Portugal: Council of Ministers – General Data Protection Regulation
On 22nd March, the Council of Ministers approved the following draft law:
1. The draft law implementing Regulation (EU) 2016/679 on the protection of individuals with regard to the processing of personal data and on the free movement of such data was approved in the national legal order.
Through this law, the Government approves the national legislation necessary to implement the General Data Protection Regulation, repealing the Personal Data Protection Law and adopting the solutions that the Portuguese State deems most appropriate for the protection of the rights of data subjects in the context of the competitiveness of Portuguese companies within the framework of the European Union.
2. The resolution laying down technical guidelines for the public administration on the security architecture of networks and information systems relating to personal data was adopted.
The General Data Protection Regulation (GDPR) introduced a new data protection regime that reinforces the legal protection of the rights of data owners, requiring new rules and procedures from the technological point of view.
With this resolution, it is intended to prepare the Public Administration to deal, in the technological area, with the new data processing requirements.
Mandatory or recommended technical requirements for the networks and information systems of the State’s direct or indirect administration are defined.
What data can be processed and under what conditions?
The type and amount of personal data you can process depends on the reason you are processing (legal reason used) and what you want to do with them.
You must comply with several important rules, including personal data must be processed legally and transparently, ensuring fairness to individuals whose personal data are being processed (“legality, fairness and transparency”).
- should have specific purposes for processing the data and should indicate those purposes to individuals when collecting personal data. You can not simply collect personal data for indefinite purposes (“limitation of purpose”).
- should collect and process only the personal data necessary to fulfill that purpose (“data minimization”).
- you must ensure that the personal data are accurate and up-to-date, taking into account the purposes for which they were processed, and correct them if not (“accuracy”).
- you may not use personal data for other purposes that are not compatible with the original purpose of the collection.
- shall ensure that personal data are stored only for what is necessary for the purposes for which they were collected (‘storage limitation’).
- you must install appropriate technical and organisational protections that ensure the security of personal data, including protection against unauthorised or illegal processing, and loss, destruction or accidental damage using appropriate technology (‘integrity and confidentiality’).
Learn more about our services to GDPR.
***************************************************************************************************************
No passado dia 22 de Março o Conselho de Ministros aprovou a seguinte proposta de lei:
1. Foi aprovada a proposta de lei que assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
Através do presente diploma, o Governo aprova a legislação nacional necessária à execução do Regulamento Geral de Proteção de Dados, revogando a Lei de Proteção de Dados Pessoais e adotando as soluções que o Estado Português considera mais adequadas para a proteção dos direitos dos titulares de dados pessoais no contexto da competitividade das empresas portuguesas no quadro da União Europeia.
2. Foi aprovada a resolução que define orientações técnicas para a Administração Pública em matéria de arquitetura de segurança das redes e sistemas de informação relativos a dados pessoais.
O Regulamento Geral de Proteção de Dados (RGPD) veio introduzir um novo regime de proteção de dados que reforça a proteção jurídica dos direitos dos titulares dos dados, exigindo novas regras e procedimentos do ponto de vista tecnológico.
Com a presente resolução, pretende-se preparar a Administração Pública para lidar, no plano tecnológico, com as novas exigências em matéria de tratamento de dados.
São definidos requisitos técnicos, obrigatórios ou recomendados, para as redes e sistemas de informação da administração direta ou indireta do Estado.
Quais dados podem ser processados e sob quais condições?
O tipo e a quantidade de dados pessoais que pode processar dependem do motivo pelo qual está a processar (motivo legal usado) e o que quer fazer com eles.
Tem de respeitar várias regras importantes, incluindo os dados pessoais devem ser processados de forma legal e transparente , assegurando a equidade em relação aos indivíduos cujos dados pessoais está processando (“legalidade, justiça e transparência”).
- deve ter propósitos específicos para processar os dados e deve indicar esses propósitos aos indivíduos ao coletar os dados pessoais. Não pode simplesmente coletar dados pessoais para propósitos indefinidos (“limitação de finalidade”).
- deve coletar e processar apenas os dados pessoais necessários para cumprir esse propósito (“minimização de dados”).
- você deve garantir que os dados pessoais sejam precisos e atualizados, levando em conta as finalidades para as quais foram processados, e corrija-os se não (“precisão”).
- não pode usar os dados pessoais para outros propósitosque não sejam compatíveis com o propósito original da coleta.
- deve garantir que os dados pessoais sejam armazenados só para o necessário para os propósitos para os quais foram coletados (‘limitação de armazenamento’).
- deve instalar proteções técnicas e organizacionais apropriadas que garantam a segurança dos dados pessoais, incluindo proteção contra processamento não autorizado ou ilegal e contra perda, destruição ou danos acidentais, usando tecnologia apropriada (‘integridade e confidencialidade’).
Links Importantes:
União Europeia:
https://ec.europa.eu/info/law/
Comissão Nacional de Protecção de Dados
Conselho de Ministros de 22 de Março
https://www.portugal.gov.pt/
Regulamento Geral de Protecção de Dados
https://eur-lex.europa.eu/
Conheça os nossos serviços para o RGPD.