Regulamento Geral de Proteção de Dados (RGPD)

Regulamento Geral de Proteção de Dados (RGPD)

...

by LCG, 11 Abril, 2018


Como garantir a conformidade com o Regulamento Geral de Proteção de Dados (RGPD)

Em vésperas da aplicação do Regulamento Geral de Proteção de Dados (RGPD), as organizações têm que ser objetivas e pragmáticas na priorização e decisão de abordagem, principalmente as que ainda não iniciaram qualquer programa de proteção de dados e de conformidade com o RGPD.

Assim, é crucial identificar os passos essenciais que permitem à organização:

  • Conhecer o seu atual estado de conformidade, nos âmbitos jurídico, processual e tecnológico;
  • Avaliar a eficiência de quaisquer políticas, processos e medidas de controlo que possam existir;
  • E identificar as ações que permitam colmatar quaisquer lacunas.

 

Principal desafio na implementação de conformidade com o RGPD

Dotar a organização da sensibilidade, conhecimento e maturidade suficientes para enquadramento da aplicação do regulamento na sua própria realidade. Apenas assim será possível anular ou mitigar riscos de vulnerabilidade e corresponder às exigências de âmbito jurídico, processual e tecnológico que o RGPD apresenta.

A salvaguarda da privacidade de dados pessoais e a segurança de informação, requerem uma abordagem transversal à organização, com o envolvimento e suporte direto da administração e a abrangência integradora em todas as unidades e equipas de trabalho.

Gestão da Mudança - sensibilização e formação dos colaboradores é essencial

Independentemente da robustez que o programa de proteção de dados possa ter, do rigor da revisão contratual e dos acordos de processamento de dados ou da blindagem e granularidade das soluções de segurança que possam ser consideradas, os melhores resultados na prevenção de comprometimento de dados e fugas de informação, são alcançados através de sensibilização e formação dos recursos humanos. É através destes que a grande maioria dos incidentes ocorrem, seja por desconhecimento de comportamentos de risco, negligência no local de trabalho, processo intencional no manuseamento de dados pessoais ou por falta de competência.

A Gestão da Mudança assume assim um papel essencial na forma como trabalhadores e utilizadores das infraestruturas e sistemas da organização adoptam as boas práticas necessárias. É no interesse da organização considerar um conjunto de sessões de formação e de sensibilização para quadros de administração, quadros executivos e todos trabalhadores, com particular incidência naqueles que lidam com dados pessoais e sensíveis.

 

Conhecer o estado de conformidade da organização permite definir o plano de ação

É crítico que as organizações possuam adequados sistemas de informação, de gestão do risco e de conformidade, alinhados entre si e devidamente integrados na cadeia de valor dos processos de negócio, de modo a ser possível identificar, em cada momento, qualquer vulnerabilidade, ataque externo ou risco de salvaguarda de privacidade dos dados.

Como resultado deste exercício, devem concluir-se as ações necessárias por forma a reforçar o nível de sistematização e processamento de informação, bem como a robustez e fluidez dos procedimentos, através da implementação de mecanismos e processos de controlo de acessos, gestão de perfis de utilizadores e a definição e consolidação de processos transversais às várias unidades orgânicas.

 

Levantamento das atividades de processamento e mapeamento do fluxo de informação

Para o efeito, procede-se a um levantamento de informação e mapeamento dos dados existentes, resultando num relatório da situação atual com identificação dos pontos de conformidade e de não conformidade com o novo regulamento bem como um plano de implementação de ações de melhoria / corretivas.

Este levantamento de informação deverá conter elementos que permitam, na análise de conformidade com o RGPD, concluir sobre a avaliação da licitude do tratamento de dados, a salvaguarda dos direitos dos titulares nas transferências de dados, a adequação contratual e de acordos de processamento de dados com clientes e subcontratados.

 

Classificação de Informação

É no culminar deste levantamento, que será possível elaborar um documento de estrutura de dados com a respetiva classificação de informação, complementar ao mapeamento das atividades de processamento e de fluxos de informação, com indicação concreta dos momentos, etapas e suportes onde é processada a recolha de informação, qual o tipo de dados processados, mecanismos de transferência de dados, onde é feito o armazenamento, quem tem acesso, períodos de retenção dos dados e mecanismos de eliminação.

Para além do já referido, o diagnóstico permitirá aferir sobre a adequação das políticas, processos e procedimentos em vigor, a validade de procedimentos de notificação, a identificação inequívoca de responsabilidades, a governação de partilha e acesso dos dados, a autenticação e rastreio de utilizadores e a extensão de aplicação dos conceitos de Privacy by Default e Privacy by Design.

 

Para mais informação visite o nosso site dedicado ao RGPD.

 

Imagem banner: freepik