Como estar preparado para o RGPD?

Se a sua empresa ainda não tratou da conformidade com o RGPD, siga as nossas dicas para garantir a protecção de dados pessoais atempadamente.

Quando faltam cerca de três meses para a entrada em vigor do Regulamento Geral de Protecção de Dados (RGPD), muitas empresas ainda não estão preparadas para aplicar a nova legislação da União Europeia (UE). Algo que pode ser bastante preocupante para essas entidades - é que o RGDP passa para as empresas a responsabilidade pela proteção dos dados pessoais que estejam em sua posse.

Medidas para protecção de dados pessoais 

As multas para quem não estiver em conformidade com a nova lei podem chegar aos 20 milhões de euros ou a 4% dos lucros das empresas envolvidas (será considerado o valor maior). Assim, é preciso que de imediato as empresas se preparem para o RGPD, implementando uma política de protecção de dados pessoais fundamentada e robusta.

Se a sua organização é uma das que ainda não pensou na conformidade com o novo Regulamento, siga as dicas que se seguem para se pôr a caminho sem perder tempo e assegurar uma estratégia de protecção de dados pessoais eficaz.

Para ficar a par da nova lei que entra a vigor a 25 de maio de 2018, leia: Como preparar o RGPD - Regulamento Geral de Protecção de Dados

O que fazer para cumprir o RGPD

• 1. Análise prévia do impacto do RGPD na empresa/organização

O primeiro passo para a conformidade com o RGPD passa por perceber se toda a empresa está a par da nova lei, e especificamente da sua importância em termos da protecção de dados pessoais dos clientes. Esta medida é tanto mais válida para as grandes empresas, com vários departamentos, sendo necessário certificar que todos eles estão ao corrente do que é preciso fazer, à luz das novas normas.

Importa também perceber qual o real impacto da lei na organização interna.

• 2. Avaliar e mapear os dados pessoais e o seu tratamento

Para garantir a protecção de dados pessoais em posse da empresa, é preciso ter a percepção de quais são os dados que esta armazena, de onde são oriundos e com quem são partilhados. Depois desta avaliação, é importante criar um sistema de registo de dados que permita identificar todos os processos de recolha e processamento dos mesmos. Esta informação tem que estar devidamente mapeada, de modo a ser facilmente acessível sempre que necessário. Também importa agrupar os dados em conjuntos definidos por características, designando níveis diferentes de segurança para cada um deles, conforme a sua sensibilidade.

Estes "mapas" de dados devem ainda conter um registo de todas as actividades de tratamento de dados, incluindo a finalidade de tratamento dos mesmos, o seu prazo de conservação e a área geográfica de tratamento. Este processo que visa cumprir as exigências de protecção de dados pessoais do RGPD só é obrigatória para empresas com mais de 250 trabalhadores e quando estejam em causa dados sensíveis, como informações de saúde ou bancárias, ou condenações penais e infracções. Todavia, a medida pode ser interessante para aplicar em todas as empresas, de modo a assegurar uma protecção de dados pessoais mais sólida.

• 3. Rever a Política de Privacidade

O RGPD tem grande foco na protecção de dados pessoais e na privacidade, sendo estes critérios os mais reforçados pelas novas normas. Assim, um dos aspectos mais exigentes passa pelo consentimento dado pelos titulares dos dados, para a recolha e para o tratamento dos mesmos.

Este consentimento tem que ser explícito e informado, e com a indicação clara da finalidade de recolha dos dados. Além dos procedimentos necessários para garantir que isto acontece, também é preciso ser capaz de verificar e de conseguir demonstrar que esse consentimento é válido e que foi dado à luz das normas do RGPD.

• 4. Assegurar cumprimento dos novos direitos dos titulares dos dados

As empresas têm que garantir que são capazes de cumprir os novos direitos fundamentais atribuídos pelo RGDP aos titulares dos dados pessoais - falamos do Direito de Portabilidade e do Direito a ser Esquecido.

Deste modo, precisam de garantir que é possível apagar todos os dados de qualquer titular, caso este o peça. Também têm que assegurar que podem facultar a um sujeito o acesso aos seus dados pessoais, nomeadamente de forma estruturada que permita a leitura automática, permitindo a transmissão desses dados a terceiros e de forma gratuita.

Estes processos podem exigir a implementação de medidas técnicas, nomeadamente para permitir o download directo de dados.

• 5. Evitar, detectar e investigar falhas de segurança

É preciso rever e actualizar as medidas de segurança aplicadas no processo de tratamento dos dados, implementando procedimentos técnicos e organizativos que assegurem a pseudonimização e a anonimização para protecção de dados pessoais.

A cifragem dos dados também pode ser implementada, embora não seja obrigatória à luz do RGPD, para garantir a confidencialidade e a integridade plena dos dados pessoais, mesmo em caso de ataques.

As empresas têm igualmente que ser capazes de responder de forma atempada às ameaças ou incidentes, detectando e investigando a sua origem, e garantindo a reposição de acesso aos dados pessoais o mais depressa possível, caso se verifique alguma interrupção.

Para assegurar a protecção de dados pessoais de forma contínua, é necessário implementar uma política de avaliação regular das medidas de segurança, aprimorando aquilo que for preciso.

• 6. Planear respostas a falhas na protecção de dados pessoais

O RGPD exige às empresas/organizações que alertem a entidade supervisora dos respectivos países - no caso português, será a Comissão Nacional de Protecção de Dados - das falhas de segurança que ponham em causa a protecção dos dados pessoais em sua posse. Este aviso tem que ser feito num prazo máximo de 72 horas, com um report da falha, dos dados eventualmente violados e das medidas a adoptar para mitigar a ameaça e para evitar que próximas falhas ocorram. Isto exige das empresas uma estratégia de armazenamento, tratamento e processamento de dados totalmente transparente, que permita aceder a toda a informação necessária de forma ágil e estruturada.

Também perante pedidos de titulares de dados pessoais, as empresas têm que responder com agilidade, o que exige a implementação de procedimentos e de políticas que determinem que passos dar nesse sentido.

• 7. Aplicar o conceito de "Privacy by default"

As empresas estão obrigadas a adoptarem medidas internas que permitam assegurar o que se denomina como "Privacy by default", ou seja, a "privacidade por defeito". Este ponto é particularmente importante na esquemática do RGDP, visando a protecção de dados pessoais. O objectivo é que as empresas estabeleçam procedimentos para garantir que "por defeito" só são tratados os dados estritamente necessários para as finalidades reportadas aos titulares dos mesmos.

Esta minimização dos dados a tratar abrange a quantidade dos mesmos e também o seu prazo de conservação.

• 8. Designar um Encarregado de Protecção de Dados

A nomeação de um Encarregado de Proteção de Dados (EPD) não é obrigatória para todas as empresas - as que têm necessariamente que o fazer são as entidades públicas, empresas da área das telecomunicações, os bancos e as seguradoras, que lidam com dados pessoais em grande escala, ou organizações que lidam com dados sensíveis, como informações genéticas, biométricas, de saúde, ou condenações penais e infracções.

Mas as restantes empresas podem beneficiar da designação de um EDP que garanta a conformidade com o RGPD em permanência, avaliando continuamente se os requisitos de protecção de dados pessoais estão a ser cumpridos.

• 9. Dar formação sobre o RGPD aos funcionários

Finalmente, mas não menos importante, é necessário que a empresa dê formação aos seus funcionários sobre o RGPD e sobre todos os procedimentos que é preciso pôr em marcha para assegurar a protecção de dados pessoais.

Os trabalhadores têm que estar conscientes das implicações do RGPD e entender a mudança de paradigma que esta nova legislação implica na protecção dos dados pessoais dos cidadãos da União Europeia.