GUIA PARA

APLICAÇÃO DO RGPD
para a Economia Social e Ensino

Tecnologias de Informação e Marketing

para a Economia Social e Ensino
Conteúdos

I PARTE

CONTEXTO
Entender Porquê, Quando e Como?

PRINCÍPIOS, PREMISSAS E
DIREITOS A RESPEITAR
Saber identificar quais os princípios que
estão na base do RGPD e como garantir
o exercício dos novos Direitos dos
Titulares dos Dados

CONCEITOS A TER EM CONTA

Saber reconhecer os conceitos
principais e como influenciam a
aplicabilidade do RGPD

II PARTE

MEDIDAS A IMPLEMENTAR
Saber como aplicar as medidas exigidas
para assegurar e comprovar que está
tudo em conformidade na minha
organização
Conhecer qual a função do Salesforce
na aplicação das medidas a
implementar

2
Contexto

PORQUÊ
A legislação de Proteção de Dados criada há 20 anos,
ainda em vigor no início de 2018, não acompanhou
as evoluções tecnológicas e de contexto
sociopolítico. Surge por isso, a necessidade da
criação de um diploma atualizado, de âmbito
europeu, abrangente, que tem em conta tanto o
registo manual como o digital, e que irá substituir as
normas nacionais: o Regulamento Geral de
Protecção de Dados (RGPD).

QUANDO
O RGPD entrará em vigor a partir de 25 de maio de
2018, e aplica-se às organizações que operam nos
países da União Europeia e a organizações que, fora
da UE, oferecem serviços e bens a cidadãos no
espaço europeu.

COMO
O RGPD reformula conceitos; introduz novos
princípios, novas premissas e novos direitos; e exige
a implementação de novas medidas por parte de
qualquer entidade que efetue o tratamento de dados
pessoais no âmbito da sua atividade. As novas regras
deverão aumentar a confiança nas relações entre
quem cede os dados e quem os trata.

3
Princípios, premissas e direitos
a respeitar

LICITUDE, LEALDADE E TRANSPARÊNCIA

Deve estar claro, para quê se pedem os dados pessoais e
quem o solicita.

LIMITAÇÃO DAS FINALIDADES

Deve estar claro que os dados não serão usados para
qualquer outro fim que não o consentido pelo titular

MINIMIZAÇÃO DOS DADOS

Devem ser pedidos somente os dados necessários para o
efeito.

EXATIDÃO
Deve ser assegurada a atualização dos dados.

INTEGRIDADE E CONFIDENCIALIDADE
Deve ser garantida a segurança dos dados, através de
medidas técnicas e organizativas adequadas.

LIMITAÇÃO DA CONSERVAÇÃO
Os dados devem ser guardados o mínimo de tempo possível,
tendo em conta a finalidade e eventuais obrigações legais.

RESPONSABILIZAÇÃO
O responsável pelo tratamento deve comprovar que garante
o cumprimento do RGPD.

4
Princípios, premissas e direitos
a respeitar

DIREITO A SER INFORMADO

É pedido um conjunto de dados para efetuar donativos, deve-se informar
claramente por quem serão tratados os dados, porquê e qual a finalidade,
durante quanto tempo se tenciona que sejam conservados e informar
quais são os direitos do titular e como pode exercê-los, fornecendo a
organização um contacto para pedido de esclarecimentos. No caso de
ser pedido consentimento (por exemplo para saber se quer receber
informação por email), este tem de respeitar as normas do RGPD,
colocando um campo opt-in, por exemplo.

DIREITO DE ACESSO
Um doador tem direito a solicitar os dados pessoais que a organização
detém sobre si. Deve ser informado de todas as informações que solicite,
como o número de donativos, data da subscrição da newsletter ou qual o
email registado, por exemplo.

DIREITO À RECTIFICAÇÃO
Um voluntário escolheu uma determinada área de intervenção, mas
começou a participar noutras ações fora dessa área, tem o direito de pedir
para alterarem a escolha da área de intervenção registada.

DIREITO AO APAGAMENTO
Um doador ou sócio pede que os seus dados sejam apagados. No entanto,
por motivos legais, os registos fiscais devem ser conservados durante algum
tempo. No caso de não haver relação financeira, deve-se proceder ao
“apagamento”, tornando os dados identificativos anónimos (BI, nome;
email…), podendo deixar os registos mínimos para fins estatísticos.

5
Princípios, premissas e direitos
a respeitar

DIREITO À PORTABILIDADE DOS DADOS

Um beneficiário encontrou outra fundação que lhe prestará o mesmo tipo
de apoio e a que pretende aderir. Pode pedir que os seus dados (desde que
adquiridos conforme as normas do RGPD) sejam transferidos para a outra
organização, num formato adequado a ser trabalhado.

DIREITO À OPOSIÇÃO
Uma pessoa fez uma compra pontual na loja on-line e começa a receber
informação sobre outros artigos por email; tem o direito de solicitar que não
lhe envie mais publicidade, tendo a organização de parar o processamento
dos seus dados para fins comerciais e o envio destes emails.

DIREITO A NÃO ESTAR SUJEITO À TOMADA DE

DECISÃO AUTOMATIZADA, INCLUINDO O PROFILING
Uma pessoa quer fazer uma compra online e é-lhe pedido que insira alguns
dados e, com base nesses dados, são mostradas determinadas propostas
de merchandising. A pessoa pode autorizar ou não este processo
automático.

DIREITO AO PROCESSAMENTO RESTRITO

Um sócio forneceu o contacto telefónico e, após receber uma chamada de
pedido de donativo, pede para não ser contactado por telefone para esse
fim ou para ser contactado por este meio apenas com outra finalidade. Deve
ser respeitada a decisão ser preciso apagar o contacto.

6
Conceitos a ter em conta

TRATAMENTO DE DADOS
Operação ou um conjunto de operações efetuadas sobre dados
pessoais ou sobre conjuntos desses dados, por meios
automatizados ou não automatizados, tais como a recolha, o registo,
a organização, a estruturação, a conservação, a adaptação ou
alteração, a recuperação, a consulta, a utilização, a divulgação por
transmissão, difusão ou qualquer outra forma de disponibilização, a
comparação ou interconexão, a limitação, o apagamento ou a
destruição.

CRIANÇAS
Caso haja oferta de serviços comerciais específicos para menores de
16 anos, o responsável pelo tratamento deve garantir a utilização de
linguagem clara e simples, bem como assegurar todos os esforços
para verificar a validade do consentimento do titular das
responsabilidades parentais. Exclui-se a necessidade de
consentimento parental, caso sejam serviços preventivos ou de
aconselhamento oferecidos diretamente a crianças.

DADOS SENSÍVEIS
O RGPD refere-se aos dados sensíveis como categorias especiais de
dados pessoais. São considerados mais sensíveis, porque dizem
respeito a dados identificativos da pessoa que podem favorecer a
discriminação face aos seus direitos fundamentais, e por isso
sujeitos a maior protecção. São exemplo: origem étnica, orientação
política, religião, dados genéticos, dados biométricos utilizados para
identificar de forma única um indivíduo, informação clínica,
orientação sexual.

7
Conceitos a ter em conta

PROTEÇÃO DE DADOS DESDE A CONCEPÇÃO

E PROTEÇÃO DE DADOS POR DEFEITO
Proteção de dados desde a conceção - aplicação de medidas
técnicas e organizativas, de forma a garantir os princípios da
privacidade e proteção de dados desde as fases iniciais das
operações de tratamento. Por exemplo: através da pseudonimização
(substituição de informação pessoalmente identificativa por
indicadores artificiais) e de cifragem (codificação de mensagens
para que apenas as pessoas autorizadas as possam ler).
Proteção de dados por defeito - garantir que os dados pessoais são
tratados com a mais elevada proteção da privacidade para que, por
defeito, não sejam disponibilizados a um número indefinido de
pessoas (por exemplo, são tratados apenas os dados necessários,
num período de conservação curto e com acessibilidade limitada).

CONSENTIMENTO DOS TITULARES DOS DADOS

Manifestação de vontade livre, específica, informada e explícita,
pela qual o titular dos dados pessoais aceita, mediante declaração
ou ato positivo inequívoco, que os dados que lhe dizem respeito
sejam objeto de tratamento. Assim:
• O responsável pelo tratamento deve poder demonstrar que foi
obtido o consentimento (deve ficar registado).
• O pedido de consentimento deve ser apresentado de modo
distinguível, de fácil acesso e numa linguagem clara e simples.
• O consentimento deve ser dado validando uma opção positiva
(por exemplo, usando as opções “sim”/ “não”; “aceito”/ “não
aceito”). O consentimento não é válido usando opções
pré-validadas - como o checkbox já preenchido - ou por omissão.
• O consentimento deve ser fácil de retirar a qualquer momento e
a informação deste direito deve ser referida na altura do pedido.

8
 Implementar o RGPD

Avaliação de Impacto Adoptar procedimentos para

sobre Pedidos de Dados lidar com violações de dados

Rever políticas internas e Nomear um(a) DPO

práticas da organização

Rever consentimento de
Rever contratos das acordo com o RGPD
Subcontratações

RGPD
IMPLEMENTAR
EM 10 AÇÕES

Rever política de
Rever Informações privacidade de
dadas aos titulares acordo com o RGPD
dos dados

Verificar a existência de Registo e rastreamen-

Dados Sensíveis e to de dados
Dados de Crianças

9
Criação de uma equipa responsável para
a implementação e cumprimento do RGPD

NOMEAR UMA EQUIPA QUE AJUDE A IMPLEMENTAR O RGPD

Team Leader
Tarefa Nome/Departamento Data para conclusão Concluído

10
 Criação de uma equipa responsável para
a implementação e cumprimento do RGPD
NOMEAR UM ENCARREGADO DE PROTEÇÃO DE DADOS
(EPD ou DPO - Data Protection Officer)

É uma Autoridade pública?

• Se Sim = é obrigatório nomear um DPO:
• Se Não

Processa dados pessoais de ‘categorias especiais’ em larga escala?

• Se Sim = é obrigatório nomear um DPO:
• Se Não

Necessita da monitorização regular de dados pessoais em larga escala

(por exemplo: recorre a cctv)?
• Se Sim = é obrigatório nomear um DPO:
• Se Não

É aconselhavel nomear um DPO:

VERIFICAÇÃO DE UMA NOMEAÇÃO ADEQUADA, DE UM DPO,

ATRAVÉS DAS RESPONSABILIDADES:
Este PDO é o mais qualificado para informar e aconselhar o responsável pelo tratamento ou o
subcontratante, bem como os seus trabalhadores, sobre as respectivas obrigações nos termos
da lei da proteção de dados?

Está capacitado para controlar o cumprimento, por parte da organização, de toda a legislação
relacionada com a proteção de dados, nomeadamente em auditorias, atividades de sensibilização
e formação do pessoal implicado nas operações de tratamento?

Está preparado para prestar aconselhamento sempre que tenha sido realizada uma Avaliação de
Impacto de Proteção de Dados (AIPD) e controlar a sua realização?

Está apto para atuar como ponto de contacto para pedidos de pessoas relativamente ao
tratamento dos seus dados pessoais e ao exercício dos seus direitos? E para
cooperar com as Autoridade de Proteção de Dados e atuar como ponto de contacto das mesmas
sobre questões relacionadas com o tratamento?
Atenção: A organização tem de envolver o PDO nas suas atividades em tempo útil. O PDO não deve receber
instruções do responsável pelo tratamento nem do subcontratante relativamente ao exercício das suas funções.
O PDO responde diretamente perante o nível mais elevado de administração da organização.

ELABORAÇÃO DE UM PLANO PARA MAPEAMENTO DE DADOS

• Fazer o levantamento de todos os pontos de recolha de dados com todos os elementos
adjacentes para que se possa rastrear a informação sobre os dados recolhidos e o seu
tratamento.
• Fazer a atualização deste registo sempre que necessário.
• Criar um novo mapeamento sempre que surja um novo ponto de recolha.
11
 Elaboração de um plano para mapeamento
de dados

REGISTO DE DADOS
Responsável

Existe aviso
Qual o ponto de recolha informativo ou pedido de
consentimento
Que dados são recolhidos
(descrição das categori-
as de titulares de dados
e das categorias de
dados pessoais)

Qual a finalidade do
tratamento dos dados

Onde são armazenados

Quando são alterados

(atualização, revisão)

Quanto tempo são

guardados

Como são apagados

Quem pode aceder internamente Com quem são partilhados externamente

Probabilidade de risco
de violação de proteção de dados

12
 Revisão dos procedimentos internos
Lorem ipsum

aplicando os princípios e os conceitos

LEVANTAMENTO DOS PROCEDIMENTOS INTERNOS
NOS DIFERENTES DEPARTAMENTOS
Departamento

Tratamento de
dados

Procedimento
atual

Medidas usadas
na conceção

Medidas a tomar
para cumprimento
do RGPD Medidas usadas
por defeito

Que documentos
rever

LEVANTAMENTO DOS SUBCONTRATANTES

E REVISÃO CONTRATOS DE SUBCONTRATAÇÃO
Contratos existentes Data de renovação/ existe um Pessoa/equipa Data da assinatura
cessação do contrato sub-subcontratante? responsável pela da revisão do
(após maio de 2018) revisão do contrato contrato

13
 Preparação da avaliação de impacto da proteção
de dados e de notificações de violações de dados

GRELHA PARA FACILITAR A DOCUMENTAÇÃO DAS AVALIAÇÕES

DE IMPACTO DE PROTEÇÃO DE DADOS, CASO SE VERIFIQUEM:
Data Descrição * Efeitos ou Medidas de reparação Houve notificação
consequências à CNPD? **

*incluindo, sempre que possível, número aproximado de titulares afetados e de registos; bem como as suas categorias.
**só as violações que poderão ser um risco para os direitos fundamentais dos titulares têm de ser reportadas.

GRELHA PARA FACILITAR A DOCUMENTAÇÃO DAS AVALIAÇÕES

DE IMPACTO DE PROTEÇÃO DE DADOS, CASO SE VERIFIQUEM:
Data da Responsável
Medidas resultantes da AIPD
última AIPD pela AIPD

14
 Revisão dos avisos de privacidade, atualização de
informações e pedidos de consentimento

VALIDAÇÃO DOS PEDIDOS DE CONSENTIMENTO:

1 - O pedido de consentimento contém linguagem clara e simples?

2 - Está clara qual a finalidade do tratamento daqueles dados e quem os vai tratar?

3 - O pedido é claramente feito separadamente de outros avisos ou informações?

4 - É obtido através de uma opção positiva que revele a livre escolha do titular dos
dados?

6 - Contém a informação sobre como retirar o consentimento? É fácil retirar esse

consentimento?

7 - Onde e como consta o registo desse pedido de consentimento? É fácil identificar

quando e em que modos foi dado (ou não) o consentimento?

8 - Os pedidos de consentimento são revistos periodicamente? Mantém-se adequados?

9 - Quem é responsável pela criação e revisão dos pedidos?

10 - Se houver tratamento de dados de menores de 16 anos, está garantida a verificação

da idade e do consentimento parental? Como fica registado esse consentimento?

11 - Se houver dados que configuram nas categorias especiais, foi feito o pedido
explícito para o seu tratamento?

12 - É possível assegurar que há interesse legítimo para a recolha de dados sensíveis

(são necessários para a actividade e serviços oferecidos aos titulares)?

Passos para uma boa Política de Privacidade e Segurança:

• procurar apoio legal especializado para a sua elaboração e revisão, sem esquecer a
importância de uma linguagem clara e simples;
• rever os Avisos de Privacidade e Política de Privacidade e Segurança de tempos a
tempos, e actualizar sempre que necessário, para refletir qualquer alteração na
recolha e uso dos dados pessoais;
• ter em conta questões e queixas dos utilizadores quanto à informação
descrita e ao tratamento dos dados.

15
 Formação para toda a equipa e conhecimento
à direção

REGISTO DE FORMAÇÕES NECESSÁRIAS A REALIZAR

COM AS EQUIPA DA ORGANIZAÇÃO
Formação Equipa Data

Registo de possíveis atividades para conhecimento geral

.
.
.
.
.
.

Registo de ações para dar conhecimento à Direção

.
.
.
.
.

16
 Estamos disponíveis para
qualquer esclarecimento.
CONTACTEM-NOS.

Tecnologias de Informação e Marketing

para a Economia Social e Ensino

info@raisengo.pt
(+351) 256 001 985
www.raisengo.pt

© Raise N’GO, 2018