HomeActualidadeRGPD Sabe se a sua empresa está a cumprir os requisitos?

RGPD Sabe se a sua empresa está a cumprir os requisitos?

Um ano após a implementação do RGPD, quais foram as medidas realizadas pela sua empresa para garantir o seu cumprimento?

O atual Regulamento Geral de Proteção de Dados (RGPD) foi publicado em abril de 2016 e entrou em vigor em maio do mesmo ano, com um período de transição de 2 anos até à sua implementação em todos os Estados-membros da União Europeia, com aplicação a partir de 25 de maio de 2018. Um ano depois, terá a sua empresa realizado todas as medidas para garantir o seu cumprimento? A APSEI – Associação Portuguesa de Segurança esclarece-o.
Tanto as empresas como as entidades públicas reduzem facilmente o risco de incumprimento com o Regulamento, em matéria de proteção de dados pessoais, ao implementarem um programa de conformidade adequado, que permita identificar as operações de tratamento de dados que normalmente efetuam e ao instituírem mecanismos de controlo desse cumprimento. Apesar de não existir uma solução-tipo que permita alcançar a conformidade com o RGPD, estas são as etapas básicas que permitem a sua implementação e assim ajudam a garantir que a sua empresa está a fazer tudo de forma correta.

1. Mapear o tratamento de dados pessoais
A primeira etapa que fez – ou que deveria ter feito – é a de registar os tratamentos de dados realizados com o objetivo de perceber o impacto que o regulamento terá nesses tratamentos de dados. Podem-se identificar as categorias de dados tratados e as finalidades dos respetivos tratamentos, as pessoas ou entidades que executam os referidos tratamentos e a possível existência de transferências de dados para fora da União Europeia. O Encarregado de Proteção de Dados (DPO – Data Protection Officer) seráo responsável pela monitorização e cumprimento das obrigatoriedades previstas no Regulamento.

2. Identificar as ações a tomar
Garantir que apenas são recolhidos e tratados os dados pessoais estritamente necessários para a finalidade pretendida é o passo seguinte. Depois, é necessário rever se as políticas de privacidade estão conformes com o novo Regulamento. Caso existam subcontratantes, é necessário assegurar que estes conhecem as novas obrigatoriedades e que as relações contratuais incluem secções relativas à segurança e confidencialidade dos dados pessoais. Deve ainda ficar definido como é que os titulares dos dados podem aceder aos seus dados e exercer todos os seus direitos.

3. Efetuar uma avaliação de impacto de risco
Esta avaliação é realizada para os tratamentos que apresentem riscos de violação de privacidade. Estando identificadas as principais vulnerabilidades e existindo uma previsão do impacto que essas vulnerabilidades de segurança possam causar, é possível identificar as medidas de segurança mais adequadas às necessidades da empresa.

4. Implementar medidas para proteção de dados
A implementação de procedimentos internos implica a adoção de medidas de privacy by design. Estas medidas visam a privacidade e a segurança logo na fase de conceção dos sistemas tecnológicos e dos processos de tratamento. Isto é, considerar de imediato como será realizado o tratamento e como vão ser protegidos os dados e cumpridos todos os direitos dos titulares dos dados.

5. Documentar o cumprimento do RGPD
A última etapa passa por conservar todos os documentos relativos ao tratamento de dados por forma a demonstrar o cumprimento com o Regulamento, por exemplo, resultados de avaliação de impacto de risco, políticas de privacidade, formulários de consentimento, procedimentos que permitem o exercício dos direitos dos titulares dos dados, contratos com subcontratantes e evidências de consentimentos.

A criação deste novo Regulamento, principalmente impulsionada pelo progresso tecnológico e pela globalização, veio harmonizar a legislação de todos os Estados-membros e contribuir para um mercado único europeu de dados, bem como para um enquadramento jurídico mais rigoroso.

No próximo Open Day APSEI, este será um dos temas abordados. Open Day APSEI Universo IoT: Soluções Inovadoras de Segurança está marcado para dia 28 de maio, no auditório do CICCOPN, na Maia. A sua empresa tem estado a cumprir e a agir de acordo com os requisitos? Participe!