6 dicas para assegurar a implementação do RGPD

Célia Barata, da Unik apresenta seis dicas sobre o que ainda pode e deve fazer antes de 25 de Maio, data a partir da qual as organizações devem estar em conformidade com a nova lei de protecção de dados.

Célia Barata, manager na Unik

A menos de um mês da aplicação do novo Regulamento Geral de Protecção de Dados (RGPD) muitas empresas portuguesas ainda não estão preparadas para aplicar a nova legislação da União Europeia.

O principal a reter é que a responsabilidade pela Protecção dos Dados Pessoais dos titulares passa a ser da própria organização que trata esses mesmos dados e que o próprio titular tem de autorizar de forma explícita e inequívoca a utilização dos seus dados.

E qual o impacto destas novas obrigações para as organizações? Podemos dizer que alguns departamentos terão de ser sujeitos a mudanças estruturais, que algumas dinâmicas e processos terão que ser reajustados e que toda a organização, incluindo colaboradores, chefias intermédias e órgãos de gestão, devem ser envolvidos neste processo de adaptação e mudança.

Saiba o que pode e deve fazer:

1. Avaliar e mapear todos os dados pessoais passíveis de tratamento

Uma análise global da organização, com vista à identificação de todas as áreas onde o RGPD terá implicações, é uma das prioridades. Devem ser analisadas as práticas actuais relativas ao tratamento e protecção de dados pessoais e o posicionamento da organização relativamente aos requisitos e princípios do Regulamento. Neste levantamento devem ser analisados os processos de recolha, registo, organização, estruturação, adaptação/alteração, recuperação, consulta, utilização, divulgação por transmissão, limitação ao apagamento ou destruição dos dados pessoais.

2. Definir plano de acção

Conseguir prever, dimensionar e medir o esforço envolvido e identificar os recursos necessários é fundamental. Criar e calendarizar um plano de acção no que diz respeito à identificação das principais acções de melhoria é igualmente importante.

3. Definir políticas, processos e procedimentos

Os princípios de tratamento de dados identificados no RGPD, tais como a licitude, lealdade e transparência, integridade e confidencialidade, responsabilidade demonstrada, entre outros, terão que ser assegurados na criação e definição de processos e procedimentos internos, que visem o cumprimento dos requisitos do Regulamento.

Estes processos e procedimentos podem passar por celebrar acordos de sigilo e confidencialidade de acesso aos dados e/ou sistemas de informação por parte dos prestadores de serviço e colaboradores, definir responsáveis pela elaboração e aprovação da documentação ou organizar dossiers estruturados com registo dos tratamentos de dados e até criar modelos padronizados de forma a garantir o cumprimento de todos os requisitos.

4. Designar um encarregado de protecção de dados (DPO-Data Protection Officer)

A nomeação de um encarregado de protecção de dados (DPO) é obrigatória nas entidades públicas e em todas as empresas que exijam um controlo regular e sistemático pelos titulares dos dados, ou mesmo organizações que lidam com o tratamento em grande escala de categorias especiais de dados, tais como informações genéticas, biométricas, saúde, entre outras. As restantes empresas podem beneficiar da designação de um DPO que garanta a conformidade com o RGPD em permanência, avaliando continuamente se os requisitos de protecção de dados pessoais estão a ser cumpridos ou não.

5. Rever a política de privacidade

Um dos aspetos mais exigentes deste novo Regulamento é o consentimento dado pelos titulares dos dados para a recolha e para o tratamento dos mesmos. Este consentimento tem que ser explícito e inequívoco e com a indicação clara da finalidade de recolha dos dados. Além dos procedimentos necessários para garantir que isto acontece, também é preciso ser capaz de verificar e conseguir ter evidências desse mesmo consentimento, comprovando a sua validade à luz das normas do RGPD.

6. Criar medidas técnicas e organizativas estruturadas

Rever as políticas e práticas da organização e adoptar as medidas técnicas e organizativas adequadas e necessárias para assegurar e poder comprovar que todos os tratamentos de dados efectuados estão em conformidade com o RGPD, a partir do momento da sua aplicação, é igualmente necessário. Nessa revisão deve ter em conta a natureza, âmbito, contexto e finalidades dos tratamentos de dados, bem como os riscos que deles podem decorrer para os direitos e liberdades dos cidadãos. Esta apreciação permite ainda tomar as medidas necessárias para confirmar o nível de segurança adequado que garanta, designadamente, a confidencialidade e a integridade dos dados.

Para que este processo seja mais simples, deve seguir um conjunto de orientações legais e, se possível, procurar apoio num parceiro especializado no tema que lhe garanta uma metodologia orientada a Pessoas, Processos e Tecnologia.

O Regulamento Geral da Proteção de Dados é aplicado a partir de 25 de maio de 2018 e em caso de incumprimento as organizações podem ser sujeitas a coimas. Além da penalização financeira, lembre-se que a reputação do seu negócio é fundamental para ter a confiança dos seus clientes, parceiros e fornecedores.

E existirá melhor forma de fortalecer essa relação de confiança do que privilegiar a protecção dos seus dados pessoais? Transforme este desafio numa oportunidade.


Tags


Deixe um comentário

O seu email não será publicado