O RGPD tem como objetivo proteger a privacidade dos dados pessoais dos cidadãos da União Europeia e controlar a forma como as organizações processam a utilização e o armazenamento dos dados.
Sendo aplicável a qualquer empresa, independentemente da sua dimensão e indústria, é um processo que enfrenta vários desafios para uma conformidade de cumprimento com o RGPD. Um dos maiores desafios é o facto de os dados pessoais estarem armazenados pelos diversos computadores de colaboradores e parceiros de negócio, em formatos não estruturados que não se encontram em bases de dados, ou seja, ficheiros txt, office, pdf, etc.
O primeiro passo para cumprimento do RGPD é compreendê-lo na íntegra, sendo obrigatório garantir os seguintes requisitos:
– Registos de tratamento de dados pessoais (Artigo 30º);
– Segurança de dados pessoais (Artigo 32º);
– Notificação de incidentes de violação de dados pessoais (Artigo 33º);
– Avaliações de Impacto sobre a proteção de dados (Artigo 35º);
– Nomeação de um encarregado da proteção de dados (Artigo 37º);
– Incentivar códigos de conduta e processos de certificação (Artigo 42º);
A preparação do cumprimento depende da elaboração de um plano de ação para a implementação do RGPD, de forma a envolver todas as áreas de negócio.
Dada a complexidade de um projecto desta dimensão, o plano de implementação deve ser focado na operacionalização e dividido em quatro fases distintas (1.Avaliar, 2.Planear, 3.Implementar, 4.Gerir) de forma atender às necessidades de atingir a conformidade desejada do RGPD.
De forma a que as tarefas seja controladas ao detalhe, o encarregado da protecção de dados, se nomeado, deve acompanhar todo o processo de implementação de forma a angariar o máximo conhecimento e conformidade.
Caso seja o encarregado da protecção de dados a realizar o plano de implementação do RGPD no sentido de identificar, avaliar e categorizar todos os dados pessoais que se encontrem armazenados e possam causar problemas de conformidade, é importante a elaboração de um relatório de avaliação da situação atual da segurança, proteção e privacidade dos dados de forma a obter respostas às seguintes questões:
1) Onde estão armazenados os dados pessoais?
2) Os registos dos dados estão organizados?
3) Os dados estão atualizados?
4) Existe identificação nas BD dos fundamentos para o tratamento dos dados?
5) Existem políticas e procedimentos de segurança e proteção de dados?
6) Existe consentimento dos titulares de dados na recolha dos dados pessoais?
7) Os subcontratantes tem responsabilidades diretas nos contratos existentes?
8) Os colaboradores que têm acesso aos dados pessoais estão informados sobre as obrigações?
9) Os sistemas garantem a confidencialidade, integridade e disponibilidade dos dados?
10) É possível detetar uma violação de dados de forma imediata e comunicá-la em 72 horas?
11) Existe um plano de notificação de resposta em caso de violação dos dados pessoais?
12) Existe uma avaliação e gestão dos riscos na segurança da informação?
13) É possível a recolha de evidências e demonstrar o cumprimento do RGPD?
Neste relatório de avaliação inicial, o papel das tecnologias é fulcral para todo o progresso de cumprimento da conformidade, trazendo um conjunto de regras desde o nível do tratamento ao armazenamento de dados pessoais.
É possível consultar os «17 passos para ajudar a preparação do RGPD» com ações a desenvolver,
de forma a atingir a conformidade e respeitar a nova legislação europeia:
