EU-Datenschutzreform: Chancen und Risiken O novo Regulamento de Proteção de Dados da UE: Oportunidades e Riscos 02 2017 - AHK Portugal
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Zeitschrift der AHK Portugal
Revista da Câmara de Comércio
e Indústria Luso-Alemã
02 2017
Preis / Preço: 2,50€
EU-Datenschutzreform:
Chancen und Risiken
O novo Regulamento de Proteção
de Dados da UE: Oportunidades e Riscos
www.ccila-portugal.com
THEMEN
THEMEN
/ TEMAS
/ TEMAS
VORWORT WIR ÜBER UNS
EDITORIAL A CÂMARA INFORMA
Investitionen in Portugal
02 2017 – mehr als man denkt!
Investimento em Portugal
Eigentum und Herausgabe / Propriedade e Edição – mais do que se julga! 5
AHK Portugal
Câmara de Comércio e Indústria Luso-Alemã
EU-DATENSCHUTZREFORM:
Verantwortlich / Diretor
CHANCEN UND RISIKEN
Hans-Joachim Böhmer
O NOVO REGULAMENTO DE PROTEÇÃO
Sitz und Redaktion / Sede e Redação DE DADOS DA UNIÃO EUROPEIA:
Av. da Liberdade 38 - 2º OPORTUNIDADES E RISCOS
1269-039 Lisboa - Portugal Premierminister Costa Ehrengast beim
T +351 213 211 200 · F +351 213 467 150 EU-Datenschutzreform:
Chancen und Risiken Festabend der AHK Portugal
infolisboa@ccila-portugal.com Depois da Assembleia Geral: CCILA recebe
www.ccila-portugal.com
NPC 500919844
O novo Regulamento de Proteção de Dados
da União Europeia: Oportunidades e Riscos 6 Primeiro-Ministro em jantar de sócios 28
Anzeigen / Publicidade AHK-Geschäftsreise deutscher
Die Neue Grundregelung des Unternehmenauf die Kapverden
Betina Marreiros Datenschutzes, vom Fachmann erklärt: erneut ein voller Erfolg
T +351 213 211 215 · F +351 213 211 150 Chancen inmitten des Chaos
3ª Missão Empresarial Alemã de Energia
betina-marreiros@ccila-portugal.com O novo Regime Geral de Proteção de Dados
explicado pelo especialista: Encontrar
para Cabo Verde com grande impacto 34
Grafik / Grafismo
Simão Dias, Bliknik Lda. oportunidades no meio do caos 12 Portugal: Exportchancen für deutsche
Anbieter von Dienstleistungen und
Auflage / Tiragem Equipment für die Tourismusbranche
2.500 Exemplare / Exemplares Viagem de Informação de turismo
à Alemanha fomenta o intercâmbio
Erscheinungsweise / Periodicidade
Dreimonatig / Trimestral
entre os dois países 35
Depósito Legal Nº 162119/01 DUALE AUSBILDUNG
Registo na ERC 125269 FORMAÇÃO PROFISSIONAL
Einweihung der Schulküche im Zentrum
Druck / Impressão DUAL Portimão
What Colour is this? Die Datenschutz-Grundverordnung: kurzer
Centro DUAL Portimão inaugura
Rua do Coudel 14, Lj. A · 2725-274 Mem Martins
T +351 219 267 950 · www.whatcolouristhis.pt
juristisch-praktischer Überblick
O Regulamento Geral de Protecção de
restaurante e cozinha 25
Wir haben uns bei der Zusammenstellung der
Dados: breve perspectiva jurídico-prática 18 MARKT DEUTSCHLAND
Informationen um eine sehr aufmerksame und MERCADO ALEMÃO
sorgfältige Vorgehensweise bemüht. Jedoch
LUÍS PISCO, VOM PORTUGIESISCHEN
VERBRAUCHERSCHUTZVERBAND DECO AHK World Business Outlook 38
übernehmen wir nicht die Verantwortung für die „In Portugal gibt es noch viel zu wenig
Richtigkeit der Informationen, Referenzen, Artikel, Diskussion über den Datenschutz“
Fotos, Anzeigen, etc., wie auch für eventuelle
Rechtschreibfehler. Die veröffentlichten Artikel
unterliegen den Rechten des Autors. / Foi do nosso
ENTREVISTA COM LUÍS PISCO, DA DECO
"Em Portugal há ainda muito pouca
Bücher / Livros 37
esforço compilar todas as informações com muito discussão sobre a proteção de dados" 22 Messen / Feiras 42
cuidado e atenção. Não nos responsabilizamos, no
entanto, pela veracidade das informações, Die Deutsch-Portugiesische Kammer
Mitgliedernachrichten
referências, artigos, fotos, publicidade, etc., bem
como eventuais erros tipográficos. Os artigos
unterstützt Unternehmen bei der
Umstellung auf die DSGVO Notícias dos Sócios 46
publicados obedecem aos direitos de autor. A Câmara Luso-Alemã apoia as empresas
na aplicação do RGPD 25 Neue Mitglieder / Novos Sócios 52
2017 / IMPAKT 3
KAMMER-KONTAKTE / CONTACTOS DA CÂMARA
Geschäftsführendes Vorstandsmitglied / Director Executivo
Hans-Joachim Böhmer
T +351 213 211 223 · hansjoachim-boehmer@ccila-portugal.com
Rechts- und Steuerabteilung / Departamento Jurídico
Berthold Grandy
Abteilungsleiter / Diretor de Departamento
T +351 213 211 226 · b-grandy@ccila-portugal.com
Marktberatung / Consultoria de Mercado
Paulo Azevedo
Abteilungsleiter / Diretor de Departamento
T +351 213 211 204 · paulo-azevedo@ccila-portugal.com
Kommunikation und Marketing / Comunicação e Marketing
Betina Marreiros
T +351 213 211 215 · betina-marreiros@ccila-portugal.com
Mitgliederservice / Serviço de Sócios
Sílvia de Almeida
T +351 226 061 560 · silvia-almeida@ccila-portugal.com HANS-JOACHIM BÖHMER
Geschäftsführendes Vorstandsmitglied
Dual - Berufliche Qualifizierung / Dual - Qualificação Profissional Diretor Executivo
Elísio Silva
Leitung DUAL / Direção DUAL
Avenida Infante D. Henrique, Lote 320,
Entreposto 2, Fracção 2, Piso 2 · 1800-220 Lisboa Und noch ein wichtiger Hinweis: natürlich
T +351 213 474 415 · hansjoachim-boehmer@ccila-portugal.com ist diese neue EU-Verordnung eine Pflicht.
Messen / Feiras
Aber wenn man es genau angeht bietet sie
auch Chancen! Daten sind ein zunehmend
Deutsche Messe AG, Hannover / Feira de Hanôver
Spielwarenmesse Nürnberg / Feira do Brinquedo de Nuremberga
entscheidender Produktionsfaktor und
Mónica Colaço
im Rahmen der Vorbereitung auf die neue
T +351 226 061 560 · feirahanover@ccila-portugal.com Realität der DSVGO kann man den Umgang
Berlin Messe / Feira de Berlim
mit diesen Daten optimieren, eine Chance,
Anna Lisa Löcke
die man sich nicht entgehen lassen sollte!
T +351 226 061 566 · sonia-santos@ccila-portugal.com E deixo mais um aviso importante: o novo
Regulamento da UE é, naturalmente, obrigatório.
Buchhaltung / Contabilidade
Mas se o observarmos com atenção, também
Annemarie Santos
T +351 213 211 211 · anna-loecke@ccila-portugal.com oferece oportunidades! Os dados são um fator
de produção com uma relevância crescente
Zweigstelle Porto / Delegação Porto e, no contexto da nova realidade do RGPD, o
Av. Sidónio Pais 379, 4100-468 Porto tratamento dos dados pode ser otimizado, uma
T +351 226 061 560 · F +351 226 003 789
oportunidade que não deve ser desperdiçada!
Leitung der Zweigstelle und Mitgliedermanagement
Gerência da Delegação e Gestão de Sócios
Rosário Carvalho
T +351 226 061 565 · rosario-carvalho@ccila-portugal.com
Berufliche Qualifizierung / Qualificação Profissional
Elísio Silva
T +351 226 061 564 · esilva@dual.pt
Av. da Liberdade 38, 2º · 1269-039 Lisboa
Tel.: +351 213 211 200 · Fax: +351 213 467 150
infolisboa@ccila-portugal.com
www.ccila-portugal.com
hansjoachim-boehmer@ccila-portugal.com
4 IMPAKT / 022017
VORWORT / EDITORIAL
Noch viel zu wenig beachtet:
die neue EU-Datenschutzverordnung!
O novo Regulamento de Proteção de Dados da UE
merece a máxima atenção
G J
ehört hat wohl fast jeder von ihr, der neuen EU- á quase todos nós ouvimos falar do novo Regulamento Geral de
Datenschutzverordnung, kurz DSGVO, die ab dem 26. Mai Proteção de Dados da União Europeia, o RGPD, que a partir de
2018 in der gesamten EU den Umgang der Unternehmen mit 26 de maio de 2018 irá determinar o tratamento que as
persönlichen Daten bestimmen wird – übrigens auf darüberhinaus empresas dão a dados pessoais e que terá efeitos para além disso.
wirkt! Aber was wissen wir, und was haben wir gemacht und Mas o que é que sabemos, o que fizemos e, sobretudo, o que ainda
besonders: Was müssen wir machen??? temos de fazer???
In vielen Meldungen wird von horrenden Strafen für Vergehen Numerosas notícias referem multas elevadíssimas na ordem dos
gegen diese Regelung gesprochen, bis in Millionenhöhe. Das klingt milhões de euros para quem atenta contra o Regulamento.
erstmal nach Angstmache, weckt vielleicht einige auf, die das Thema Permanece a ideia de que nos querem assustar, aqueles que de outra
sonst nicht sonderlich ernst nehmen würden. Ernsthaftigkeit ist denn forma não levariam o assunto tão a sério ficam mais alertas. Mas a
wohl auch die Message: das Thema ist vor dem Hintergrund einer mensagem tem o seu quê de seriedade: o tema ganha o maior relevo
immer größer durch werdenden Datenmenge und steigenden perante um volume de dados cada vez maior e a crescente
Verletzlichkeit Datenhacking, - Mißbrauch und fast kriegerischen vulnerabilidade face à pirataria ou o uso abusivo de dados ou até
Angriffen auf Firmen und Einrichtungen, die für unsere Sicherheit mesmo os ataques verdadeiramente bélicos a empresas e
und das Zusammenleben entscheidend sind ernst zu nehmen! Ist instituições, que são fundamentais para nossa segurança e
das nun eine Riesen-Last, die über uns hereinbricht und die uns das convivência! Será o RGPD uma carga insuportável que nos afeta e
(Geschäfts-)Leben schwer, evtl. unzumutbar machen wird? Nein! virá complicar a nossa vida e as relações de negócio? Não!
Aber wir müssen wissen, was da auf uns zukommt, was wir tun Mas temos que saber qual vai ser a realidade com a entrada em vigor
müssen. Denn tun muss wirklich jeder was! Und nicht erst am do RGPD e o que temos que fazer. Pois a verdade é que todos nós
26. Mai 2018, dann muß alles stehen, müssen die Firmen bereit temos que fazer alguma coisa! Sem exceção! E não apenas no dia 26
sein und die Anforderugen erfüllen. Daher gilt: bereits jetzt de maio de 2018, altura na qual tudo tem que estar a funcionar e as
mit den Vorbereitungen beginnen um rechtzeitig vor dem empresas têm que cumprir todos os requisitos colocados pelo
Stichtag fertig zu sein! Regulamento. É necessário começar já os preparativos para quando
Und genau dazu haben wir diese Ausgabe IMPAKT gedacht: unsere chegar a hora H estar tudo pronto!
Mitglieder auf die Thematik einzustimmen und ihnen ein paar Por todas estas razões preparamos esta edição da IMPAKT, para
Aspekte zur Einschätzung ihres Handlungsbedarfes vorzustellen. familiarizar os nossos sócios com o tema e lhes apresentar alguns
Aber dabei bleibt es nicht. In der Zeit, die bis kommenden Mai aspetos sobre os quais têm que agir nas suas empresas.
verbleibt bieten wir den Mitgliedern der Kammer ein Paket an Mas não nos ficamos por aí. No período que resta até maio
Leistungen an, die dafür sorgen sollen, dass sie diesen Weg sicher disponibilizamos aos nossos associados um pacote de serviços que
gehen können und alles richtig machen. Unterstützen können wir os auxilia a percorrer este caminho com segurança e que assegura
die Firmen, agieren müssen sie selbst. que tudo será feito conforme as exigências colocadas. Apoiamos as
Und noch ein wichtiger Hinweis: natürlich ist diese neue EU- empresas para que estas possam agir em conformidade com RGPD.
Verordnung eine Pflicht. Aber wenn man es genau angeht bietet sie E deixo mais um aviso importante: o novo Regulamento da UE é,
auch Chancen! Daten sind ein zunehmend entscheidender naturalmente, obrigatório. Mas se o observarmos com atenção,
Produktionsfaktor und im Rahmen der Vorbereitung auf die neue também oferece oportunidades! Os dados são um fator de produção
Realität der DSVGO kann man den Umgang mit diesen Daten com uma relevância crescente e, no contexto da nova realidade do
optimieren, eine Chance, die man sich nicht entgehen lassen sollte! RGPD, o tratamento dos dados pode ser otimizado, uma
Wir wünschen Ihnen eine intensive und interessante Lektüre! Danach oportunidade que não deve ser desperdiçada!
können sich ein besseres Bild machen, was bei Ihnen noch zu tun ist. Desejo a todos uma leitura interessante e profunda, após a qual será
Mit unserer Unterstützung, wenn Sie wollen. possível perceber melhor o que ainda haverá a fazer na sua empresa.
Aber nicht nur das Thema EU-Datenschutzverordnung haben wir in Se necessário, com o nosso apoio.
dieser IMPAKT, auch eine Reihe weiterer Artikel aus unserer Mas esta edição da IMPAKT não fala exclusivamente do RGPD, temos
Mitgliederwelt. Interessant, was unsere Mitglieder so auf die Beine também diversos artigos do universo dos nossos associados. Muito
stellen! ¥ interessante, o que os nossos sócios têm realizado! ¥
022017 / IMPAKT 5
EU-Datenschutzreform: Chancen und Risiken O novo Regulamento de Proteção de Dados da UE: Oportunidades e Riscos 6 IMPAKT / 022017
EU-Datenschutzreform:
Chancen und Risiken
O novo Regulamento de Proteção
de Dados da União Europeia:
Oportunidades e Riscos
TILO WAGNER
A N
nfang Juni 2013 saß ein 29-jähriger IT-Techniker in einem o início de junho de 2013 um técnico informático de 29 anos
Hotel in Hongkong und plante zusammen mit zwei Journa- e dois jornalistas estavam reunidos num hotel em Hong
listen die spektakuläre Veröffentlichung von Top-Secret- Kong e planeavam a divulgação espetacular de documentos
Dokumenten des amerikanischen Auslands-Geheimdienstes NSA: altamente secretos do serviço secreto norte-americano NSA, a
Die Akten waren der Beweis, dass die Behörden in den USA und Agência de Segurança Nacional. Estes documentos eram a prova de
Großbritannien die weltweite Überwachung der Internetkommu- que as instituições nos Estados Unidos e na Grã-Bretanha tinham
nikation planten und die gesammelten Daten auf Vorrat speicher- planos para a monitorização das comunicações cibernéticas a nível
ten. Binnen weniger Wochen wurde der junge Amerikaner Edward mundial e para o armazenamento dos dados recolhidos. No espaço
Snowden zu einem Held für alldiejenigen, die sich für den Schutz de poucas semanas, o jovem americano Edward Snowden tornou-
der Privatsphäre im Internet einsetzen. Snowden sagte in einem -se o herói de todos aqueles que estão empenhados na defesa da
Interview: „Ich möchte nicht in einer Welt leben, in der alles, was esfera privada na internet. Snowden afirmou numa entrevista: "Não
ich tue und sage, aufgezeichnet wird.“ Das Thema Datenschutz quero viver num mundo no qual tudo o que eu faço e digo seja gra-
drang im Sommer 2013 auch in das Bewusstsein von sehr vielen vado". Neste verão de 2013, o tema da proteção de dados tornou-se
Menschen, die sich bisher nicht damit beschäftigt hatten, und der presente na consciência de muitas pessoas que, até àquele mo-
Wunsch nach mehr Sicherheit im Netz machte sich nun immer stär- mento, não tinham pensado nele e o desejo de maior segurança na
ker bemerkbar. rede mundial afirmou-se com grande acuidade.
Die Initiative der Europäischen Kommission, ein neues Daten- A iniciativa da Comissão Europeia para um novo regulamento para
schutzgesetz zu erlassen, stammt aus dem Jahr 2012, als Eduard a proteção de dados surgiu em 2012, quando Eduard Snowden ain-
Snowden in Hawaii noch ganz regulär als IT-Techniker für den Ge- da era apenas um técnico informático a trabalhar para os serviços
heimdienst arbeitete. Doch die Diskussion über das neue Gesetz secretos no Hawai. Mas a discussão sobre o novo regulamento foi
ist von der sogenannten „NSA-Abhöraffäre“ stark beeinflusst wor- fortemente influenciada pelo chamado "escândalo das escutas da
den. Als im Herbst 2013 das Europäische Parlament mit überwälti- NSA". Quando, no outono de 2013, o Parlamento Europeu aprovou,
gender Mehrheit für ein neues einheitliches Datenschutzgesetz in com larga maioria, uma nova lei geral da proteção de dados, a to-
der EU stimmte, war die Entscheidungsfindung vieler Politiker si- mada de decisão de muitos políticos foi, com certeza, também in-
cherlich auch von Snowdens Enthüllungen geprägt worden. Im fluenciada pelas divulgações feitas por Snowden. Em maio de
Mai 2016 trat die EU-Datenschutzverordnung in Kraft. Bis zum 25. 2016, o Regulamento de Proteção de Dados entrou em vigor. Até
Mai 2018 gilt eine Übergangsfrist, bevor die Verordnung in allen 27 25 de maio de 2018 decorre um período de transição até que o re-
EU-Mitgliedsstaaten rechtskräftig wird. gulamento seja efetivo em todos os 27 estados-membro da UE.
Die Reform des Datenschutzes bezieht sich freilich nicht auf aus- Sem dúvida que a reforma da proteção de dados não se refere aos
ländische Geheimdienste. Sie greift jedoch einen Punkt auf, der serviços secretos estrangeiros. No entanto, ela aborda um aspeto
insbesondere in Deutschland ein wichtiges Thema ist und auch que, sobretudo na Alemanha, é um tema importante e que é cons-
von Politikern immer wieder angesprochen wird: Nicht zuletzt hat tantemente recordado pela classe política: Não foi por mero acaso
der deutsche Europaabgeordnete Jan Philipp Albrecht als Bericht- que foi o eurodeputado alemão Jan Philipp Albrecht que, enquan-
erstatter des Europäischen Parlaments die neue EU-Verordnung to relator, deu um apoio decisivo para a aprovação do novo regula-
mit auf den Weg gebracht. Laut einer aktuellen Umfrage des Mei- mento. De acordo com um inquérito recente da empresa de estu-
nungsforschungsinstituts Civey haben fast zwei Drittel aller Deut- dos de opinião Civey, praticamente um terço dos alemães receia
schen Angst um ihre persönlichen Daten im Internet. pelos seus dados pessoais na internet.
„In Portugal stand das Thema Datenschutz bisher nicht so stark im "Em Portugal, o tema da proteção de dados não tem estado tanto
Mittelpunkt,“ sagt Nuno Carvalhinha, Präsident des portugiesi- no foco das atenções", afirma Nuno Carvalhinha, presidente da As-
schen Verbandes für Kleinere und Mittlere Unternehmen ANPME. sociação Nacional de Pequenas e Médias Empresas, ANPME. "Mui-
„Viele Unternehmen haben sich in jüngster Zeit vor allem darauf tas empresas têm estado concentradas em sairem finalmente da
022017 / IMPAKT 7
EU-Datenschutzreform: Chancen und Risiken
O novo Regulamento de Proteção de Dados da UE: Oportunidades e Riscos
Nuno Carvalhinha
Präsident des portugiesischen
Verbandes für Kleinere und Mittlere
Unternehmen ANPME
Presidente da Associação
Nacional de Pequenas e Médias
Empresas, ANPME
In Portugal stand das Thema Datenschutz
bisher nicht so stark im Mittelpunkt.
A proteção de dados não tem sido, até agora, uma
das prioridades das empresas portuguesas.
Luís Pisco
Jurist bei DECO,
der portugiesische
Verbraucherschutzverband
Jurista do Gabinete
de Estudos da DECO
In Portugal gehen die Unternehmen noch sehr
unterschiedlich mit Datenschutzmaßnahmen um.
Em Portugal, as empresas ainda abordam a questão
da proteção de dados de forma muito diversa.
konzentriert, endlich aus der Krise der vergangenen Jahre heraus-
zukommen. Der Datenschutz ist bisher nicht eine ihrer Prioritäten
gewesen.“ Carvalhinha kann dieses Verhalten jedoch nicht ganz
nachvollziehen: Schließlich drohen den Betrieben ab Ende Mai
2018 hohe Strafen (bis zu 4 Prozent des Jahresumsatzes), wenn sie
sich an die Regeln der neuen EU-Verordnung nicht halten.
Auf portugiesischen Internetseiten finden sich nun immer häufi-
ger Datenschutzregeln zum Beispiel zum Umgang mit Cookies,
denen der Benutzer zustimmen muss, um die Seiten besuchen zu
können. Das zeige, dass viele große Unternehmen bereits jetzt
das Thema Datenschutz sehr ernst nehmen und als gutes Beispiel
vorangehen wollen, sagt Rechtsexperte Luís Pisco vom Verbrau-
cherschutzverband DECO (siehe Interview auf Seite 22). Insge- crise que marcou os últimos anos. A proteção de dados não tem
samt, so Pisco, herrsche in Portugal jedoch Wildwuchs, denn die sido, até agora, uma das suas prioridades." Mas Carvalhinha tem di-
Unternehmen würden sehr unterschiedlich mit Datenschutzmaß- ficuldade em compreender esta atitude, afinal, a partir do final de
nahmen umgehen: „Die neue Datenschutzverordnung ist auch maio de 2018, as empresas estão sujeitas a pesadas coimas (até
eine Chance, damit eine einheitliche Lösung für alle Unternehmen quatro porcento do seu volume de negócios anual), se não respei-
gefunden werden kann.“ tarem as regras impostas pelo novo regulamento.
Vorreiter im Datenschutz in Portugal ist u.a. der Discounter-Kon- Nos sites portugueses é cada vez mais frequente encontrar refe-
zern Lidl. Bereits vor acht Jahren hat Lidl damit begonnen, ein um- rências às regras de proteção de dados como por exemplo o trata-
fangreiches Datenschutzkonzept an allen Standorten in Europa mento de cookies, que os utilizadores têm que aprovar para pode-
umzusetzen und dabei eine Reihe von Maßnahmen zu treffen, die rem visitar a página. "Isto prova que muitas empresas grandes já le-
8 IMPAKT / 022017
José Jorge Vivente
Information Security
Officer, Lidl
Information Security
Officer, Lidl
Datenschutz ist eine Tätigkeit, die nie zu Ende geht.
A proteção de dados é uma tarefa que nunca tem fim.
Carlos Lopes
Geschäftsführer
der Humansoft
Diretor Executivo
da Humansoft
Humansoft hat bereits damit begonnen, die Veränderungen
herauszuarbeiten, die in den Programmen notwendig sind,
um die Anforderungen der EU-Verordnung zu erfüllen.
A Humansoft já começou a trabalhar nas alterações
que serão necessárias nos programas para ir ao
encontro do regulamento comunitário.
vam o tema da proteção de dados muito a sério e se apresentam
como bons exemplos", confirma Luis Pisco, da DECO (ver entrevis-
ta na página 22). Mas, segundo Pisco, no geral ainda proliferam em
Portugal situações divergentes, pois as empresas abordam a ques-
tão da proteção de dados de formas muito diversas: "O novo regu-
lamento é também uma oportunidade para encontrar uma solu-
ção uniforme para todas as empresas."
Um dos pioneiros na proteção de dados em Portugal é a rede de
supermercados Lidl. Há já oito anos que a empresa começou a de-
senvolver um conceito abrangente para a proteção de dados em
todas as suas localizações na Europa e, por esta via, a tomar uma
série de medidas que também estão incluídas no novo regulamen-
auch in der neuen EU-Verordnung eingefordert werden, etwa die to europeu, como por exemplo a contratação de um responsável
Einstellung eines Datenschutzbeauftragten oder die Garantie pela proteção de dados ou a garantia dos standards de segurança
höchster Sicherheitsstandards beim Umgang mit Kundendaten. mais elevados no tratamento dos dados dos clientes.
Lidl sei zwar gut vorbereitet, sagt José Jorge Vicente, Information „O Lidl está bem preparado“, confirma José Jorge Vicente, Informa-
Security Officer von Lidl Portugal, doch damit sei nur der erste tion Security Officer da empresa em Portugal, que acrescenta „A
Schritt getan: „D.h. die Maßnahmen, die wir umsetzen, werden proteção de dados é uma tarefa que nunca tem fim, ou seja, as me-
immer wieder analysiert und verbessert. Und das verlangt auch didas que implementamos têm que ser constantemente analisa-
die neue EU-Verordnung. Es geht nicht darum, ein einziges Mal et- das e melhoradas. Esta é também uma exigência do RGPD da UE.
was zu verbessern und damit abzuschließen, sondern es geht um Não se trata de introduzir uma melhoria pontual e dar o trabalho
einen kontinuierlichen Prozess.“ Lidl setzt dabei auch im Umgang por terminado, é antes um processo contínuo“. Neste âmbito, o
022017 / IMPAKT 9
EU-Datenschutzreform: Chancen und Risiken
O novo Regulamento de Proteção de Dados da UE: Oportunidades e Riscos
Lidl exige também dos seus fornecedores externos o respeito rigo-
roso das regras de proteção de dados. „Quando uma empresa não
consegue respeitar as nossas exigências de segurança, não pode-
mos avançar com o contrato“, explica Vicente.
Rui Duarte
As empresas portuguesas irão perceber o alcance das consequên-
Account Executive Database
und Data Management bei SAP cias da reforma da proteção de dados quando tiverem que imple-
Portugal mentar as novas regras. A nova legislação garante a todos os cida-
Account Executive Database dãos o "direito ao esquecimento", ou seja, um cliente pode, por
e Data Management exemplo, no final de uma transação comercial online solicitar à
da SAP Portugal
empresa responsável que os seus dados pessoais sejam apagados.
"Este simples passo leva a que os dados do cliente fornecidos ao
Die erste Phase der Anpassung an die neuen Regeln longo de todo o proceso seja eliminados do software", explica Car-
sollte in einem interdisziplinären Rahmen geschehen. los Lopes, diretor executivo da empresa de software Humansoft,
A primeira fase de adaptação às novas regras que há vários anos trabalha com a DUAL, o serviço de qualificação
deverá acontecer num âmbito interdisciplinar. profissional da Câmara de Comércio e Indústria Luso-Alemã.
A Humansoft já começou a trabalhar nas alterações que serão ne-
cessárias nos programas para ir ao encontro do regulamento co-
munitário. "É sobretudo nas áreas da recolha de dados e da infor-
mação pública online que temos que melhorar o nosso software",
afirma Lopes.
mit externen Dienstleistern auf die strikte Einhaltung der Daten-
schutzregeln. „Wenn ein Unternehmen unsere Sicherheits-Anfor- Os custos resultantes da aplicação das novas regras de proteção de
derungen nicht erfüllen kann, dann kommt der Vertrag gar nicht dados terão que ser suportados pelas empresas. Por enquanto ain-
erst zustande,“ erklärt Vicente. da não são conhecidos quaisquer programas de financiamento ou
linhas de crédito, através dos quais o Estado pretenda apoiar o pro-
Wie weitreichend die Konsequenzen der Datenschutzreform sind,
cesso de modernização da segurança de dados nas empresas.
spüren portugiesische Unternehmen bei der Umsetzung der neu-
Nuno Carvalhinha, da ANPME, tem esperança que essa situação
en Regeln. Die EU-Verordnung garantiert jedem Bürger das soge-
ainda vá mudar: "Os custos de instalação de, por exemplo, um
nannte „Recht auf Vergessenwerden“, d.h. ein Kunde kann zum
novo software seguro poderão não ser muito elevados. Mas as em-
Beispiel nach dem Abschluss eines Online-Kaufgeschäftes das zu-
presas que não têm margem financeira para este tipo de investi-
ständige Unternehmen bitten, alle persönlichen Daten zu lö-
mentos poderiam recorrer a um programa de apoio financeiro.
schen. „Dieser einfache Schritt führt dazu, dass in der Software die
Esta seria também uma forma de as empresas que até agora não se
Kundendaten aus dem gesamte Verlauf gelöscht werden müs-
sen,“ sagt Carlos Lopes, Geschäftsführer des Softwareunterneh- ocuparam desta temática tomarem consciência da necessidade de
mens Humansoft, das seit Jahren mit der Deutsch-Portugiesi- aplicar as novas regras de proteção de dados."
schen Industrie- und Handelskammer im Bereich des Berufsquali- As empresas e a proteção do consumidor em Portugal estão de
fizierungsservices DUAL zusammenarbeitet. Humansoft hat be- acordo que o RGPD irá abrir oportunidades para novas áreas de ati-
reits damit begonnen, die Veränderungen herauszuarbeiten, die vidade. Rui Duarte, Account Executive Database e Data Manage-
in den Programmen notwendig sind, um die Anforderungen der ment da SAP Portugal, acentua que "a primeira fase de adaptação
EU-Verordnung zu erfüllen. „Vor allem in den Bereichen Datener- às novas regras deverá, em nossa opinião, acontecer num âmbito
fassung und öffentliche Online-Information müssen wir unsere interdisciplinar, envolvendo a área júridica, a área de negócios, as
Software nachbessern,“ sagt Lopes. TI e, eventualmente, consultores externos, de modo a encontrar
Die Kosten, die bei der Umsetzung der neuen Datenschutzregeln soluções para os três pilares da reforma (dados, pessoas, proces-
entstehen, müssen die Unternehmen tragen. Noch sind keine Fi- sos). Mais tarde, as empresas podem tirar partido das alterações
nanzierungsprogramme oder Kreditlinie bekannt, mit denen der realizadas e, através destas, podem surgir novas oportunidades e
Staat die Modernisierung der Datensicherheit in den Betrieben áreas de negócio."
unterstützen würde. ANPME-Präsident Carvalhinha hofft jedoch, Empresas de software como a SAP disponibilizam às empresas so-
dass sich das noch ändern wird: „Die Kosten etwa für die Installati- luções que lhes permitem, de futuro, tratar da proteção de dados
on eines neuen, sichereren Softwareprogramms mögen nicht all- internamente de acordo com as regras estabelecidas. Mas também
zu hoch sein. Doch gerade Unternehmen, die keinen finanziellen outras empresas que se distingam como consultores e formadores
Spielraum für solche Investitionen haben, könnten auf ein solches na área da proteção de dados podem tirar partido da implementa-
staatlich gefördertes Programm zurückgreifen wollen. Zudem ção necessária do RGPD. Luís Pisco, da DECO, vislumbra neste con-
würde dadurch auch die Notwendigkeit der neuen Datenschutz- texto enormes oportunidades de crescimento no mercado portu-
Regeln in Betrieben wahrgenommen werden, in denen bisher guês. Mas Pisco espera que as autoridades reguladoras responsá-
nicht über das Thema diskutiert wird.“ veis estabeleçam exigências bem definidas às empresas de consul-
Unternehmer und Verbraucherschützer in Portugal sind sich ei- toria e de formação, para que o tema sensível da proteção de da-
nig, dass die neue EU-Verordnung die Türen für neue Geschäftstä- dos não seja aproveitado por entidades menos sérias que preten-
tigkeiten öffnet. Rui Duarte, Account Executive Database und dam ganhar muito dinheiro em pouco tempo, sem aplicar na reali-
Data Management von SAP Portugal, betont: „Die erste Phase der dade os aspetos centrais do novo regulamento.
10 IMPAKT / 022017Knapp ein Jahr vor dem Ende der Übergangszeit
ist vielen Beteiligten immer noch nicht ganz
klar, wie die staatlichen Behörden in Portugal
ihre Kontrollfunktion einnehmen werden.
A menos de um ano antes de terminar o prazo de transição
há ainda muitos intervenientes para quem ainda não
é muito claro, como é que as instituições públicas em
Portugal irão assumir as suas funções de supervisão.
Anpassung an die neuen Regeln sollte unser Meinung nach in ei-
nem interdisziplinären Rahmen geschehen, also mit Rechtsabtei-
lung, Businessbereich, IT, und eventuell externen Beratern, um Lö-
sungen in den drei Bereichen der Reform (Daten, Personen, Pro-
zesse) zu finden. Später werden die Unternehmen aber von den
Veränderungen selbst profitieren und dadurch können sich auch
neue Chancen und Geschäftsfelder eröffnen.“
Softwareunternehmen wie SAP bieten den Firmen Lösungen an,
wie sie ihren Datenschutz in Zukunft regelkonform angehen kön-
nen. Aber auch andere Unternehmen, die sich als Berater und in
der Aus- und Weiterbildung im Bereich Datenschutz profilieren,
können von der notwendigen Umsetzung der EU-Verordnung
profitieren. Luís Pisco vom Verbraucherschutzverband DECO
sieht hier große Wachstumschancen im portugiesischen Markt.
Pisco hofft jedoch, dass die zuständigen staatlichen Regulie-
rungsbehörden ganz klare Anforderungen an die Beratungs- und
Weiterbildungsfirmen stellen, damit das sensible Thema Daten-
schutz nicht von unseriösen Unternehmen ausgenutzt wird, um in
kurzer Zeit viel Geld zu machen, ohne die Kernpunkte der neuen
Datenschutzverordnung wirklich umzusetzen.
Knapp ein Jahr vor dem Ende der Übergangszeit ist vielen Betei-
ligten immer noch nicht ganz klar, wie die staatlichen Behörden in A menos de um ano antes de terminar o prazo de transição há ain-
Portugal ihre Kontrollfunktion einnehmen werden. Die neue EU- da muitos intervenientes para quem ainda não é muito claro, como
Verordnung spricht den privaten Nutzern und Kunden eine sehr é que as instituições públicas em Portugal irão assumir as suas fun-
große Eigenverantwortung zu, sicherzustellen, dass ihre persönli- ções de supervisão. O novo RGPD atribui a utilizadores particulares
chen Daten von den Unternehmen regelkonform behandelt wer- e clientes uma enorme responsabilidade na tarefa de controlar se
den. ANPME-Präsident Carvalhinha verweist jedoch darauf, dass os seus dados pessoais são tratados pelas empresas de acordo com
die Regulierungsbehörden vor einer großen Herausforderung as regras. O presidente da ANPME avisa no entanto que as entida-
stehen: „Wenn wir bedenken, dass 99 Prozent der portugiesischen des reguladoras estão perante enormes desafios: "Quando obser-
Betriebe kleinere oder mittlere Unternehmen sind, dann fragt vamos que cerca de 99 porcento das empresas portuguesas são
man sich, wer wirklich überprüfen wird, ob alle Unternehmen die PME, questionamos quem irá realmente verificar se todas elas apli-
Datenschutzverordnung umsetzen.“ Rechtsexperte Luís Pisco cam o RGPD."
geht davon aus, dass die Regulierungsbehörde „Comissão Nacio- O jurista Luís Pisco parte do princípio que a Comissão Nacional de
nal de Proteção de Dados“ (CNPD) ihr Tätigkeitsfeld stark erwei- Proteção de Dados (CNPD) terá que ampliar consideravelmente a
tern muss, um die Umsetzung der EU-Verordnung effizienter zu sua área de atuação, para conseguir verificar de forma eficiente a
überwachen: „Es gibt in Portugal eine Tendenz, dass die staatli- aplicação do regulamento: "Em Portugal, as entidades reguladoras
chen Regulierungsbehörden nicht ausreichend ausgestattet sind, não estão, tendencialmente, equipadas para controlar o mercado
um den Markt ausreichend zu kontrollieren. Vielleicht ist diese EU- de forma satisfatória. Talvez este regulamento da UE seja também
Verordnung auch eine Chance für die CNPD, ihre Arbeitsschwer- uma oportunidade para a CNPD dar, no futuro, uma nova orienta-
punkte in Zukunft neu auszurichten.“ ¥ ção aos principais aspetos do seu trabalho." ¥ Tradução CCILA
022017 / IMPAKT 11EU-Datenschutzreform: Chancen und Risiken
O novo Regulamento de Proteção de Dados da UE: Oportunidades e Riscos
Die Neue Datenschutz-Grundverordnung,
vom Fachmann erklärt:
Chancen inmitten des Chaos
O novo Regime Geral de Proteção de Dados
explicado pelo especialista:
Encontrar oportunidades no meio do caos
RICARDO PINTO
D S
ie meisten Leser dieses Artikels werden wissen, dass am 4. erá do conhecimento da maioria dos leitores deste artigo
Mai 2016 die Europäische Union in ihrem Amtsblatt eine que no dia 4 de maio de 2016 a União Europeia publicou no
neue Verordnung für den Datenschutz der Bürger der Euro- seu jornal oficial um novo regulamento para a protecção de
päischen Gemeinschaft (EG) veröffentlicht hat. Diese Verordnung dados dos cidadãos da comunidade europeia (CE). Este regula-
ist 20 Tage danach in Kraft getreten, mit einer Übergangszeit von 2 mento entrou em vigor 20 dias depois, com um período de transi-
Jahren, damit sich Unternehmen und Organisationen an die neuen ção de dois anos, para que organismos e organizações se ajustem
Anforderungen anpassen können, bevor sie dann am 25. Mai 2018 às suas exigências, entrando em cumprimento no dia 25 de maio
unmittelbar gelten werden. de 2018.
Das Thema ist eigentlich nicht neu: Datenschutzgesetze gibt es be- O tema não é novo, existem leis de protecção de dados nos países
reits in allen EU-Ländern, doch allein der Umstand, dass 28 unter- da CE, mas o simples facto de 28 legislações diferentes concorre-
schiedliche Gesetzgebungen im europäischen Rahmen aufeinan- rem entre si num contexto de ecossistema europeu, não contribui
dertreffen, trägt weder zur Entwicklung eines gemeinsamen Ge- para o desenvolvimento de um standard de negócio nem para a
schäftsstandards bei, noch dazu, dass Dateninhaber überall ihre possibilidade de exercício dos direitos dos titulares dos dados.
Rechte wahrnehmen können. Assim, havendo mudanças sensíveis face à legislação existente, es-
Im Vergleich zur bestehenden Gesetzgebung gibt es spürbare Än- tas são mais críticas para quem esteja a tomar contacto com o Re-
derungen, die für diejenigen noch einschneidender erscheinen, die gulamento Geral de Protecção de Dados (RGPD) desconhecendo
"Viele der Pflichten, die das Datenschutzgesetz auferlegt, sind von
der DSGVO direkt übernommen worden, doch gibt es auch neue
Themenfelder, die einer dringenden Handlung bedürfen."
"Muitas das obrigações que a lei de Protecção de Dados impõe mantêm-se no
RGPD, mas há tópicos novos que trazem a necessidade de acção urgente."
Ricardo Pinto
12 IMPAKT / 022017jetzt mit der Datenschutz-Grundverordnung (DSGVO) erstmals in as directrizes da actual (e em vigor) Lei de Protecção de Dados
Kontakt treten, ohne die Leitlinien des derzeitigen (noch gelten- (67/98). Muitas das obrigações que a lei de Protecção de Dados im-
den) Datenschutzgesetzes (67/98) zu kennen. Viele der Pflichten, põe mantêm-se no RGPD, mas há tópicos novos que trazem a ne-
die das Datenschutzgesetz auferlegt, sind in der DSGVO gleichge- cessidade de acção urgente. Mais ainda porque o novo regula-
blieben, doch gibt es auch neue Themenfelder, die einer dringen- mento ePrivacy (complementa o RGPD com foco nas comunica-
den Handlung bedürfen. Und dies umso mehr, als dass die neue ções electrónicas) reforça as directrizes mestras do seu “irmão”
ePrivacy-Verordnung (welche die DSGVO mit Hauptaugenmerk mais mediático.
auf elektronische Kommunikationen ergänzt) die Grundlinien ihres Como certamente já terão conhecimento das principais obriga-
medienwirksameren “großen Bruders” noch verstärkt. ções do RGPD, foco-me em três das medidas regulamentares para
Ich werde mich an dieser Stelle auf drei regulatorische Maßnahmen fazer a ponte para os benefícios colaterais do regulamento:
beschränken, um dann eine Brücke zu den Kollateralnutzen der >> Segurança dos dados pessoais. O regulamento obriga a que,
Verordnung zu schlagen: quer o responsável pelo tratamento (Data Controller) quer o
>> Die Sicherheit der Personendaten: Die Verordnung verpflich- subcontratante (Data Processor) apliquem medidas técnicas
tet, dass sowohl der für die Verarbeitung Verantwortliche e organizativas adequadas para assegurar um nível de segu-
(Data Controller) als auch der Auftragsverarbeiter (Data Pro- rança adequado. As medidas vão desde o uso de pseudoni-
cessor) die angemessenen technischen und organisatori- mização e encriptação de dados, à demonstração da capaci-
schen Maßnahmen ergreift, um ein sachgemäßes Sicher- dade de assegurar os 4 princípios da segurança de informa-
heitsniveau zu gewährleisten. Diese Maßnahmen gehen ção: Confidencialidade, Integridade e Disponibilidade + Resi-
vom Einsatz der Pseudonymisierung und Verschlüsselung liência
der Daten, bis hin zum Nachweis der Fähigkeit, die 4 Prinzipi- >> Processos que permitam ao responsável tratamento e
en der Informationssicherheit sicherzustellen: Vertraulichkeit, subcontratante(s) testar, apreciar e avaliar regularmente a efi-
Integrität, Verfügbarkeit, Belastbarkeit cácia das medidas técnicas e organizativas para garantir a se-
>> Prozesse, die es dem Verarbeitungsverantwortlichen und gurança do tratamento.
dem Auftragsverarbeiter ermöglichen, regelmäßig die Wirk- >> Subcontratantes (uma das pedras de toque do RGPD) terão
samkeit der technischen und organisatorischen Maßnahmen obrigações e responsabilidade directas, o que significa que
zur Gewährleistung der Verarbeitungssicherheit zu testen, podem ser directamente responsabilizados por quaisquer
sollen einzuschätzen und zu bewerten sein. violações de dados. A responsabilidade fica contratualizada
>> Auftragsverarbeiter (einer der Eckpfeiler der DSGVO) wer- (entre subcontratante e responsável pelo tratamento), docu-
den nun direkte Pflichten und Verantwortlichkeiten haben, mentando o objeto e duração do tratamento, a natureza e fi-
022017 / IMPAKT 13EU-Datenschutzreform: Chancen und Risiken
O novo Regulamento de Proteção de Dados da UE: Oportunidades e Riscos
was bedeutet, dass sie direkt für jegliche Datenverletzungen
haftbar gemacht werden können. Die Verantwortung wird
vertraglich (zwischen dem Auftragsverarbeiter und dem Ver-
arbeitungsverantwortlichen) geregelt, womit der Gegen-
stand und die Dauer der Verarbeitung, die Natur und der
Zweck, die Arten von Personendaten und Personenkategori-
en, die Pflichten und Rechte des Verarbeitungsverantwortli-
chen dokumentiert werden. (H.d.A.: damit werden, alle Betei-
ligten des Systems, namentlich die Unternehmer, für die Einhal-
tung der DSGVO zur Verantwortung gezogen).
Betrachtet man ganzheitlich die 99 Artikel der DSGVO, so dreht sich
alles um einen Grundsatz: Accountability oder Rechenschafts-
pflicht.
Nun könnten wir uns zu folgender Frage verleiten lassen: Können
wir nach mehr als 30 Jahren eines unaufhaltsamen Vormarsches der
Technologie, ausgehend vom Lochpapier und Kellern voller Akten-
ordner bis hin zum Einsatz der Cloud, Big Data und IoT, noch die
Kenntnis aller Daten garantieren, die wir in unseren (persönlichen,
geschäftlichen, finanziellen, etc.) Organisationen erheben, erzeu-
gen und verarbeiten? Sind wir noch in der Lage, folgende Fragen
beantworten?
1. Welche personenbezogenen Daten erheben und speichern
wir in unseren Organisationen?
2. Warum brauchen wir sie überhaupt?
3. Wie lange müssen sie in unserem Besitz bleiben?
4. Wo werden sie gespeichert? An welchen Orten (einschließ-
lich Backups, Test- und Entwicklungsumfelder)?
5. Wer hat Zugriff auf diese Daten? Müssen wirklich alle Zugang nalidade, os tipos de dados pessoais e categorias dos titula-
haben? res, as obrigações e direitos do responsável pelo tratamento.
(NdA: forma de corresponsabilizar os intervenientes do ecossiste-
Die Antworten werfen unweigerlich eine Reihe von Zweifeln auf,
ma, nomeadamente o industrial/empresarial no cumprimento
deren Klärung als Ausgangspunkt für die notwendigen Initiativen
do RGPD).
zum Erreichen der Verordnungskonformität dienen. Diese potenti-
ell schmerzliche Übung ist zweifelsohne wesentlich, angesichts der Olhando de forma holística para os 99 artigos do RGPD, o seu
bevorstehenden Herausforderungen, und keine Technologie kann foco recai sobre um princípio: Accountability ou Responsabiliza-
sie uns abnehmen (sondern bestenfalls dabei helfen). Die guten ção.
Nachrichten finden sich jedoch ein, wenn wir anschließend die Re- Podemos sentir-nos tentados a perguntar: após mais de 30 anos de
sultate analysieren, namentlich durch die Identifizierung von: uma inexorável caminhada da tecnologia, partindo do papel cane-
>> Personendaten, die wir nicht mehr brauchen; ta e caves de dossiers, até à adopção da Cloud, Big Data e IoT, será
>> “shadow IT”: Ausrüstungen und selbst Komplettlösungen, die que podemos garantir conhecimento dos dados que recolhemos,
noch weiterbestehen und in der Vergangenheit geschaffen produzimos e processamos nas nossas organizações (pessoais, ne-
wurden, um auf gelegentliche Anforderungen zu reagieren, gócio, financeiros, etc.)? Sabemos a responder a:
dann aber nicht weitergeführt wurden oder nie ihre Funktion 1. Que dados pessoais recolhemos e guardamos na nossa
erfüllt haben, und in denen hingegen immer noch (Perso- organização?
nen- und Geschäfts-). Daten gespeichert sind; 2. Porque precisamos deles?
>> denjenigen Mitarbeitern, die tatsächlich Zugriff auf Person- 3. Durante quanto tempo necessitamos de os ter na nossa posse?
endaten brauchen, und welches die entsprechenden Verar- 4. Onde estão guardados? Em que locais (incluindo backups,
beitungsprozesse sind; ambientes teste e desenvolvimento)?
>> Ineffizienzen von Software-Lizenzverträgen; 5. Quem tem acesso a estes dados? Todos precisam de ter
>> Ineffizienzen bei der Nutzung von Datenspeicherplatz ge- acesso?
genüber den wirklichen Erfordernissen (dies kommt dem As respostas levam necessariamente a um conjunto colateral de
neuen Grundsatz der Datenminimierung entgegen); dúvidas cujo esclarecimento serve de ponto de partida para as
>> anfälligen, für die IT-Verwalter “unsichtbaren” Geräten. iniciativas necessárias à obtenção da conformidade regulamen-
Neue Geschäftschancen bringen Veränderungen mit sich, nicht sel- tar. Sendo um exercício potencialmente doloroso, é sem dúvida
ten verbunden mit der Eingliederung neuer Technologien (damit fundamental face aos desafios, e nenhuma tecnologia o pode fa-
einhergehend neue Risiken der CyberSecurity), die wenn sie nicht zer (no limite pode ajudar). No entanto, as boas notícias chegam
sachgemäß geschützt werden, Angriffsflächen für Cyber-Bedro- quando analisamos os resultados, nomeadamente pela identifi-
hungen wie Ransomware oder Industriespionage bieten (z. B. durch cação de:
eingenistete Advanced Persistent Threats). Somit bilden die Einfüh- >> dados pessoais que já não necessitamos;
14 IMPAKT / 022017rung von Best-Pratice der Firmen-IT und Informationssicherheit >> “shadow IT”, equipamentos e mesmo soluções completas
mehr denn je einen Mehrwert. que subsistem e que foram criadas no passado para respon-
Was hat aber die CyberSecurity mit der DSGVO zu tun? der a necessidades ocasionais, que foram depois desconti-
nuadas ou nunca chegaram a cumprir a sua função, mas
Wie ich zu Anfang des Artikels ausführte, zwingt die Konformität
que armazenam dados (pessoais e de negócio);
mit der DSGVO Unternehmen dazu, angemessene Sicherheits-
>> que colaboradores têm efectivamente necessidade de aces-
maßnahmen für Personen, Prozesse und Technologie zu ergrei-
so a dados pessoais, e quais os respectivos processos de
fen. Diese Maßnahmen haben einen Mehrwert, denn sie führen in-
processamento;
folge einer Beratung über neue Prozesse, Weiterbildung / Schulung
>> ineficiências no licenciamento de software;
der Mitarbeiter, sowie neuer Technologie (in Maßen), zu einem
>> ineficiência na utilização de armazenamento de dados face
Wandel der Unternehmenskultur, zur Rechenschaft eines jeden ein-
às reais necessidades (vai de acordo ao novo princípio da
zelnen Mitarbeiters für seine Aufgabe und zu neuen Chancen, wie
minimização dados);
es Sun Tzu in seinem Werk Art of War so treffend beschrieb: „In the
midst of chaos there is also opportunity”. >> equipamentos vulneráveis “invisíveis” aos administradores
de TI;
Hierzu nenne ich ein paar Beispiele:
Novas oportunidades de negócio trazem consigo mudanças, mui-
1. Compliance is the new sexy tas vezes associadas à incorporação de novas tecnologias (logo no-
Die Einhaltung gesetzlicher Bestimmungen wird auf natürliche vos riscos de Cibersegurança), que não sendo devidamente acau-
Weise ein Hebelfaktor für neue Geschäfte, Partnerschaften und telados, tornam-se alvo de ciberameaças como a Ransomware ou
Investitionen mit ebenfalls konformen Organisationen sein, die espionagem industrial (ex. por Advanced Persistent Threats residen-
nur eine Zusammenarbeit unter Gleichen zulassen werden. Der tes). Assim, a adopção de frameworks de boas práticas de IT empre-
Datenschutz ist bereits ein Unterscheidungsmerkmal für Online- sarial e de segurança de informação são cada vez mais um valor
Aktivitäten in allen Geschäftssparten, nicht nur beim E-Commerce. acrescentado.
Es wird immer weniger Raum für eine Zusammenarbeit mit weniger Mas afinal o que tem a Cibersegurança a ver com o RGPD?
transparenten und belastbaren Organisationen geben, vor allem
diejenigen, die fahrlässig auftreten; Como comecei por referir no início do artigo, entre outros impac-
tos. A rentabilização destas medidas na consultoria novos proces-
2. Unternehmensharmonisierung heißt die Überwindung sos, educação/treino dos colaboradores e também em tecnologia
der typischen Abteilungstrennungen. (q.b.) levará a mudanças na cultura empresarial, à responsabiliza-
Die Übung der Analyse und Identifizierung der aktuellen Daten und ção de cada um dos colaboradores para a sua missão e à conquista
ihrer Flüsse in Unternehmen wird es ermöglichen, die Rolle eines je- de oportunidades, que como escreveu Sun Tzu na sua obra épica,
den Beteiligten in den verschiedenen Prozessen besser zu identifi- Art of War, ”In the midst of chaos there Is also opportunity”.
022017 / IMPAKT 15EU-Datenschutzreform: Chancen und Risiken
O novo Regulamento de Proteção de Dados da UE: Oportunidades e Riscos
zieren (RACI). Die Einhaltung der DSGVO wird zum Abriss dieser un- Die Übung der Analyse und Identifizierung der
sichtbaren Hindernisse führen und die Transparenz, den Wissens- aktuellen Daten und ihrer Flüsse in Unternehmen wird
austausch und die notwendigen Synergien fördern, um auf die im- es ermöglichen, die Rolle eines jeden eteiligten in den
mer größeren Wettbewerbs- und Effizienzherausforderungen zu verschiedenen Prozessen besser zu identifizieren (RACI).
reagieren, d.h. die Synergie zwischen Abteilungen fördern;
O exercício de análise e identificação, dos dados actuais
3. Verringerung und Ausmerzung maliziöser e dos seus fluxos nas organizações, permitir identificar
Datenflüsse im Unternehmen o papel de cada interveniente nos diversos processos (RACI).
Das Wissen und die Dokumentierung von firmeninternen Daten-
flüssen, die in den entsprechenden Geschäftsprozessen gelistet
werden, legen verdächtige Datenaktivitäten in der Organisation of-
fen, vor allem nach außen hin (z.B. DLPs). Die Verbesserung der In- Assim, apenas para citar algumas:
formationssicherheitssysteme in Firmen, die Reife der Mitarbeiter,
1. Compliance is the new sexy
die Kenntnis über die gängigen Prozesse, machen es einem (inter-
nen oder externen) Angreifer wesentlich schwerer, unentdeckt zu A conformidade regulamentar será naturalmente um factor de
bleiben, wenn er (durch irgendeines der Attribute C.I.A + R) die Da- alavanca para novos negócios, parcerias e investimentos com
ten der Körperschaft (einschließlich Personendaten) gefährdet. organizações igualmente conformes, que só admitirão a colabo-
ração interpares. A privacidade de dados é já critério diferencia-
4. Risiko, Risikoanalyse und Risikoeindämmung dor das atividades online em todos os verticais de negócio, não só
Die diversen Schritte in Richtung Konformität werden es ermögli- no e-commerce. Haverá cada vez menos espaço para a colabora-
chen, die Datenrealität in den Organisationen (Speicherort, Kont- ção com organizações menos transparentes e menos resilientes,
rollen, Flüsse) besser kennenzulernen, was wiederum deren effek- sobretudo as que se mostrarem negligentes;
tive Verwaltung ermöglicht. Existieren die in unserem Unterneh-
2. Harmonização organizacional, a destituição
men verarbeiteten diversen Personendatenflüsse (und/oder PII- das típicas “quintas” departamentais
Daten – identifizierbare Personendaten), die Datenkategorien, in
die sie sich einfügen, sowie die technischen und organisatorischen O exercício de análise e identificação, dos dados actuais e dos seus
Maßnahmen, denen sie zu ihrem Schutz unterliegen, dann haben fluxos nas organizações, permitir identificar o papel de cada inter-
wir die notwendigen Elemente zur Risikoidentifizierung. Wurde veniente nos diversos processos (RACI). A conformidade com o
erst einmal der Kontext identifiziert, das Verarbeitungsrisiko analy- RGPD contribuirá para a dissolução destas barreiras invisíveis e ca-
siert und eingeschätzt, dann können wir es behandeln. Hierbei talisando a transparência, partilha de conhecimento e sinergias
handelt es sich um eine fundamentale Anforderung für die Gover- necessárias para responder aos desafios crescentes da competitivi-
nance der Stakeholder. dade e eficiência, ie, promovendo sinergias entre departamentos;
Es liegt an uns, die Chancen zu nutzen. Und denken Sie dabei an 3. Diminuição e extinção de fluxos de dados
das afrikanische Sprichwort: “Wenn Du gläubig bist, dann bete, maliciosos dentro da organização
aber bewege auch die Füße”. ¥ Tradução: Thomas Kaiser O conhecimento e a documentação dos fluxos internos de dados,
mapeados nos respectivos processos de negócio, permitem aler-
tar para atividades suspeitas de dados na organização e especial-
mente para fora de portas (ex. DLPs). A melhoria da segurança dos
Der Autor sistemas de informação das organizações, da maturidade dos cola-
boradores, do conhecimento dos processos habituais, faz com que
Fachmann für unternehmerische Informationssicherheit, se torne muito mais complicado um atacante (interno ou externo)
gelernter Elektronik- und Telekommunikationsingenieur, post- não ser detetado a comprometer (qualquer um dos atributos C.I.A
graduiert in Informationssicherheits-management mit europä- + R) os dados da entidade (incluindo pessoais).
ischer Befähigung als Datenschutzbeauftragter (Data Protec-
tion Officer). Sich für die Herausforderungen der CyberSecuri- 4. Risco, análise de risco e mitigação do Risco
ty und der Digitalen Privatsphäre in der modernen Gesellschaft Os diversos passos do processo de conformidade permitem co-
begeisternd, ist er Berater für Datenschutz und Sicherheit bei nhecer a realidade dos dados nas organizações (localização, con-
der Fa. Closer Consulting. ¥
trolos, fluxos) o que permite a sua gestão efectiva. Quando temos
na nossa posse os diversos fluxos de dados pessoais que processa-
O Autor: mos na organização (e/ou dados PII – dados pessoais identificá-
veis), as categorias de dados em que se enquadram, as medidas
"Profissional de Segurança de Informação empresarial, en- técnicas e organizativas a que estão sujeitos para a sua salvaguar-
genheiro de Electrónica e Telecomunicações de formação, pós- da, temos os elementos necessários para a identificação do Risco.
-graduado em Gestão da Segurança da Informação com certi- Definido o contexto, analisado e avaliado o Risco do processamen-
ficação europeia em Privacidade de Dados Pessoais (Data Pro- to, podemos tratá-lo. Trata-se de um requisito fundamental para o
tection Officer). Apaixonado pelos desafios da Cibersegurança
Governance dos stakeholders.
e da Privacidade Digital na sociedade moderna, é consultor de
Privacidade e Segurança na Closer Consulting." ¥ Está nas nossas mãos potenciar oportunidade. E lembre-se do pro-
vérbio africano: “Se é religioso reze. Mas mexa os pés”. ¥ Neste tex-
to não foram aplicadas as regras do acordo ortográfico.
16 IMPAKT / 022017Sie können auch lesen
