (região da UE)
  • Dados de localização/GPS
  • Cookies

Posso transferir dados de fora da UE?

Sim, porém, o RGPD regula estritamente as transferências de dados pessoais dos residentes europeus para destinos fora do Espaço Económico Europeu. Poderá ter de configurar um mecanismo legal específico, como um contrato, ou aderir a um mecanismo de certificação para ativar estas transferências. A Microsoft detalha os mecanismos que utiliza nos Termos do Produto.

Tenho requisitos de retenção de dados através da conformidade. Estes requisitos substituem o direito de eliminação?

Nos casos em que existam motivos legítimos para o processamento contínuo e a retenção de dados, tais como "o cumprimento de uma obrigação jurídica, que exige o tratamento pela legislação da União ou do Estado-Membro a que o responsável pelo tratamento está sujeito" (artigo 17.º(3);b)), o RGPD reconhece que as organizações podem ser obrigadas a reter dados. No entanto, certifique-se de que interage com o seu advogado para garantir que os motivos de retenção são ponderados contra os direitos e liberdades dos titulares dos dados, as suas expectativas no momento em que os dados foram recolhidos e outros fatores relevantes.

O RGPD lida com criptografia?

O RGPD identifica a encriptação como uma medida de proteção que torna os dados pessoais ininteligíveis quando ocorre uma falha de segurança. Por conseguinte, se a encriptação é ou não utilizada pode afetar os requisitos de notificação de uma falha de segurança de dados pessoais. O RGPD também aponta para a criptografia como uma medida técnica ou organizacional adequada em alguns casos, dependendo do risco. A criptografia também é um requisito do Padrão de Segurança de dados do setor de cartão de crédito e parte das diretrizes de conformidade estritas específicas para o setor de serviços financeiros. Produtos e serviços Microsoft, como Azure, Dynamics 365, Enterprise Mobility + Security, Office Microsoft 365, Base de Dados SQL Server/SQL do Azure, Windows 10 e Windows 11 oferecer encriptação robusta para dados em trânsito e dados inativos.

Como o RGPD altera a resposta de uma organização a violações de dados pessoais?

O RGPD altera os requisitos de proteção de dados e efetua obrigações mais rigorosas para os processadores e responsáveis pelo tratamento relativamente à notificação de violações de dados pessoais. De acordo com o novo regulamento, o processador tem de notificar o responsável pelo tratamento de dados de uma falha de segurança de dados pessoais, depois de ter tomado conhecimento do mesmo, sem atrasos indevidos. Depois de conhecer um vazamento de dados pessoal, o controlador deve notificar a autoridade de proteção de dados relevante em até 72 horas. Se a violação for susceptível de resultar num elevado risco para os direitos e liberdades das pessoas, os controladores também precisam de notificar os indivíduos afetados sem atrasos indevidos. As diretrizes adicionais neste tópico estão sendo elaboradas pelo Grupo de Trabalho do Artigo 29 da UE.

Produtos e serviços Microsoft , como Azure, Dynamics 365, Enterprise Mobility + Security, Microsoft Office 365 e Windows 10 - ter soluções disponíveis hoje para o ajudar a detetar e avaliar ameaças e violações de segurança e a cumprir as obrigações de notificação de violação do RGPD.

Recursos adicionais

  • Last updated on