Workshop RGPD Patrocinadores Platina Patrocinadores Ouro Patrocinadores Prata

Workshop RGPD Patrocinadores Platina Patrocinadores Ouro Patrocinadores Prata Apoios Organização

Agenda ● RGPD – visão ao nível do Ministério da Ciência, Tecnologia e Ensino Superior ● RGPD – aplicação ao nível da FCT | FCCN ● RGPD – aplicação no projeto ● Axians – RGPD Caminho da Conformidade ● Espaço para debate (perguntas e respostas)

O REGULAMENTO GERAL DE PROTEÇÃO DE DADOS REGULAMENTO (UE) 2016/679, DE 27 DE ABRIL DE 2016 Anabela dos Santos Afonso (EPD / DPO) O primeiro ano de aplicação 3

| Algumas ideias fundamentais: O RGPD, apresentado como um novo regime jurídico de proteção de dados pessoais, veio impor uma disciplina uniforme em todos os Estados-Membros da UE, reforçando a ideia de que o tratamento de dados pessoais é um direito fundamental. Cedo se compreendeu que a aplicação do RGPD abrangia muito mais que o tratamento de dados pessoais transformando-se num instrumento de gestão transversal a uma organização. A aplicação do RGPD impõe a necessidade da avaliação e reorganização de todos os processos de uma organização, pública ou privada. Assim O RGPD É UM INSTRUMENTO DE GESTÃO E DE SEGURANÇA DE UMA ORGANIZAÇÃO. O RGPD CONTRIBUI PARA BOAS PRÁTICAS E SOLUÇÕES AO NÍVEL DA SEGURANÇA DA INFORMAÇÃO O RGPD É UM INSTRUMENTO PARA A QUALIDADE DAS ORGANIZAÇÕES 4

| O que fizemos Primeira fase: Sensibilização para o RGPD: 1. Definição de metodologia de trabalho A metodologia de trabalho definida assentou nos seguintes pilares fundamentais: - Garantir o efetivo exercício de direitos aos cidadãos (titulares dos dados pessoais, através da prestação de um serviço público de qualidade) - Garantir a organização interna orientada para a proteção dos dados pessoais - Assegurar o conhecimento e a participação dos trabalhadores - Assegurar a participação ativa e colaborativa de todas as entidades 5

2. Operacionalização através de reuniões com os representantes das entidades para: - Sensibilização para a matéria da proteção de dados e suas especificidades de aplicação prática - Sensibilização relativamente ao novo paradigma de relacionamento com o titular dos dados pessoais, no diz respeito ao consentimento livre, informado e especifico e ainda ao exercício dos direitos de acesso, retificação, limitação apagamento aos dados pessoais e apresentação de reclamações ou queixas - Sensibilização para a segurança dos sistemas informáticos, de comunicação e de informação com o cumprimento das normas constantes em Resolução do Conselho de Ministros e em especial na RCM 41/2018 - Desenvolvimento de uma metodologia de trabalho - Desenvolvimento de uma estratégia comum de cumprimento do RGPD - Promoção do conhecimento específico de todos os processos com dados pessoais - Definição de prioridades nas ações a realizar no âmbito da aplicação do RGPD - Promoção de partilha de informação - Promoção da gestão da qualidade nas organizações visando, a partir do core business, a sistematização de processos, a identificação de responsáveis e o incentivo à melhoria continua da atividade - Criação de pontos de contacto 6

| Como fizemos Segunda fase: Aplicação do RGPD atendendo às orientações do Grupo de Trabalho do artigo 29. º e do atual Comité Europeu para a Proteção de Dados (CEPD): Definição de politicas no âmbito dos direitos fundamentais e direitos relacionados com a proteção de dados pessoais, através da criação e divulgação de informação relacionada com: - Definição de politicas de privacidade Definição de politicas de cookies Definição de politicas de proteção de propriedade intelectual Definição de formas de proteção e de cedência de direitos de imagem Criação e divulgação de informação relacionada com: - A compreensão geral do RGPD – o âmbito de aplicação, os princípios, os conceitos, direitos, os tratamentos de dados pessoais, o responsável pelo tratamento de dados, o subcontratante, o encarregado da proteção de dados A compreensão especifica do RGPD - O Responsável pelo Tratamento de Dados; O Subcontratante; O Encarregado da Proteção de Dados (DPO) e a Avaliação de Impacto sobre Dados Pessoais. 7

| Como fizemos Segunda fase: Aplicação do RGPD: Reuniões para apreciação da relação entre o - RGPD e o SIADAP Acesso e disponibilização de dados pessoais de terceiros, atas e outros documentos nominativos. - RGPD e o Código dos Contratos Públicos Avaliação das cláusulas a integrar as peças dos procedimentos simplificados, dos Cadernos de Encargos e dos Contratos. Aditamentos Avaliação da intervenção do DPO. Revisão de fluxogramas. 8

| Como fizemos Segunda fase: Aplicação do RGPD: - Ações em fase de implementação Parceria SGEC / FCT, IP / PARQUE ESCOLAR, IP para a criação de Aplicação de Gestão da Conformidade e Monitorização do Cumprimento do Regulamento Geral de Proteção de Dados Pessoais (RGPD) Pretende-se disponibilizar um instrumento que assegure o diagnóstico da organização, inventariação e revisão de processos, a categorização de dados, as notificações obrigatórias, o registo atualizado de todas as atividades de tratamento de dados e respetiva comprovação, a avaliação do impacto de risco, a preparação do manual de segurança e do regulamento interno. 9

| Como fizemos Segunda fase: Aplicação do RGPD: - Ações em fase de desenvolvimento: 1. Elaboração de manuais de boas práticas para distribuição SGEC: - O RGPD e as Relações Laborais 2. Elaboração de manuais de boas práticas em pareceria: - SGEC / Direção-Geral das Estatísticas da Educação e Ciência – A Anonimização de Dados 3. Criação de website para divulgação de informação e disponibilização de uma newsletter - A avaliar oportunamente com todos os parceiros 4. Criação de rede de Encarregados de Proteção de Dados e Equipas de Proteção de Dados para partilha de conhecimento e participação comum em diversas iniciativas 5. Organização e participação em iniciativas – Conferências, ações de formação 10

Agenda ● RGPD – visão ao nível do Ministério da Ciência, Tecnologia e Ensino Superior ● RGPD – aplicação ao nível da FCT | FCCN ● RGPD – aplicação no projeto ● Axians – RGPD Caminho da Conformidade ● Espaço para debate (perguntas e respostas)

RGPD – aplicação ao nível da FCT | FCCN Artur Gaspar agaspar@fccn. pt Patrocinadores Ouro Patrocinadores Platina Patrocinadores Prata Apoios Organização

RGPD - Metodologia para aplicação na FCT Primeira fase: Sensibilização para o RGPD ○ Formação a grande parte dos colaboradores ○ Criação de Grupo de trabalho para RGPD (envolvendo representantes de todas as áreas) ○ Definição de metodologia de trabalho alinhada com a estratégia do Grupo de Trabalho liderado pela SGEC Segunda fase : Aplicação do RGPD ○ Levantamento e documentação ○ Implementação

Aplicação do RGPD - Levantamento e documentação Quais e qual o tratamento que é dado aos dados pessoais na FCT? Quem é o responsável pelo tratamento? Qual é o impacto de uma divulgação não prevista (leak) destes dados pessoais? 1. Identificar os dados pessoais recolhidos/tratados 2. Identificar processos e repositórios 3. Avaliar licitude de cada um dos tratamentos 4. Identificar riscos e impactos Como é que os titulares exercem os seus direitos? Que controlos de segurança existem e que evidência geram? 5. Identificar controlos de segurança existentes 6. Introduzir o exercício de direitos dos titulares nos processos (Em curso aguarda desenvolvimento da Aplicação de Gestão da Conformidade e Monitorização do Cumprimento do Regulamento Geral de Proteção de Dados Pessoais)

Aplicação do RGPD - Implementação 1. Designar um encarregado de proteção de dados EPD/ DPO (Feito e publicitado no sítio institucional) 2. Definir uma política de privacidade para a FCT (Em elaboração) 3. Definir um código de conduta para os seus funcionários (Em elaboração) 4. Definir controlo de acessos a dados pessoais 5. Revisitar contratos (CCP) (Aplicado em novos contratos) 6. Reengenharia de processos 7. Adaptar sistemas de informação (incluindo RCM 41/2018)

Aplicação do RGPD – Outras realizações ○ Interação e participação em reuniões frequentes com grupo de trabalho liderado pela SGEC ○ Resposta caso às necessidades das áreas internas da FCT ○ Resposta a reclamações enviadas para dpo@fct. pt ○ Parceria SGEC / FCT, IP / PARQUE ESCOLAR, IP para desenvolvimento da aplicação de gestão ○ Piloto

Aplicação do RGPD – Desafios ○ Disponibilidade de recursos internos para fazer o levantamento e documentação em todas as áreas ○ Disponibilidade de recursos para proceder à adaptação dos sistemas de informação (incluindo RCM 41/2018)

Agenda ● RGPD – visão ao nível do Ministério da Ciência, Tecnologia e Ensino Superior ● RGPD – aplicação ao nível da FCT | FCCN ● RGPD – aplicação no projeto ● Axians – RGPD Caminho da Conformidade ● Espaço para debate (perguntas e respostas)

Agenda ● RGPD – visão ao nível do Ministério da Ciência, Tecnologia e Ensino Superior ● RGPD – aplicação ao nível da FCT | FCCN ● RGPD – aplicação no projeto ● Axians – RGPD Caminho da Conformidade ● Espaço para debate (perguntas e respostas)

Agenda ● RGPD – visão ao nível do Ministério da Ciência, Tecnologia e Ensino Superior ● RGPD – aplicação ao nível da FCT | FCCN ● RGPD – aplicação no projeto ● Axians – RGPD Caminho da Conformidade ● Espaço para debate (perguntas e respostas)

Espaço para Debate (perguntas e respostas)