RGPD: Boas práticas para a conformidade

RGPD: Boas práticas para a conformidade

...

by LCG, 19 Setembro 2018


Quais as boas práticas que as organizações deverão seguir?

 

Necessariamente, deverão realizar um diagnóstico das dimensões jurídica, processual e tecnológica para identificar pontos de não-cumprimento e as necessárias alterações a implementar. Durante este diagnóstico, deverá ser efetuada uma revisão contratual que identifique as componentes de consentimento, transparência, responsabilidade e proteção dos dados, bem como a revisão das políticas, processos e responsabilidades que respondem às condições exigíveis para a disponibilização de dados pessoais.

 

Em paralelo, deverá ser efetuado o mapeamento de procedimentos de recolha, tratamento, armazenamento e eliminação de dados pessoais, bem como a definição de processos de notificação à autoridade e titulares dos dados no caso de acesso indevido ou de fuga de informação. Por último, será sempre necessária uma revisão da política de segurança, tornando-a mais robusta através do reforço dos mecanismos de autenticação, da gestão de perfis de acesso, da configuração de plataformas e dispositivos, da confidencialidade das transmissões de dados e do registo dos acessos.

 

Encarregado de Proteção de Dados (DPO)

Quanto à figura do Encarregado de Proteção de Dados (DPO), e caso não seja observado o enquadramento que aponta à sua obrigatoriedade, é essencial que cada entidade faça o seu diagnóstico e a sua avaliação de complexidade de tratamento de dados para aferir da necessidade de nomeação de um DPO ou se, ao invés, a opção pela função não formalizada de um Responsável de Proteção de Dados será suficiente para corresponder às exigências do RGPD.

 

Tendo como principais tarefas aconselhar a organização e os trabalhadores, garantir a execução das avaliações de impacto de risco (quando necessárias) e cooperar com as entidades de controlo, sendo o ponto de contacto com a Autoridade Nacional, o DPO tem como principais desafios conhecer bem a estrutura da organização e consciencializar os stakeholders relevantes para a implementação do programa de proteção de dados. Não é uma função de pouca relevância e, como tal, requer alguma ponderação no momento da escolha e nomeação, já que o perfil da pessoa que ocupará esse cargo deverá ser definido após serem retiradas conclusões a respeito do âmbito e extensão do próprio programa de proteção de dados adotado, bem como da estrutura orgânica que lhe dará suporte.

 

Mudança de mentalidade nas empresas

Por tudo o que já foi referido, facilmente se constata como sendo necessária uma nova mentalidade sobre a segurança da informação, para que esta seja aceite como uma preocupação transversal da organização. Só assim, as organizações farão uma correta abordagem às exigências do RGPD, sendo mais eficazes na proteção e na prevenção de fugas de informação.

 

O correto mapeamento de riscos e desafios na gestão interna da privacidade de dados, permite aproveitar oportunidades e desenvolver sinergias entre departamentos, sendo que a integração do diagnóstico de privacidade de dados com outras iniciativas de auditoria interna e de certificação de processos, permitirá reduzir os custos associados.

 

A experiência da LCG na análise e tratamento de dados, bem como no desenvolvimento de auditorias e análises de risco permite apresentar uma oferta A-a-Z nas suas componentes, jurídica, processual e tecnológica.