Conhecer o enquadramento legal da proteção de dados; Distinguir dado pessoal, tratamento de dados pessoais; responsável pelo tratamento, subcontratante e consentimento; Conhecer as competências e obrigações do encarregado de proteção de dados; Elaborar o Dossier de prova de compliance; Conhecer os requisitos de auditabilidade; Aplicar regras de segurança e proteção no tratamento de dados pessoais; Estabelecer medidas em caso de violação de dados pessoais; Realizar avaliações sobre proteção de dados pessoais.

I Introdução e apresentação do curso II O enquadramento legal da proteção de dados: passado e futuro 1. Da Convenção do Conselho da Europa e das Guidelines da OCDE à Diretiva 95/46/CE e à Lei n.º 67/98, de 26 de outubro; 2. O Regulamento Geral de Proteção de Dados e a mudança de paradigma; 3. A aplicação do Regulamento (âmbito material, subjetivo e territorial); 4. A distinção relativamente a outras regulações comunitárias (ePrivacy e NIS); 5. Definições fundamentais do Regulamento: dado pessoal, tratamento de dados pessoais; responsável pelo tratamento, subcontratante e consentimento; 6. Condições de legitimidade do tratamento de dados pessoais; 7. Direitos dos titulares dos dados: informação, acesso, retificação e apagamento, direito a ser esquecido, portabilidade de dados, direito de oposição; 8. Obrigações do responsável pelo tratamento e do subcontratante; 9. As competências e obrigações do encarregado de proteção de dados; 10. As entidades de controlo; 11. Regras sancionatórias. III O enquadramento legal e ação do RGPD 1. A proteção de dados como um direito fundamental: a Carta dos Direitos Fundamentais, as Guidelines da OCDE e o paradigma do RGPD; 2. O papel do WP29 e o Comité Europeu para a Proteção de Dados; 3. Distinção entre segurança e proteção de dados: as situações de potencial conflito e impacto na organização e no processo decisório; 4. Cloud computing, big data, análise de dados e internet das coisas; 5. Privacy by Design e Privacy by Default; 6. A transferência de dados pessoais, em especial os países terceiros; 7. Privacy Shield; 8. Decisões de adequação, Binding Corporate Rules e cláusulas contratuais de salvaguarda. Exceções. Os princípios aplicáveis; 9. Os privacy impact assessment e os severity assessment; 10. O papel do DPO: funções e responsabilidade. Medidas organizacionais. Dossier de prova de compliance; a transversalidade da função. Limitações do conceito no âmbito do RGPD. IV Jurisprudência, casos reais e atividade do DPO 1. Análise da jurisprudência chave do Tribunal de Justiça da União Europeia e do Tribunal Europeu dos Direitos do Homem com impacto nas soluções do RGPD, na interação com outros direitos fundamentais e enquanto aplicação dos princípios; 2. Case studies; • Atividade do DPO 1. Pareceres a) Novos processos de negócio; b) Novos sistemas; c) Alterações a processamentos e/ou sistemas; d) Alterações legislativas e a sua interação com o RGPD; e) Exemplos de situações comuns; 1. Requisitos de auditabilidade a) Acesso a sistemas e repositórios de dados; b) Marketing, Big Data e utilização ‘off the grid’ (Exceis e pequenos sistemas localizados) de dados pessoais; c) Entidades processadoras e fornecedores de sistemas: erros comuns; d) Incapacidade tecnológica de sistemas legacy de cumprir o RGPD; e) Documentação e “evidências” do cumprimento do RGPD: i. Documentação e evidências, decisões, interpretações; ii. Regulamentos, políticas e códigos de conduta; iii. Alinhamento operação e base legal; iv. Conflitos entre RGPD e leis habilitantes; v. Minimização de dados. V Tecnologia 1. Regras de segurança no tratamento de dados pessoais; 2. Medidas na violação de dados pessoais; 3. Registo de atividades dos tratamentos e respetivo suporte ; 4. Realização de avaliações sobre proteção de dados pessoais (DPIAs); 5. A pseudonimização e cifragem; 6. Capacidade para assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento; 7. Capacidade para restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico; 8. Segurança de informação e respetiva monitorização e controlo (ISO’s 27001 e 27002); a gestão das TI (ISO 20000-1); a gestão da continuidade do serviço/negócio (ISO 22301); a gestão do risco associado (ISO 31000 e/ou ISO 27005). VI Tecnologia e arquivo 1. Arquivo digital a. Prazos de retenção – definição e aplicação; b. Anonimização / pseudonimização; c. Arquivo histórico; d. Arquivo de papel. 2. Vertentes operacionais a. Acesso físico a sistemas e terminais; b. Manutenção e operação de sistemas; c. Política de gestão de acessos; d. Gestão de acessos e permissões; e. Acessos e permissões; f. Cópias de segurança; g. Guarda de papel de informação viva; h. Detecção de quebras de segurança; i. Evidências de gestão de quebras de segurança; j. Relação com processadores e fornecedores de sistemas e produtos. 3. Exame final