Cinco conselhos para pôr em marcha o novo Regulamento Geral de Proteção de Dados

As alterações trazidos pelo novo Regulamento Geral de Proteção de Dados da União Europeia (EU-RGPD) implicam uma mudança nos processos das empresas, e as que não cumprirem com as novas regras estão sujeitas a uma coima.

Cinco conselhos para pôr em marcha o novo Regulamento Geral de Proteção de Dados

Para ajudar as empresas a estarem preparadas para a alterações que aí vêm, a SealPath, provider especializado no desenvolvimento de soluções de proteção e controlo da informação confidencial (IRM, information rights management), delineou uma estratégia que as empresas deverão adotar para estarem preparadas para as alterações que se farão sentir quando o RGPD for implementado.

As alterações que serão implementadas a nível da UE pretendem garantir que os direitos dos indivíduos em relação à proteção dos seus dados pessoais estão assegurados na era digital Os benefícios decorrentes da nova regulamentação para os cidadãos (direito a ser esquecido, o consentimento explícito para o tratamento de dados, acesso mais fácil aos seus próprios dados ou maior conhecimento de como eles são tratados) têm um impacto sobre as empresas, e estas devem preparar-se para o seu cumprimento.

O novo regulamento entrará em vigor a maio do próximo ano e uma boa parte das organizações ainda não estão preparadas. Eis cinco passos a ter em conta, segundo a SealPath.

 

Analisar que dados de terceiros são geridos pela organização

Obter um esquema preciso entre as diferentes unidades da organização sobre quais os dados de terceiros recolhidos e onde estes se encontram armazenados é um dos primeiros passos que as empresas deverão dar. Fazer um inventário desses mesmos dados e indicar o tipo de dados recolhidos, onde foram recolhidos e onde estão armazenado deve ser o segundo passo. Grande parte deste trabalho já deverá estar feito em cumprimento aos regulamentos anteriores.

 

Verificar a política de privacidade para os dados recolhidos de terceiros

O acordo sobre a transferência de dados deve também ser explícito. Deve ser aceite pelo utilizador (de livre vontade, informado e inequívoco) e é aceite a recolha de dados padrão. As políticas de privacidade devem ser claras e concisas e, como é natural, deverão exigir o consentimento do utilizador.

 

Ter em consideração a nomeação de um Data Protection Officer

Se uma empresa que conte com mais de 250 colaboradores, se tem no seu core o processamento e gestão de dados de terceiros ou se gere dados de categorias especiais (racial, étnica, política, religiosa, genética, biométrica, orientação sexual, penal , etc.), tem de nomear um Data Protection Officer (DPO), que deve informar e aconselhar a empresa das suas obrigações, monitorizar a conformidade com as políticas organizacionais, documentar os dados recolhidos e responder a pedidos das autoridades de supervisão.

 

Prepare-se para notificar fugas de dados

Todas as organizações serão obrigadas a notificar as autoridades de supervisão quando forem vítimas de fugas de dados, para que as autoridades possam tomar as medidas adequadas. O prazo de pré-aviso é muito curto: 72 horas. Por outro lado, as potenciais multas às quais a empresa está exposta são pesadas e podem chegar a 20 milhões de euros ou 4% do volume de negócios. Na área de notificações é fundamental para saber existe um risco de roubo de dados na organização e que medidas devem ser implementadas para os proteger.

 

Implemente políticas de gestão e proteção dos dados

Os utilizadores têm o direito de perguntar onde é que os seus dados estão a ser armazenados, excluí-los, ou pedir uma cópia digital dos mesmos. A este proopósito, o IT deve perguntar-se:

- Posso seguir os dados do utilizador dentro dos sistemas da empresa?

- Posso apagá-los se for solicitado ou dar ao utilizador a opção de o fazer?

- Estão os dados protegidos de acessos indevidos?

Por outro lado, se no momento da violação de segurança os dados estavam protegidos de forma a serem ininteligíveis a pessoas não autorizadas, e se a empresa conseguir prová-lo, não é necessário notificar a violação da segurança às pessoas titulares dos dados roubados ou perdidos.

Isto, além de evitar o processo de notificação, pode evitar multas milionárias, já que é possível demonstrar que foram adotadas as medidas necessárias a controlar a fuga de dados.

 

 

Tags
Notícias relacionadas

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT INSIGHT Nº 11 Dezembro 2017

IT INSIGHT Nº 11 Dezembro 2017

NEWSLETTER

Receba todas as novidades na sua caixa de correio!