Perguntas mais frequentes sobre o RGPD

Compilámos uma lista com as perguntas mais frequentes e, ainda mais importante, com as respostas a estas perguntas para o ajudar a si e à sua organização no decorrer do vosso percurso rumo à conformidade com o RGPD.


|

Sim. O RGPD requer que os responsáveis pelo tratamento (tais como organizações que utilizam os serviços online empresariais da Microsoft) só recorram a subcontratantes (tais como a Microsoft) que forneçam garantias suficientes para cumprir os requisitos-chave do RGDP. A Microsoft deu um passo proativo ao fornecer estes compromissos a todos os clientes de Licenciamento em Volume como parte dos respetivos contratos.

 

Pode encontrar compromissos contratuais da Microsoft relativos ao RGPD em "Contratos dos clientes" na página "Descrição Geral do RGPD".

 

A Microsoft fornece ferramentas e documentação para o ajudar a cumprir o RGDP. Isto inclui suporte aos Direitos dos Titulares dos Dados, à realização das suas próprias Avaliações de Impacto sobre a Proteção de Dados e à colaboração no sentido de resolver falhas de segurança de dados pessoais. Aceda à página "Descrição Geral do RGPD".

 

Os Termos do RGPD da Microsoft refletem os compromissos exigidos aos subcontratantes estabelecidos no artigo 28.º. O artigo 28.º exige que os subcontratantes se comprometam a:

  • Utilizar sub-subcontratantes apenas mediante o consentimento do responsável pelo tratamento e permanecer responsáveis pelos sub-subcontratantes.
  • Processar dados pessoais apenas mediante instruções do responsável pelo tratamento, incluindo no que respeita às transferências.
  • Garantir que as pessoas que processam dados pessoais assumiram um compromisso de confidencialidade.
  • Implementar as medidas técnicas e organizativas adequadas para garantir um nível de segurança dos dados pessoais adequado ao risco.
  • Ajudar os responsáveis pelo tratamento a cumprirem a obrigação de responder aos pedidos dos titulares dos dados para exercerem os respetivos direitos previstos no RGPD.
  • Cumprir os requisitos de assistência e notificação de falhas de segurança.
  • Ajudar os responsáveis pelo tratamento com as avaliações de impacto sobre a proteção de dados e com as consultas junto das autoridades de controlo.
  • Eliminar ou devolver dados pessoais no final da prestação dos serviços.
  • Apoiar o responsável pelo tratamento com provas da conformidade com o RGPD.

 

 

A Microsoft já utiliza há muito tempo as Cláusulas Contratuais Padrão (também conhecidas como Cláusulas Modelo) como base para a transferência de dados dos respetivos serviços online empresariais. As Cláusulas Contratuais Padrão são os termos padrão estabelecidos pela Comissão Europeia que podem ser utilizados para transferir dados para fora do Espaço Económico Europeu em conformidade. A Microsoft incorporou Cláusulas Contratuais Padrão em todos os contratos de Licenciamento em Volume através dos Termos de Serviços Online. O Grupo do artigo 29.º determinou especificamente que a implementação das Cláusulas Contratuais Padrão por parte da Microsoft é conforme.

 

Além disso, quando o Escudo de Proteção da Privacidade UE-EUA ficou disponível, a Microsoft foi a primeira empresa a obter a certificação. Consulte a certificação da Microsoft relativa ao Escudo de Proteção da Privacidade e leia os Termos de Serviços Online. O Escudo de Proteção da Privacidade UE-EUA ajuda os clientes que pretendem transferir os respetivos dados para os EUA a fazê-lo de acordo com as respetivas obrigações de proteção de dados.

 

Enquanto empresa global com clientes em quase todos os países do mundo, a Microsoft dispõe de um portefólio de conformidade robusto para prestar assistência aos clientes. Para ver uma lista completa das nossas ofertas de conformidade, incluindo FedRamp, HIPAA/HITECH, ISO 27001, ISO 27002, ISO 27018, NIST 800-171, UK G-Cloud e muito mais, aceda à nossa lista de ofertas de conformidade.

|

 

Para obter informações sobre as funcionalidades dos serviços Microsoft que são utilizadas para satisfazer os requisitos do RGPD, aceda a www.microsoft.com/trust-center/privacy/gdpr-accountability-documentation.

 

O RGPD impõe vários requisitos às organizações que recolhem ou processam dados pessoais, incluindo um requisito que as obriga a cumprir seis princípios-chave:

  • Transparência, lealdade e licitude no processamento e na utilização dos dados pessoais. Terá de esclarecer as pessoas sobre a forma como está a utilizar os dados pessoais e precisará de uma "base legal" para processar esses dados.
  • Limitar o processamento de dados pessoais a finalidades determinadas, explícitas e legítimas. Não poderá reutilizar nem divulgar dados pessoais para fins incompatíveis com a finalidade para a qual os dados foram recolhidos inicialmente.
  • Minimizar a recolha e o armazenamento de dados pessoais ao que é adequado e pertinente tendo em conta a finalidade pretendida.
  • Garantir a exatidão dos dados pessoais e permitir que sejam apagados ou retificados. Terá de adotar medidas para garantir que os dados pessoais que detém são exatos e podem ser corrigidos caso ocorram erros.
  • Limitar o armazenamento de dados pessoais. Terá de garantir que conserva os dados pessoais apenas durante o tempo que for necessário para alcançar as finalidades para as quais os dados foram recolhidos.
  • Garantir a segurança, integridade e confidencialidade dos dados pessoais. A sua organização tem de adotar medidas de segurança técnicas e organizativas para manter os dados pessoais protegidos.

Terá de saber quais são as obrigações específicas da sua organização em relação ao RGPD e como as cumprirá apesar de a Microsoft estar disponível para ajudar no seu percurso rumo à conformidade com o RGPD.

Para saber mais sobre o Regulamento Geral sobre a Proteção de Dados (RGPD), aceda a www.microsoft.com/gdpr, onde também poderá saber mais sobre a forma como produtos específicos da Microsoft o podem ajudar a preparar-se para cumprir o RGPD. Consulte as secções sobre o Azure, o Dynamics 365, o Enterprise Mobility + Security, i Office 365 e o Windows 10.

O RGPD permite que as pessoas que residem na UE controlem os seus dados pessoais através de um conjunto de "direitos dos titulares dos dados". Isto inclui o direito de:

  • Aceder às informações sobre a forma como os dados pessoais são utilizados.
  • Aceder aos dados pessoais detidos por uma organização.
  • Fazer com que os dados pessoais incorretos sejam eliminados ou corrigidos.
  • Fazer com que os dados pessoais sejam retificados e apagados em determinadas circunstâncias (por vezes referido como o "direito a ser esquecido").
  • Restringir ou opor-se ao processamento automatizado dos dados pessoais.
  • Receber uma cópia dos dados pessoais.

O responsável pelo tratamento é a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de processamento de dados pessoais. O subcontratante é a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que processe dados pessoais por conta do responsável pelo tratamento destes.

Sim, o RGPD aplica-se tanto aos responsáveis pelo tratamento como aos subcontratantes. Os responsáveis pelo tratamento só podem recorrer a subcontratantes que adotem medidas para cumprir os requisitos do RGPD.

 

Ao abrigo do RGPD, os subcontratantes têm mais funções e assumem mais responsabilidades em caso de não conformidade ou se não agirem de acordo com as instruções dadas pelo responsável pelo tratamento do que as que são impostas pela Diretiva Relativa à Proteção de Dados. As funções dos subcontratantes incluem, entre outras:

  • Processar dados apenas conforme indicado pelo responsável pelo tratamento de dados.
  • Adotar medidas técnicas e organizativas adequadas para proteger os dados pessoais.
  • Prestar assistência ao responsável pelo tratamento relativamente a pedidos efetuados pelos titulares dos dados.
  • Garantir que os subcontratantes que contrata cumprem estes requisitos.

As empresas podem ser multadas em até 20 milhões de euros ou 4% do volume de negócios global anual (o que for superior) se não cumprirem determinados requisitos do RGPD. Se existirem outras medidas corretivas, o seu risco poderá aumentar caso não cumpra os requisitos do RGPD.

Depende de vários fatores definidos no âmbito do regulamento. O artigo 37.º do RGPD estabelece que os responsáveis pelo tratamento e os subcontratantes deverão designar um encarregado de proteção de dados sempre que: (a) o processamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional, (b) as atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de processamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala ou (c) as atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de processamento em grande escala de categorias especiais de dados nos termos do artigo 9.º e de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10.º.

O cumprimento do RGPD implica tempo e dinheiro para a maioria das organizações, embora possa implicar uma transição mais fácil para as que já estejam a operar num modelo de serviços na nuvem bem concebido e que já tenham um programa de gestão de dados eficaz implementado.

|

O RGPD regula a recolha, o armazenamento, a utilização e a partilha de "dados pessoais". Os dados pessoais são definidos de forma muito lata no RGPD como a informação relativa a uma pessoa singular identificada ou identificável.

 

Os dados pessoais podem incluir, entre outros, identificadores por via eletrónica (por exemplo, endereços IP), informações sobre os colaboradores, bases de dados de vendas, dados do serviço de apoio ao cliente, formulários de reposta dos clientes, dados de localização, dados biométricos, vídeos de CCTV, registos de programas de fidelização, informações financeiras e relativas à saúde e muito mais. Estes dados podem mesmo incluir informações que não parecem ser pessoais, tal como uma fotografia de uma paisagem sem pessoas, se essa informação estiver ligada a uma pessoa identificável através de um número de conta ou código exclusivo. Além disso, até os dados pessoais que foram apresentados sob pseudónimo podem ser dados pessoais se for possível ligar o pseudónimo a uma determinada pessoa.

 

Também deve ter em atenção que o processamento de determinadas categorias "especiais" de dados pessoais, tais como os dados pessoais que revelam a origem racial ou étnica de uma pessoa ou relativos à saúde ou orientação sexual da mesma, está sujeito a regras mais rigorosas que o processamento de dados pessoais "comuns".

 

A avaliação de dados pessoais depende bastante dos factos, pelo que recomendamos consultar um perito para avaliar as suas circunstâncias específicas.

Sim. Embora as regras sejam ligeiramente diferentes, o RGPD aplica-se às organizações que recolhem e processam dados para as suas próprias finalidades ("responsáveis pelo tratamento"), bem como às organizações que processam dados em nome de terceiros ("subcontratantes"). Isto difere da Diretiva Relativa à Proteção de Dados existente, que apenas se aplica aos responsáveis pelo tratamento.

Os dados pessoais são as informações relativas a uma pessoa singular identificada ou identificável. Não há diferença entre as funções privadas, públicas ou laborais das pessoas. Os dados pessoais podem incluir:

 

Seguem-se alguns exemplos de dados pessoais:

 

Identidade

  • Nome
  • Morada particular
  • Endereço do trabalho
  • Número de telefone
  • Número de telemóvel
  • Endereço de e-mail
  • Número do passaporte
  • Cartão de identidade nacional
  • Número da Segurança Social (ou equivalente)
  • Carta de condução
  • Informações físicas, fisiológicas ou genéticas
  • Informações médicas
  • Identidade cultural

Finanças

  • Detalhes bancários/números de contas bancárias
  • Número de identificação fiscal
  • Endereço do trabalho
  • Números de cartões de crédito/débito
  • Publicações de redes sociais

Artefactos online

  • Publicações de redes sociais
  • Endereço IP (UE)
  • Dados de localização/GPS
  • Cookies

Sim, mas o RGDP regula de forma rigorosa as transferências de dados pessoais de pessoas que residem na Europa para destinos fora do Espaço Económico Europeu. Poderá ter de instaurar um mecanismo jurídico específico, tal como um contrato, ou aderir a um mecanismo de certificação para conseguir realizar estas transferências. A Microsoft especifica os mecanismos que utiliza nos Termos de Serviços Online.

Nos casos em que existem motivos legítimos para a continuação do processamento e a retenção de dados, tal como o "cumprimento de uma obrigação legal que exija o processamento prevista pelo direito da União Europeia ou de um Estado-Membro a que o responsável esteja sujeito" (artigo 17.º, 3, (b)), o RGPD reconhece que as organizações poderão ter de reter dados. Contudo, deve garantir que obtém aconselhamento jurídico para se certificar de que os motivos da retenção são ponderados em função dos direitos e liberdades dos titulares dos dados, das respetivas expectativas aquando da recolha dos dados, etc.

A encriptação é identificada no RGPD como uma medida de proteção que torna os dados pessoais inteligíveis quando são afetados por uma falha de segurança. Deste modo, a utilização ou não utilização da encriptação poderá afetar os requisitos de notificação de falhas de segurança. O RGPD também estabelece que a encriptação é uma medida técnica e organizativa adequada em alguns casos, dependendo do risco. Além disso, a encriptação é um requisito de acordo com a norma Payment Card Industry Data Security Standard e faz parte das rigorosas diretrizes de conformidade específicas da indústria dos serviços financeiros. Os produtos e serviços da Microsoft, tais como o Azure, o Dynamics 365, o Enterprise Mobility + Security, o Office 365, SQL Server/a Base de Dados SQL do Azure e o Windows 10, fornecem encriptação robusta para dados em trânsito e dados inativos.

 

Para saber mais sobre como os produtos e serviços da Microsoft podem ajudá-lo a preparar-se para cumprir o RGPD, veja como os nossos produtos o ajudam a cumprir os requisitos do RGPD.

O RGPD irá alterar os requisitos de proteção de dados e impor obrigações mais rigorosas aos subcontratantes e aos responsáveis pelo tratamento relativamente à notificação de falhas de segurança de dados pessoais. Ao abrigo do novo regulamento, o subcontratante tem de notificar o responsável pelo tratamento de que ocorreu uma falha de segurança de dados pessoais após ter tomado conhecimento da mesma, sem demora injustificada. Assim que tenha conhecimento de uma falha de segurança de dados pessoais, o responsável pelo tratamento tem 72 horas para notificar a autoridade de proteção de dados relevante. Se for provável que a falha de segurança represente um risco elevado para os direitos e liberdades das pessoas, os controladores também terão de notificar as pessoas afetadas sem demora injustificada. O Grupo do artigo 29.º da União Europeia está a desenvolver mais diretrizes sobre este tópico.

 

Os produtos e serviços da Microsoft, tais como o Azure, o Dynamics 365, o Enterprise Mobility + Security, o Office 365 e o Windows 10, já disponibilizam soluções para o ajudar a detetar e avaliar ameaças e falhas de segurança, bem como a cumprir as obrigações de notificação de falhas de segurança impostas pelo RGPD.

|

O Microsoft FastTrack é uma vantagem do serviço*. É o nosso serviço de sucesso para clientes que permite ajudar os negócios a gerarem valor comercial de forma mais rápida com a Microsoft Cloud. O FastTrack ajuda a:

  • Migrar o e-mail e os conteúdos, bem como ativar os serviços do Microsoft 365.
  • Implementar e gerir dispositivos em segurança.
  • Promover o negócio e fomentar a adoção dos utilizadores finais.

O Microsoft FastTrack é uma vantagem do serviço repetível e contínua que é disponibilizada aos clientes pelos engenheiros e especialistas da Microsoft para ajudar esses mesmos clientes ou os parceiros a planearem, integrarem e fomentarem a adoção/utilização, bem como a mudarem para a nuvem com confiança e ao ritmo que pretenderem.

 

Como ajudamos os clientes com implementações específicas e com a migração para os nossos Serviços Online, o Microsoft FastTrack ficará em conformidade com o RGPD até à entrada em vigor do mesmo (25 de maio de 2018). Como parte da vantagem do serviço profissional FastTrack, também trabalhamos com os parceiros atuais dos nossos clientes ou aconselhamos Parceiros que prestem assistência ao nível da implementação e adoção.

 

Consulte https://FastTrack.Microsoft.com para obter mais informações.

 

*Uma "vantagem do serviço" é considerada um "serviço profissional" de acordo com os nossos Termos de Serviços Online e MBSA.

Os engenheiros e especialistas do FastTrack são peritos da indústria no planeamento dos cenários e do valor comercial que os clientes ou parceiros querem alcançar e concentram-se no planeamento, na implementação e no fomento da adoção de produtos e serviços para ajudarem os clientes ou parceiros a alcançarem estes objetivos. Saiba mais sobre como os produtos e serviços da Microsoft o ajudam a estar em conformidade com o RGPD através do site do nosso Centro de Confiança. Incentivamos os nossos clientes e parceiros a colaborarem com um profissional com formação jurídica para debater o RGPD, a forma como este se aplica especificamente à organização e à melhor forma de garantirem a conformidade.

Recomendamos que os nossos clientes colaborem com as respetivas equipas legais e de conformidade para determinarem os requisitos do RGPD em matéria de encriptação e os requisitos gerais deste mesmo regulamento. A conformidade com o RGPD depende dos dados recolhidos, dos cenários de utilização e dos vetores ou setores industriais dos clientes.

O Microsoft FastTrack é um serviço de sucesso para clientes que se destina a acelerar as implementações, a fomentar o ROI e a aumentar a adoção dos produtos e serviços da Microsoft por parte dos seus colaboradores ou utilizadores finais. Posto isto, à medida que os clientes ou parceiros submetam um pedido de assistência através do Microsoft FastTrack, daremos início ao nosso processo para implementar devidamente os produtos e serviços da Microsoft para os nossos clientes ou parceiros.

 

Como parte da nossa vantagem do serviço profissional FastTrack, também trabalhamos com os parceiros atuais dos nossos clientes ou aconselhamos Parceiros que prestem assistência ao nível da implementação e adoção. Pode saber mais sobre os Parceiros especializados no RGPD que estão disponíveis para ajudar os Parceiros da Microsoft a cumprirem este regulamento conforme descrito na página do RGPD do Centro de Confiança aqui. Pode consultar a nossa página Web da Nuvem Fidedigna/do RGPD para avaliar se está pronto para a chegada do RGPD e para saber como pode acelerar a conformidade com o RGPD com a Microsoft Cloud e utilizar o Microsoft FastTrack para obter ajuda na implementação.


Recursos adicionais

Localizar um parceiro

Fale sobre as suas necessidades relacionadas com o RGPD com um dos nossos parceiros globais que oferecem soluções com base na Microsoft.

Práticas de privacidade da Microsoft

Saiba como a Microsoft gere os seus dados, onde é que estes se encontram, quem lhes pode aceder e em que situações, e muito mais.

O Escudo de Proteção da Privacidade UE-EUA

Saiba como a Microsoft adere aos princípios da estrutura do Escudo de Proteção da Privacidade UE-EUA.

Notificação de falha de segurança de dados

Saiba como é que a Microsoft deteta e responde a falhas de segurança de dados pessoais e notifica o utilizador ao abrigo do RGPD.