14 Passos para preparar o Regulamento Geral de Proteção de Dados da UE

Propomos uma abordagem em 14 passos para preparar a sua organização, ao longo dos próximos 20 meses, para o cumprimentos do Regulamento Geral de Proteção de Dados (RGPD) da União Europeia

14 Passos para preparar o Regulamento Geral de Proteção de Dados da UE

Deste modo, as organizações ficam em condições de reportar ao regulador, demonstrar de forma expedita o cumprimento das normas, e dar resposta a auditorias de conformidade, protegendo assim os seus clientes e o seu negócio.

1. Conhecimento & Programa de Transformação

A gestão de topo deve inteirar-se das implicações. Crie um programa de transformação para o cumprimento do RGPD. Envolva as várias áreas do negócio, em particular IT, Risco, Legal e Auditoria.

2. “Privacy by Design”

O RGPD torna o “Privacy by Design” um requisito legal explícito e um auxiliar precioso para abordar o desafio, pelo que deve familiarizar-se com a metodologia e implementá-la na sua organização.

3. “Awareness”

Coloque a privacidade na agenda da sua organização, até que entre na cultura. Crie um programa de comunicação mobilizador, que informe a organização sobre a privacidade, as alterações em curso devidas ao RGPD e os riscos de incumprimento.

4. Encarregados de Proteção de Dados

Determinar se a organização necessita de nomear um Encarregado de Proteção de Dados (“Data Protection Officer”), como figura responsável pelas obrigações de conformidade de proteção de dados, e decidir onde ancorar esta função na estrutura e governança da organização.

5. Política de Privacidade

 Atualize a Política de Privacidade de Dados, contemplando os aspetos que são novos ou alterados no Regulamento. Defina uma escala de classificação e o tratamento a dar aos dados pessoais. Envolva o departamento jurídico.

6. Estabeleça a base legal para o Tratamento de Dados

Identifique os vários tipos de recolha e processamento de dados que realiza, identifique a base jurídica para cada um deles (ex: consentimento), e documente-os para cumprir com os requisitos de “accountability” do Regulamento.

7. Inventarie os Dados Pessoais à guarda da organização

Documente que dados pessoais a empresa guarda, onde guarda, durante quanto to tempo, qual a sua origem, quem tem acesso, e com quem são partilhados. Elabore o ciclo de vida de cada item de informação. Deve ser necessária uma auditoria à informação. Preveja ativos informáticos não documentados e shadow IT.

 

8. Suporte aos direitos dos Titulares

Reveja os procedimentos para confirrmar que cobrem todos os direitos dos titulares dos dados, tais como o direito de serem informados (exige notificações de privacidade), o direito de ter os seus dados apagados e da portabilidade dos dados. Estes novos requisitos devem ser adicionados a cada novo sistema de informação.

9. Reveja a utilização de Encriptação e de "Pseudonização"

A encriptação é considerada pelo RGPD como uma medida de segurança técnica e organizacional. A pseudonização, que substitui os registos identificáveis por pseudónimos, permite processar dados para fins para os quais a organização não obteve consentimento explícito.

10. "Data Protection Impact Assessments"

O RGPD torna obrigatória a realização de Avaliações de Impacto de Proteção de Dados (DPIAs), nas situações consideradas de processamento de “alto-risco”, pelo que deve adotar uma metodologia que permita agilizar a realização das DPIA.

11. Preparar os Canais de Atendimento

Atualize os procedimentos de atendimento a clientes, preparando os canais de atendimento para lidar com os pedidos relacionados com privacidade.

12. Atualize o Portfólio Aplicacional

Avalie o parque atual de aplicações que processam dados pessoais, para determinar o “gap” de conformidade com o Regulamento, e crie um plano para a atualização. A segurança deve cobrir todo o ciclo de vida dos dados, desde o primeiro momento até à sua destruição.

13. “Data Breaches”

A sua organização deve confirrmar que tem os processos adequados para detetar, mitigar, reportar (ao supervisor e aos titulares) e investigar a violação de dados pessoais.

14. Assegurar cumprimento da cadeia de fornecedores

Se a organização delega em fornecedores o processamento e armazenamento de dados pessoais (por exemplo, cloud), deve exigir aos fornecedores o cumprimento das exigências do Regulamento. 

 

Renato Paço, Management and Digital Consultant, Claranet

Tags

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT INSIGHT Nº 14 Julho 2018

IT INSIGHT Nº 14 Julho 2018

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.