by LCG, 11 Abril 2018
As organizações têm que ser objetivas e pragmáticas na priorização e decisão de abordagem, principalmente as que ainda não iniciaram qualquer programa de proteção de dados e de conformidade com o RGPD.
Assim, é crucial identificar os passos essenciais que permitem à organização:
Principal desafio na implementação de conformidade com o RGPD
Dotar a organização da sensibilidade, conhecimento e maturidade suficientes para enquadramento da aplicação do regulamento na sua própria realidade. Apenas assim será possível anular ou mitigar riscos de vulnerabilidade e corresponder às exigências de âmbito jurídico, processual e tecnológico que o RGPD apresenta.
A salvaguarda da privacidade de dados pessoais e a segurança de informação, requerem uma abordagem transversal à organização, com o envolvimento e suporte direto da administração e a abrangência integradora em todas as unidades e equipas de trabalho.
Gestão da Mudança - sensibilização e formação dos colaboradores é essencial
Independentemente da robustez que o programa de proteção de dados possa ter, do rigor da revisão contratual e dos acordos de processamento de dados ou da blindagem e granularidade das soluções de segurança que possam ser consideradas, os melhores resultados na prevenção de comprometimento de dados e fugas de informação, são alcançados através de sensibilização e formação dos recursos humanos. É através destes que a grande maioria dos incidentes ocorrem, seja por desconhecimento de comportamentos de risco, negligência no local de trabalho, processo intencional no manuseamento de dados pessoais ou por falta de competência.
A Gestão da Mudança assume assim um papel essencial na forma como trabalhadores e utilizadores das infraestruturas e sistemas da organização adoptam as boas práticas necessárias. É no interesse da organização considerar um conjunto de sessões de formação e de sensibilização para quadros de administração, quadros executivos e todos trabalhadores, com particular incidência naqueles que lidam com dados pessoais e sensíveis.
Conhecer o estado de conformidade da organização permite definir o plano de ação
É crítico que as organizações possuam adequados sistemas de informação, de gestão do risco e de conformidade, alinhados entre si e devidamente integrados na cadeia de valor dos processos de negócio, de modo a ser possível identificar, em cada momento, qualquer vulnerabilidade, ataque externo ou risco de salvaguarda de privacidade dos dados.
Como resultado deste exercício, devem concluir-se as ações necessárias por forma a reforçar o nível de sistematização e processamento de informação, bem como a robustez e fluidez dos procedimentos, através da implementação de mecanismos e processos de controlo de acessos, gestão de perfis de utilizadores e a definição e consolidação de processos transversais às várias unidades orgânicas.
Levantamento das atividades de processamento e mapeamento do fluxo de informação
Para o efeito, procede-se a um levantamento de informação e mapeamento dos dados existentes, resultando num relatório da situação atual com identificação dos pontos de conformidade e de não conformidade com o novo regulamento bem como um plano de implementação de ações de melhoria / corretivas.
Este levantamento de informação deverá conter elementos que permitam, na análise de conformidade com o RGPD, concluir sobre a avaliação da licitude do tratamento de dados, a salvaguarda dos direitos dos titulares nas transferências de dados, a adequação contratual e de acordos de processamento de dados com clientes e subcontratados.
Classificação de Informação
É no culminar deste levantamento, que será possível elaborar um documento de estrutura de dados com a respetiva classificação de informação, complementar ao mapeamento das atividades de processamento e de fluxos de informação, com indicação concreta dos momentos, etapas e suportes onde é processada a recolha de informação, qual o tipo de dados processados, mecanismos de transferência de dados, onde é feito o armazenamento, quem tem acesso, períodos de retenção dos dados e mecanismos de eliminação.
Para além do já referido, o diagnóstico permitirá aferir sobre a adequação das políticas, processos e procedimentos em vigor, a validade de procedimentos de notificação, a identificação inequívoca de responsabilidades, a governação de partilha e acesso dos dados, a autenticação e rastreio de utilizadores e a extensão de aplicação dos conceitos de Privacy by Default e Privacy by Design.
Para mais informação visite o nosso site dedicado ao RGPD.
Imagem banner: freepik