Leis e regulamentos que regem a Ciber-segurança
6. Protecção de dados pessoais no ciberespaço
6.3. RESUMO / PRINCIPAIS RESULTADOS DO CAPÍTULO
ℹ️
RESUMO
· O GDPR é um quadro jurídico geral para a protecção de dados pessoais, e é válido e eficaz em toda a UE e, em certos casos, fora deste território. O principal objectivo da GDPR é assegurar uma protecção abrangente dos direitos das pessoas em causa contra o tratamento não autorizado dos seus dados e dados pessoais, encontrar um equilíbrio entre os interesses legítimos dos responsáveis pelo tratamento, dos processadores e das pessoas em causa, criar um sistema de aplicação uniforme da lei e um mecanismo único de sanções neste domínio, etc.
· No entanto, o GDPR aplica-se nos casos em que:
- um controlador ou processador está estabelecido na UE, independentemente de o processamento ter lugar na UE,
- os controladores ou processadores não estão estabelecidos na UE, mas
· os bens ou serviços são oferecidos às pessoas em causa na UE (independentemente da remuneração),
· a conduta das pessoas em causa dentro da UE é monitorizada.
· Nos termos do artigo 4 (1) da GDPR, os dados pessoais são "qualquer informação relativa a uma pessoa singular identificada ou identificável". Uma pessoa singular identificável é aquela que pode ser identificada, directa ou indirectamente, em particular por referência a um identificador como um nome, um número de identificação, dados de localização, um identificador em linha ou a um ou mais factores específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular".
· Nos termos do n.º 2 do artigo 4º da GDRP, entende-se por tratamento de dados pessoais qualquer operação ou conjunto de operações efectuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, com ou sem meios automatizados, tais como recolha, registo, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, utilização, divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, alinhamento ou combinação, restrição, apagamento ou destruição.
· Tendo em conta o estado da técnica, os custos de implementação e a natureza, âmbito, contexto e objectivos do processamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas singulares, o controlador (ou processador) deverá implementar medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco, incluindo, entre outros aspectos, conforme adequado:
- a pseudonimização e encriptação de dados pessoais,
- a capacidade de assegurar a permanente confidencialidade, integridade, disponibilidade e resiliência dos sistemas e serviços de processamento,
- a capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada em caso de incidente físico ou técnico,
- um processo para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento.
· A Avaliação de Impacto da Protecção de Dados (DPIA) é um instrumento a ser utilizado quando é provável que um determinado tipo de tratamento, especialmente quando se utilizam novas tecnologias, tendo em conta a natureza, âmbito, contexto e finalidades do tratamento, resulte num elevado risco para os direitos e liberdades dos indivíduos. É um instrumento que pode ajudar os responsáveis pelo tratamento a identificar riscos potenciais do tratamento de dados pessoais e a implementar medidas adequadas.
🗝️
PALAVRAS-CHAVE A LEMBRAR
· GDPR
· Dados pessoais
· Controlador de dados
· Tratamento de dados pessoais
· Avaliação do impacto da protecção de dados
❓
PERGUNTAS DE VERIFICAÇÃO
DE CONHECIMENTOS
· Qual é o âmbito territorial do GDPR?
· que são dados pessoais em geral?
· Um endereço IP é um dado pessoal?
· Quais são as responsabilidades de um responsável pelo tratamento de dados pessoais?
· que se entende por tratamento de dados pessoais?
· que significa a Avaliação de Impacto sobre a Protecção de Dados?