Dr. Virgílio
Cervantes
Direito da Privacidade e da Proteção de dados
DPO. Representante dos responsáveis pelo tratamento e subcontratantes não estabelecidos na União Europeia.
Serviços RGPD
O que faço
Sou um Jurísta, especialista em Direito da Privacidade e da Proteção de Dados, que actua como DPO externo e como representante dos responsáveis pelo tratamento e subcontratantes não estabelecidos na União Europeia, ao abrigo do Artigo 27.º RGPD
Qual é a função do representante RGPD?
- Mantém os registos de atividades de processamento
- É nomeado nos avisos de privacidade como ponto de contato no EEE e/ou no Reino Unido
- É registado no ICO (Reino Unido) e/ou na CNPD (Portugal)
- Garante a sua conformidade com o Artigo 27.º RGPD
A minha empresa tem de nomear um representante no Reino Unido?
Enquanto o Reino Unido foi membro da UE, as organizações não pertencentes ao Espaço Económico Europeu (EEE) podiam nomear um único representante de forma a cobrir o Reino Unido e os restantes Estados membros.
Durante o período de transição este processo continua em vigor, uma vez que o Reino Unido e a UE se encontram ainda a negociar um eventual acordo de saída do Reino Unido.
A atual posição do governo do Reino Unido é que, após o período de transição (que termina em 31 de Dezembro de 2020), as organizações localizadas fora do Reino Unido (incluindo os Estados membros da UE), terão necessariamente que nomear um Representante no Reino Unido. para que possam continuar a processar os dados pessoais dos seus cidadãos (e residentes).
A legislação da UE continuará a exigir às organizações estabelecidas fora do EEE (incluindo o Reino Unido), a nomeação de um Representante na UE. Assim, para que uma organização localizada no Reino Unido possa continuar a processar os dados pessoais de residentes de um qualquer dos Estados membros da UE, terá de atuar de acordo com o Artigo 27.º RGPD.
O artigo 27.º do RGPD determina que as organizações localizadas fora do Espaço Económico Europeu (EEE), e que processem dados pessoais de residentes no EEE, terão de nomear um Representante, sempre que o processamento:
- Se verifique em larga escala, ou inclua categorias especiais de dados pessoais;
- Não seja de caracter ocasional, ou provavelmente resultará em um alto risco para os direitos e liberdades das pessoas.
O Representante deve atuar como o primeiro ponto de contato para os residentes do EEE e para as Autoridades Supervisoras em toda a UE.
Nos termos do artigo 45.º do RGPD, um país terceiro pode ser considerado como “Adequado” pela Comissão Europeia, se seus níveis de protecção dos dados se mostram equivalentes aos níveis previstos na EU através da aplicação do RGPD – “Transferências com base numa decisão de adequação”.
Se um país for considerado como “adequado”, as transferências transfronteiriças de dados para organizações localizadas nesse país, podem ser realizadas sem ser necessária a aplicação de medidas adicionais. Se a UE irá considerar ou não o Reino Unido como país “adequado” no final do período de transição, será determinado durante as correntes negociações.
Os requisitos de representação são independentes da adequação.
A Representação será sempre necessária para garantir um ponto de contato local, tanto para os titulares dos dados como para as Autoridades Supervisoras. Se uma organização processa dados pessoais de residentes de um número limitado de Estados membros da UE, o seu Representante deverá estar presente em apenas um desses Estados.
Se a sua empresa processa regularmente dados pessoais de cidadãos britânicos, contacte-me para saber mais sobre como o poderei ajudar após o final do período de transição em 31 de dezembro 2020.
EPD
Encarregado da proteção de dados externo: DPO como serviço (DPOaaS)
Ofereço um serviço de curto ou médio prazo (geralmente por um período de 2 a 4 anos), no qual atuarei como EPD (Encarregado da Proteção de Dados) externo. O papel do EPD é um papel de liderança em segurança empresarial, definido pelo Regulamento Geral de Proteção de Dados (RGPD). Os Encarregados da proteção de dados supervisionam a estratégia e a implementação de sistemas de privacidade e proteção de dados para garantir a conformidade das organisações com os requisitos do RGPD.
Artigo 37 (5) RGPD:
O encarregado da proteção de dados é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as funções referidas no artigo 39.o.Artigo 37 (6) RGPD:
O encarregado da proteção de dados pode ser um elemento do pessoal da entidade responsável pelo tratamento ou do subcontratante, ou exercer as suas funções com base num contrato de prestação de serviços.GSP
Gestão dos sistemas de Privacidade
Ofereço um serviço de curto prazo (geralmente pelo período de 1 a 2 anos), no qual atuarei como Gestor dos Sistemas da Privacidade e da Proteção de Dados na organização. O GSP é responsável pela ‘operacionalização’ das leis de privacidade e da proteção de dados, ou seja, pela tradução em liguagem empresarial dos requisitos legais impostos pelos RGPD nas operações comerciais.
PDP
Privacidade por Desenho e Padrão
O Artigo 25.º do GDPR determina: “Tendo em conta as técnicas mais avançadas, os custos da sua aplicação, e a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos decorrentes do tratamento para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizativas adequadas, como a pseudonimização, destinadas a aplicar com eficácia os princípios da proteção de dados, tais como a minimização, e a incluir as garantias necessárias no tratamento, de uma forma que este cumpra os requisitos do presente regulamento e proteja os direitos dos titulares dos dados.”
Dependendo do tamanho da organização e da quantidade de dados pessoais processados, assumirei o cargo de Gestor de Projeto, normalmente por períodos de 6 meses, com o objectivo de implementar novos processos ou atualizar os processos empresariais existentes, de acordo com os principios da PDP.
Porquê escolher-me?
Correto Aconselhamento
Pontual
Focado
Disponibilidade 24/7
DPOaaS
A sua organização precisa de nomear um EPD?
Nos termos do artigo 37.º do RGPD, existem três cenários em que a nomeação de um EPD por um controlador ou processador de dados é obrigatória:
- O tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional;
- As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou
- As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados nos termos do artigo 9.º e de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10.º.