Como preparar-se para o RGPD? Quatro conselhos da Gartner

De acordo com a Gartner, no final de 2018, mais de 50% das empresas afetadas pelo novo Regulamento Geral de Proteção de Dados (RGPD) não estarão ainda em cumprimento total com as novas regras impostas pela União Europeia (UE)

Como preparar-se para o RGPD? Quatro conselhos da Gartner

O novo RGPD entra vigor já em maio do próximo ano, com o objetivo de harmonizar as leis de proteção de dados por toda a Europa, como forma de proteger os cidadãos da UE e a privacidade dos seus dados. As novas regras vêm modelar a forma como as organizações abordam a privacidade dos dados dos cidadãos da UE, e o incuprimento das regras levará a coimas de montantes elevados para as empresas.

O RGPD afetará não só as organizações sediadas na UE, mas também muitos controladores e processadores de dados exteriores à UE”, refere Bart Willemsen, research director, Gartner. “O risco de multas pesadas, assim como a posição crescente de poder de sujeitos individuais em relação aos seus dados levam as empresas a estarem em compliance, e devem levar os decidores a reavaliarem as suas medidas de segurança em relação aos dados pessoais”.

 

Determinação de um papel sob o RGPD

Qualquer organização que decide como e porque é que os dados são processados é identificada pela Gartner como um “data controller”. O novo RGPD aplica-se, no entanto, não apenas a empresas que estejam dentro da UE, mas também a todas as organizações fora da UE que processem dados pessoais para oferta de bens e serviços à União Europeia. Estas organizações devem nomear um representante para atuar como ponto de contacto da Autoridade de Protecção de Dados (DPA) e das pessoas em causa.

 

Nomeação de um Data Protection Officer

Para a Gartner, outro dos passos importantes que deverá ser tomado pelas organizações é a nomeação de um Data Protection Officer (DPO). Isto é particularmente importante quando a organização se trata de um órgão público, está a processar operações que requerem monitorização regular e sistemática, ou tem atividades de processamento de larga escala. A consultora salienta que “larga escala” não significa necessariamente centenas de milhares de fontes de dados.

 

Demonstração de responsabilidade em todas as atividades de processamento

São poucas as empresas que conseguem identificar cada processo onde os dados pessoais estejam envolvidos. Segundo a Gartner, no futuro, a limitação da finalidade, qualidade e relevância dos dados devem ser decididos logo no início de uma nova atividade de processamento, visto que isto ajudará a manter a compliance nas atividades seguintes de processamento de dados.

As organizações devem demonstrar uma postura segura e transparência em todas as decisões de processamento de dados pessoais. As partes exteriores devem também colaborar com os requisitos relevantes que podem afetar a cadeia, alterar a gestão e processos de aquisição. É importante notar que a prestação de contas no âmbito do GDPR requer o registo de consentimento de dados apropriados. O consentimento implícito fará parte do passado. É necessária uma ação clara e expressa que exigirá que as organizações implementem técnicas simplificadas para obter e documentar o consentimento, assim como a retirada do mesmo.

 

Os cidadãos exigirão os seus direitos

Com o RGPD os cidadãos têm agora mais direitos. O direito a ser “esquecido”, à portabilidade dos dados e a ser informado em caso de violação de dados, são alguns dos direitos que os cidadãos europeus poderão exercer. Deste modo, se uma empresa não estiver ainda preparada para tratar corretamente de incidentes de violações de dados e com os cidadãos a exercerem os seus direitos, então está na altura de começarem a implementar medidas nesse sentido.

Tags

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT INSIGHT Nº 8 Julho 2017

IT INSIGHT Nº 8 Julho 2017

NEWSLETTER

Receba todas as novidades na sua caixa de correio!