25 de maio de 2018: tem menos de um ano para se certificar que cumpre o Regulamento Geral de Proteção de Dados. A sua empresa está preparada?

O cumprimento do Regulamento Geral de Proteção de Dados (RGPD) torna-se obrigatório a 25 de maio de 2018. Fique a conhecer o essencial sobre este regulamento e a forma como a PHC está a trabalhar para fornecer ao mercado informação útil para a implementação das regulamentações do RGPD, contribuindo para que a sua empresa opere em conformidade.

 

A partir de 25 de maio de 2018, a nova regulamentação para proteção de dados torna-se obrigatória, o que significa que todas as organizações a operar na União Europeia (UE) têm de estar em conformidade com esta regulamentação.  As organizações que não estejam em conformidade incorrem em multas que podem chegar aos 20 milhões de euros ou a 4% do seu volume de negócios global. Se até há alguns meses era necessário que as organizações se começassem a preparar para as novas regras de privacidade de dados, hoje – a menos de um ano da data de aplicação do regulamento – a definição e aplicação das regras definidas no RGPD é absolutamente fundamental e urgente para evitar dificuldades de última hora e eventuais sanções por incumprimento.

Neste sentido, a PHC integra um Grupo de Trabalho iniciado pela Associação Portuguesa de Software (ASSOFT). O Grupo de Trabalho Privacidade e Proteção de Dados é constituído por representantes de entidades associadas à ASSOFT e inclui empresas que operam na área financeira, jurídica e de desenvolvimento de software. Tem como objetivo compreender todos os contornos da aplicação deste novo regulamento nas empresas das mais diversas áreas, bem como, fornecer ao mercado um Manual de Boas Práticas na implementação das regulamentações do RGPD.

 

O que é o Regulamento Geral de Proteção de Dados?

O Regulamento Geral de Proteção de Dados (RGPD) é uma regulamentação que já se encontra em vigor nos países da União Europeia (UE) desde 2016, mas que se torna obrigatória a partir de 25 de maio de 2018. Este novo quadro legal, que vem substituir a atual lei de proteção de dados pessoais, pretende normalizar a legislação da proteção de dados em toda a UE e eliminar disparidades entre os regimes jurídicos dos vários países. Tem como grande objetivo garantir a privacidade e integridade dos dados dos consumidores da UE e define que todos os cidadãos têm o direito de saber como os seus dados estão a ser usados, bem como o direito de ter os seus dados completamente apagados se tal for solicitado.

O RGPD traz muitos benefícios para os titulares dos dados, mas também para as empresas, que terão de garantir políticas de segurança e proteção de dados mais eficientes. Contudo, exige que as organizações atualizem uma série de processos de forma a estarem em conformidade com esta regulamentação.

 

Quais as penalizações para as empresas que não cumpram?

É obrigatório que a partir de 25 de maio de 2018 todas as empresas a operar na UE estejam em conformidade com o RGPD. As multas podem chegar aos 20 milhões de euros ou a 4% do volume de negócios global para as empresas em incumprimento.

 

O que precisa de mudar na sua empresa?

O novo quadro legal traz uma série de mudanças que terão diferentes impactos na vida das organizações. Estes impactos variam de acordo com o setor de atividade, dimensão e processo de tratamento de dados pessoais efetuados pelas organizações. Cabe a cada organização definir ou atualizar os seus processos, envolvendo neste trabalho diversas áreas, como o Departamento Jurídico, o Marketing ou as áreas de TI. A sua empresa terá, por exemplo, de garantir que:

  • Cumpre o regulamento;
  • Tem consentimento explícito e válido para todos os dados que armazena;
  • Tem em vigor processos que lhe permitem lidar com as alterações;
  • Assegura que as políticas de privacidade são apresentadas de forma clara;
  • Nomeia um Responsável de Proteção de Dados no caso de a lei se aplicar à sua estrutura.

 

Como pode garantir que a sua empresa está em conformidade?

Com a entrada em vigor deste novo regulamento, é necessário que as empresas revejam os seus processos de recolha e tratamento de dados pessoais, existindo uma série de desafios internos e externos para obter a conformidade total com o RGPD. A forma mais eficaz de preparar a sua organização é assegurar a implementação de uma estratégia de proteção de dados. Esta estratégia começa por definir e implementar políticas e procedimentos que assegurem que todos os colaboradores utilizam os dados de pessoas singulares em conformidade com o regulamento. Aqui ficam algumas medidas fundamentais para a aplicação do RGPD.

 

Que processos é necessário assegurar

Analisar processos, perceber a forma como os dados estão a ser tratados na empresa e dar formação são aspetos essenciais.

  • Rever os procedimentos internos que garantem o exercício dos direitos dos titulares dos dados, tendo em conta as novas exigências do regulamento nesta área relativamente à tramitação dos pedidos, e em particular aos prazos máximos para resposta;
  • Rever impressos, documentos, políticas de privacidade e todos os textos que prestem informação aos titulares dos dados, assegurando que está de facto, a fornecer a informação que a lei exige;
  • Rever os atuais processos de transferência de dados;
  • Assegurar uma lista completa dos sistemas e a classificação do grau de risco, nomeadamente através da aplicação da norma ISO 27001 (confidencialidade, integridade e disponibilidade);
  • Em determinados casos (por exemplo, organismos públicos), empresas cuja atividade principal envolva uma monitorização de indivíduos em larga escala ou que realizem tratamentos de dados sensíveis, será obrigatória a nomeação de um Responsável de Proteção de Dados que será responsável por assegurar que a organização cumpre todas as obrigações legais relativamente a esta matéria;
  • Criar níveis de permissões que restrinjam o acesso aos dados de acordo com as funções e necessidades de cada colaborador;
  • Garantir o direito à portabilidade dos dados, assegurando a exportação dos dados de clientes de um prestador de serviços para outro sem inconvenientes significativos para aqueles clientes;
  • Enviar os dados pessoais aos seus titulares sempre que solicitado;
  • Executar ações de formação aos recursos humanos sobre segurança de informação;
  • Operacionalizar o “direito ao esquecimento”. Esta é uma das principais novidades introduzidas com este regulamento. As empresas devem apagar os dados pessoais sempre que solicitado pelos titulares. Os dados devem também ser apagados quando já não são necessários, devendo ser mantidos apenas pelo tempo necessário para fornecer o produto ou serviço.

 

Ferramentas tecnológicas a implementar

É muito importante a implementação de uma série de medidas tecnológicas.

  • Implementar sistemas de deteção de intrusões;
  • Garantir o funcionamento de um sistema de autenticação e segurança no acesso às redes;
  • Implementar um sistema de cópias de segurança;
  • Encriptar todos os dispositivos que contenham dados de pessoas singulares. Isto inclui computadores, smartphones, tablets e pens USB;
  • Encriptar todos os emails que contenham listas de dados pessoais;
  • Garantir a encriptação da informação em serviços cloud.

 

Como gerir os dados

Uma correta gestão dos dados, assente na sua rastreabilidade é um aspeto fundamental para o cumprimento do regulamento. Para tal, é preciso garantir:

  • Rastreabilidade dos dados relativamente à origem e data de inserção;
  • Prova de que o titular dos dados aceitou os termos do tratamento dos dados;
  • Definição clara do objetivo da recolha dos dados.

 

Como atuar no caso de violação de dados

A violação de dados pessoais pode levar a multas pesadas. Deve apostar-se na prevenção de ataques e caso se verifique uma violação de dados, atuar em conformidade.

  • Em primeiro lugar, a empresa deve ter definido um plano de emergência para eventuais data breaches. Este plano deverá ser acionado quando é detetada um caso de violação de dados;
  • Em caso de violação de dados pessoais, o responsável pelo tratamento de dados terá de notificar as autoridades competentes num prazo de 72 horas;
  • O titular dos dados deve ser informado sempre que a intrusão seja suscetível de comprometer os seus direitos e liberdades individuais.

 

A importância do software

Na aplicação destas medidas, é também muito importante assegurar que o software que processa dados pessoais na sua empresa está preparado para cumprir o regulamento de forma a garantir que a sua empresa está em conformidade.