Transcription of MAIO 2018 - occ.pt
1 MAIO 2018 MANUAL DE APOIO IMPLEMENTA O DO REGULAMENTO GERAL DE PROTE O DE DADOS (RGPD)MANUAL DE APOIO IMPLEMENTA O DO REGULAMENTO GERAL DE PROTE O DE DADOS (RGPD)ORDEM DOS CONTABILISTAS CERTIFICADOSMAIO 20182 Introdu oO presente guia nasce do desafio colocado pelos Contabilistas Certificados (CC) ao Conselho Di-retivo da Ordem dos Contabilistas Certificados (OCC) de os auxiliar na implementa o do Regu-lamento Geral de Prote o de Dados (RGPD) na sua atividade e nos seus gabinetes e o repto, a Ordem elaborou este guia, de cariz eminentemente pr tico, sem descurar o necess rio enquadramento legal, que pretende reunir as quest es mais essenciais imple-menta o do se querer substituir necess ria an lise dos casos concretos em que a profiss o exercida e carecendo sempre de uma adapta o a cada situa o concreta o CC poder encontrar neste guia a orienta o pr tica e procedimental para aplicar o guia , deste modo, o primeiro documento em que a atual dire o da Ordem deixa patente o seu desiderato de prestar aos seus membros um apoio real nas diversas reas transversais que t m implica es no exerc cio da sua profiss o.
2 Com o objetivo de contribuir para uma dignifica- o da profiss o e o dom nio de mais ferramentas de es iniciaisNO ES ESSENCIAISO RGPD tem como principal objetivo eliminar as assimetrias existentes nos diferentes regimes de prote o de dados em vigor nos diferentes pa ses da Uni o Europeia que representavam um obst culo ao funcionamento do Mercado a necessidade de uniformizar o regime de prote o de dados pessoais nos pa -ses que integram o Espa o Europeu, o RGPD apresenta um conjunto de direitos dos titulares de dados pessoais e de obriga es de tratamento de dados que se imp em aos Respons veis pelo Tratamento e , a maior parte dos dados pessoais processados pelas empresas recorrem a ferra-mentas inform ticas que dever o ser adequadas a garantir uma boa aplica o do RGPD, no sentido de assegurar a confidencialidade, integridade e seguran a dos modo, no que respeita ao tratamento inform tico dos dados devem respeitar-se essen-cialmente duas caracter sticas de seguran a essenciais:- Seguran a no acesso aplica o ou sistema pela utiliza o de password ou outro m todo de autentica o ou identifica A possibilidade de rastreamento dos acessosN o obstante estes dois requisitos sejam essenciais para garantir a seguran a do acesso aos dados, a aplica o do RGPD tem um alcance maior.
3 Para garantir os direitos do titular dos dados e os princ pios de tratamento do RGPD importan-te considerar a rastreabilidade da informa o produzida e DE APOIO IMPLEMENTA O DO REGULAMENTO GERAL DE PROTE O DE DADOS (RGPD)ORDEM DOS CONTABILISTAS CERTIFICADOSMAIO 20183 Conceito de dados pessoaisNos termos e para os efeitos do artigo 4 , 1) consideram-se dados pessoais, toda a informa o relativa a uma pessoa singular identificada ou identific RGPD aplica-se apenas aos dados das pessoais singulares, n o abrangendo os dados das pes-soas coletivas nem os dados das pessoas j falecidas, com exce o dos dados sens dados pessoais toda a informa o relativa identifica o do seu titular ou que possam levar sua identifica o de forma direta ou indireta, como por exemplo um nome, um n mero de identifica o, dados de localiza o, identificadores por via eletr nica ou a um ou mais elementos espec ficos da identidade f sica, fisiol gica, gen tica, mental, econ mica, cul-tural, religiosa ou de dados pessoais: Nome N mero de identifica o BI, NIF, carta de condu o, Passaporte.
4 Endere os de identifica o e localiza o F sicos como por exemplo a morada Eletr nicos: endere o de email, p gina web, p gina de Facebook, Biom tricos Altura, peso, conota es f sicas diversas Gen tica Sa de S ndromas, doen as Desempenho f sico ou mental Dados de diagn sticos como press o arterial ou ECG Econ micos Culturais Religiosos Sociais Pol ticosMANUAL DE APOIO IMPLEMENTA O DO REGULAMENTO GERAL DE PROTE O DE DADOS (RGPD)ORDEM DOS CONTABILISTAS CERTIFICADOSMAIO 20184 Distin o entre seguran a inform tica, sigilo profissional e RGPDA ntes de abordar a aplica o do RGPD no seu neg cio de extrema import ncia fazer uma distin o clara entre seguran a inform tica e da Informa o, sigilo profissional e que diz respeito seguran a inform tica ou seguran a da informa o a base para uma im-plementa o assenta sobre os seguintes pilares.
5 Seguran a, controlo e registo de acessos s instala es ou zonas sens veis das insta-la es. Seguran a, controlo e registo de acessos rede ou dispositivos do neg cio Internamente (Log-on nos computadores) A partir do exterior (da internet a um recurso interno) Seguran a, controlo e registo de acessos a recursos da rede ou de dispositivos isolados Utiliza o de passwords ou outros m todos de acesso de seguran a. Forma o adequada dos exemplo, escrever a password num post-it e/ou partilha-la com os colegas de trabalho uma regra b sica de seguran a e n o uma regra imposta pelo RGPD. Caso haja exista uma fuga de informa o por causa deste comportamento, ent o estaremos sim a falar de uma n o con-formidade abrangida pelo o sigilo profissional consubstancia um dos deveres do Contabilista Certificado enquanto membro de uma Ordem que se rege por um Estatuto que consagra as regras do exerc cio da profiss o.
6 Este ser um dever pr vio e anterior ao respeito pelo RGPD que n o podendo ser com este confundido, dele faz parte integrante. De facto, as quest es de tica s o anteriores e sobre-p em-se a qualquer outro princ pio. Em resumo: As regras b sicas da seguran a dos dados digitais e f sicos devem ser cumpridas de raiz, independentemente do RGPD. O c digo deontol gico e os comportamentos ticos s o basilares tamb m para a aplica o do RGPD, por m nunca deve-se sobrepor a este. O RGPD uma lei composta por um conjunto de regulamentos que confere aos resi-dentes europeus um maior controlo sobre os seus dados pessoais e requer que as em-presas mantenham um n vel de seguran a apropriada para a prote o destes mesmos DE APOIO IMPLEMENTA O DO REGULAMENTO GERAL DE PROTE O DE DADOS (RGPD)ORDEM DOS CONTABILISTAS CERTIFICADOSMAIO 20185O contabilista certificado e o RGPD: o CC por conta de outrem, o CC Em pr tica individual, o CC como empres rioO RGPD deve ser encarado como uma norma que implica a ado o de procedimentos, docu-mentos e condutas internas com o objetivo de minimizar a exist ncia de viola es de art.
7 28. da Proposta de Lei de Prote o de Dados prev expressamente o papel do Contabi-lista Certificado nos seguintes termos:Artigo 28. Rela es laborais1 - O empregador pode tratar os dados pessoais dos seus trabalhadores nos termos definidos no C digo do Trabalho e respetiva legisla o complementar ou noutros regimes setoriais, com as especificidades estabelecidas no presente artigo. 2 - O n mero anterior abrange igualmente o tratamento efetuado por subcontratante ou conta-bilista certificado em nome do empregador, para fins de gest o das rela es laborais, desde que realizado ao abrigo de um contrato de presta o de servi os e sujeito a iguais garantias de o restam assim d vidas import ncia de o Contabilista Certificado adotar as melhores pr -ticas de prote o de dados em conformidade com RGPD as quais assentam essencialmente sobre as regras definidas no regulamento.
8 Por m o alcance da sua aplica o, e at mesmo as obriga es, poder variar em fun o da dimens o do neg cio, do tipo de dados tratados e da natureza jur dica do respons vel pelo tratamento e subcontratante, bem como da qualidade em que trata os exerc cio da profiss o de Contabilista poder fazer-se em tr s pap is essenciais: O CC por conta de outrem O CC em pr tica individual O CC como empres rioNo primeiro caso, o CC dever essencialmente conhecer e apoiar-se ao manual de aplica o de RGPD fornecido pela entidade patronal. A responsabilidade do CC, neste caso, a de cumprir em todos os momentos da execu o das suas fun es, com as boas pr ticas, que protejam tanto os dados pessoais com que lida, como, por consequ ncia a entidade patronal de eventuais proce-dimentos por n o-conformidade. Tamb m deve estar ciente dos procedimentos em vigor a por em pr tica em caso de incidentes.
9 Caso, por exemplo, divulgue acidentalmente dados dos clien-tes ou caso de uma fuga de informa o, um ataque inform tico ou um acesso n o autorizado que possa levar a um acidente. O CC nesta posi o tamb m dever conhecer pormenores da aplica o do regulamento como contactos do Data Protection Officer (DPO) ou outras refer n-cias internas para onde direcionar um Data Subject em caso de DE APOIO IMPLEMENTA O DO REGULAMENTO GERAL DE PROTE O DE DADOS (RGPD)ORDEM DOS CONTABILISTAS CERTIFICADOSMAIO 20186 Exemplo:O CC envia dados pessoais por email de um cliente para outro erradamente. Isto considerado um incidente. O CC deve informar a entidade patronal e o DPO sobre o sucedido, para que este inicie o procedimento descrito no C digo de Conduta ou Manual de este procedimento passa por: Dependendo do programa e sistema de email utilizado dever antes de mais tentar-se um recall do email.
10 De seguida dever reportar-se o acidente ao cliente lesado , no prazo de 72 horas. Esta comunica o dever informar claramente do que foi divulgado, qual o risco potencial ou real para o cliente lesado e quais as medidas tomadas para minimizar esse risco ou impacto. Informar do sucedido o cliente para o qual foi enviada a informa o erradamente e pedir para que seja destru da. Dever finalmente ser criado um relat rio interno para o DPO. Este relat rio dever estar dispon vel para consulta futura em caso de necessidade. No caso do CC em pr tica individual, este dever certificar-se que conhece os direitos e os prin-c pios essenciais do regulamento, devendo rever as suas a es e procedimentos no que diz respeito ao processamento dos dados pessoais dos seus clientes e assegurar-se que a cada momento estas a es respeitam os direitos e os princ pios do Data : Caso o CC guarde as passwords de acesso a sites da Seguran a Social ou Finan as num ficheiro Excel, dever garantir que este est encriptado e protegido por password.