RGPD, COMPLIANCE OBRIGATÓRIO

OBJETIVOS
Ao final da formação, os participantes deverão ser capazes de:

1. Compreender os princípios, fundamentos e enquadramento legal do RGPD e da legislação nacional complementar aplicável, distinguindo conceitos-chave (dados pessoais, categorias especiais, responsável pelo tratamento, subcontratante, encarregado de proteção de dados).
2. Identificar bases de licitude e requisitos de transparência, incluindo consentimento válido, interesse legítimo e obrigações de informação, de forma a selecionar a base jurídica adequada a diferentes tratamentos.
3. Mapear atividades de tratamento e conduzir inventários/registos (ROPAs), distinguindo finalidades, categorias de dados, titulares, prazos de conservação, destinatários e transferências internacionais.
4. Implementar medidas de conformidade “by design and by default”, avaliando riscos e adotando controlos técnicos e organizativos proporcionais (minimização, pseudonimização, controlo de acessos, retenção e eliminação).
5. Estruturar um programa de compliance RGPD: políticas e procedimentos, governança, papéis e responsabilidades, formação contínua, gestão de terceiros e ciclos de melhoria.
6. Executar Avaliações de Impacte sobre a Proteção de Dados (DPIA) e registos de ponderação de interesse legítimo, incluindo critérios, metodologia, mitigação e evidências.
7. Gerir direitos dos titulares e pedidos (acesso, retificação, apagamento, limitação, portabilidade, oposição), definindo prazos, fluxos internos e respostas documentadas.
8. Preparar e responder a incidentes e violações de dados, com planos de resposta, critérios de notificação à autoridade e comunicação aos titulares.
9. Estabelecer bases contratuais com subcontratantes e gerir transferências internacionais (Cláusulas Contratuais-Tipo, BCRs, adequação, TIAs), assegurando due diligence e monitorização.
10. Demonstrar accountability: evidências, auditorias, indicadores de controlo e relatórios para direção e auditoria interna/externa.
11. Aplicar os conceitos a casos práticos reais, documentando decisões e justificações para efeitos de evidência e auditoria.
12. Compreender o Regulamento Europeu de IA (AI Act), as suas obrigações e a interação com o RGPD, alinhando controlos e avaliações de risco.

PROGRAMA

1. Enquadramento e princípios do RGPD
a) Contexto regulatório europeu e nacional. Âmbito material e territorial. Papel e poderes das autoridades de controlo.
b) Conceitos essenciais: dados pessoais e categorias especiais, tratamento, responsáveis, corresponsáveis, subcontratantes, DPO.
c) Princípios: licitude, lealdade e transparência; limitação de finalidades; minimização; exatidão; limitação de conservação; integridade e confidencialidade; accountability.
d) Caso prático: classificação de dados e papéis num cenário de RH e marketing.

2. Bases de licitude e transparência
a) Consentimento: requisitos de validade, granularidade, prova e retirada.
b) Execução de contrato, obrigação legal, interesses vitais, interesse público, interesse legítimo: critérios de aplicação e exemplos práticos.
c) Deveres de informação: camadas, clareza, momentos e canais. Avisos deprivacidade para colaboradores, clientes e fornecedores.
d) Casos práticos: escolha de base jurídica para videovigilância, cookies e onboarding digital.

3. Inventário e mapeamento de tratamentos
a) Registo de atividades (ROPAs): estrutura, campos essenciais, governação e atualização.
b) Mapeamento de fluxos de dados, sistemas e terceiros.
c) Prazos de conservação, tabelas de retenção e métodos de eliminação/anonimização.
d) Caso prático: construção de um ROPA de exemplo e diagrama de fluxos.

4. Medidas técnicas e organizativas; privacy by design/default
a) Avaliação de risco e proporcionalidade.
b) Controlos técnicos: segurança lógica, cifragem/pseudonimização, gestão de acessos e logs, backups e resiliência.
c) Controlos organizativos: políticas, segregação de funções, formação e consciencialização, gestão de dispositivos e ambientes de trabalho.
d) o Integração no ciclo de vida de projetos e produtos; registos de design e decisões.
e) o Caso prático: revisão de um projeto com matriz de risco e registos de design (privacy by design).

5. Direitos dos titulares e operações de resposta
a) Procedimentos, prazos e verificação de identidade.
b) Gestão de pedidos complexos: portabilidade, oposição a interesse legítimo, limitação, apagamento com retenções legais.
c) Padronização de respostas, exceções e documentação de decisão.
d) Role play: tratamento fim a fim de um pedido de acesso de colaborador e resposta a oposição por interesse legítimo.

6. DPIA e avaliações de interesse legítimo
a) Quando realizar, metodologias e critérios (probabilidade vs. gravidade).
b) Envolvimento do DPO, consulta prévia e mitigação.
c) Registos de ponderação de interesse legítimo (LIA): estrutura e evidências.
d) Casos práticos: mini DPIA sobre monitorização de produtividade e elaboração sumária de um LIA.

7. Gestão de incidentes e violações de dados
a) Deteção, classificação, contenção, erradicação e recuperação.
b) Critérios de notificação à autoridade, comunicação aos titulares e prazos.
c) Runbooks, testes de mesa e lições aprendidas.
d) Tabletop: phishing com exfiltração de 5.000 clientes — decisão de notificação e comunicação.

8. Terceiros, contratos e transferências internacionais
a) Due diligence e gestão do ciclo de vida de subcontratantes; cláusulas essenciais de tratamento de dados.
b) Transferências internacionais: fundamentos, Cláusulas Contratuais-Tipo, BCRs, decisões de adequação, Transfer Impact Assessments.
c) Auditorias a fornecedores e monitorização contínua.
d) Caso prático: revisão de cláusulas DPA e realização de um TIA para fornecedor cloud nos EUA.

9. Regulamento Europeu de IA e interação com o RGPD
a) Âmbito e categorias de risco; sistemas proibidos; requisitos para sistemas de alto risco; obrigações de fornecedores e utilizadores; governance, registos e avaliação de conformidade.
b) Interseções com o RGPD: bases legais para treino e utilização, minimização e retenção, direitos dos titulares vs. explicabilidade, DPIA vs. avaliações/gestão de risco de IA, transferências e gestão de datasets.
c) Transparência, logging e documentação; sandbox e enforcement.
d) Casos práticos: avaliação de um caso de uso de IA generativa no atendimento ao cliente; mapeamento de papéis (fornecedor/utilizador) numa solução de scoring; checklist de conformidade cruzada RGPD/AI Act.

10. Programa de compliance e evidências de accountability
a) Estrutura de governança, comités, papéis (direção, TI, jurídico, RH, operações, DPO).
b) Plano de políticas e procedimentos, formação contínua e comunicação interna.
c) KPIs/KRIs, auditorias internas, relatórios à gestão e ciclo de melhoria.
d) Caso prático: desenho de um plano de 90 dias com KPIs e calendário de auditorias.

11. Encerramento e avaliação (0h20)
a) Recapitulação, lições-chave e próximos passos para implementação.
b) Exercício final de autoavaliação de maturidade, quiz e feedback.

FORMADOR

Dr. Tiago Abade

Síntese Curricular
Tiago Abade é Partner da PwC Portugal, liderando a área de prática de Direito Público e Proteção de Dados. Tem desenvolvido a sua atividade na área do Direito Público, Direito Administrativo, Regulatório e Proteção de Dados, trabalhando com empresas privadas e entidade públicas.
Tem mais de 20 anos de experiência em projetos relacionados com a sua área e tem trabalhado enquanto Encarregado de Proteção de Dados de várias entidades públicas, nomeadamente, da Universidade de Lisboa, da Faculdade de Direito, do Instituto Superior Técnico e Instituto Superior de Gestão, e do Município do Funchal.
Para além destas entidades, coordena a equipa da PwC que trabalha regularmente com entidades públicas e privadas em matéria de proteção de dados, incluindo na revisão de acordos para transferência de dados nacionais e internacionais, realização de avaliação de impacto de proteção de dados, e realização de auditorias, quer periódicas, quer não programadas.

DESTINATÁRIOS
MUNICÍPIOS DA RAM: Eleitos, Dirigentes e Quadros das Autarquias e das Empresas Municipais.

HORÁRIO
9h00 Início dos trabalhos 14h00 Reinício
11h00 Pausa para café 16h00 Pausa para café
13h00 Pausa para almoço livre 18h00 Encerramento

INSCRIÇÕES
Até dois participantes por Município.
As inscrições devem ser feitas até ao dia 3 de dezembro de 2025.
[Só serão aceites mais do que 3 participantes por Município, caso não estejam preenchidas, naquela data, o número limite de inscrições, sendo dada prioridade à ordem de receção das inscrições].
Inclui:
Documentação;
Certificado de participação.

CANCELAMENTO DA AÇÃO
A AMRAM reserva-se o direito de cancelar a ação, caso o número mínimo de participantes não seja atingido, ou por outra razão que justifique a sua não realização.

INFORMAÇÕES
Dra. Zélia Rodrigues
Telef.: 291 200 730