Risk assessment model in compliance with GDPR

Machado, Pedro Miguel Nunes Oliveira

http://hdl.handle.net/10400.2/11009

Use this identifier to reference this record.

Name:	Description:	Size:	Format:
TMISE_PedroMachado.pdf		3.39 MB	Adobe PDF	Download

Send Feedback

Authors

Machado, Pedro Miguel Nunes Oliveira

Advisor(s)

São Mamede, Henrique

Silva, Miguel Mira da

Abstract(s)

Hodiernamente, a sociedade é incitada a aderir a novas tendências tecnológicas, que tornam os cenários de risco de privacidade cada vez mais complexos. Sem Privacidade não há Liberdade, e sem Liberdade não há Democracia. Em suma, sem Privacidade é a própria Democracia e o Estado de Direito que estão em risco. Não obstante do Regulamento Geral sobre a Proteção de Dados (RGPD) vir harmonizar conceitos e regras, nem todos resultam claro, quer na definição quer na aplicabilidade, existindo uma ausência de orientações práticas no RGPD e demais legislação aplicável, bem como na doutrina existente, promovendo incerteza jurídica e conduzindo a dificuldades de implementação em conformidade com a legislação. A gestão de risco é decisiva para a correta aplicação dos princípios legais e regulamentares da proteção de dados pessoais, assumindo-se como instrumento impreterível ao cumprimento das obrigações legais, a fim de garantir os direitos, liberdades e garantias fundamentais, constitucionalmente previstas. Todavia, não resulta indubitavelmente evidente para o mercado, quais as diferenças entre o risco para a(s) empresa(s) e risco para o(s) titular(es) dos dados pessoais, levando muitas organizações a focar unicamente nos penosos regimes sancionatórios, danos reputacionais, financeiros, entre outros. Embora estes sejam relevantes para as organizações, não cumprem a totalidade das obrigações previstas na lei. O desenvolvimento de um modelo de avaliação de risco centrado nos titulares dos dados, permite orientar no cumprimento das obrigações legais em matérias de privacidade/dados pessoais, contribuindo para a conformidade e como os regimes indemnizatórios podem vir a ser aplicados mais adequadamente, tendo em conta os reais efeitos na esfera jurídica dos titulares dos dados, contribuindo deste modo para uma melhor harmonização e transparência na gestão dos dados pessoais.

Nowadays, society is incited to adhere to new technological trends, which make privacy risk scenarios increasingly complex. Without Privacy there is no Freedom, and without Freedom there is no Democracy. In short, without Privacy it is Democracy itself and the Rule of Law that are at risk. Despite the General Data Protection Regulation (GDPR) is harmonizing concepts and rules, not all are clear, either in definition or in its applicability, and there is an absence of practical guidelines in the GDPR and other applicable legislation, as well as in the existing doctrine, promoting legal uncertainty and leading to difficulties of implementation in accordance with the legislation. Risk management is decisive for the correct application of legal and regulatory principles of personal data protection, assuming itself as an indispensable instrument for the fulfillment of legal obligations, to guarantee the fundamental rights, freedoms and guarantees, constitutionally provided. However, it is not undoubtedly clear to the market what the differences are between the risk to the company(ies) and the risk to the holder(s) of the personal data, leading many organizations to focus solely on the painful sanctioning regimes, reputational and financial damages. While these are relevant to the organizations, they do not meet the full obligations under the law. The development of a data subject-centric risk assessment model provides guidance on how to comply with legal obligations in privacy/personal data matters, contributing to compliance and how compensation regimes can be applied more appropriately, taking into account the real effects on the data subjects' legal sphere, contributing to a better harmonization and transparency in the management of personal data.

Keywords

Proteção de dados Privacidade Risco Gestão Direitos fundamentais Titular de dados RGPD Risk management Privacy Data protection Compliance Fundamental rights Data owners GDPR