Um ano após a implementação do RGPD, quais foram as medidas realizadas pela sua empresa para garantir o seu cumprimento?
O atual Regulamento Geral de Proteção de Dados (RGPD) foi publicado em abril de 2016 e entrou em vigor em maio do mesmo ano, com um período de transição de 2 anos até à sua implementação em todos os Estados-membros da União Europeia, com aplicação a partir de 25 de maio de 2018. Um ano depois, terá a sua empresa realizado todas as medidas para garantir o seu cumprimento? A APSEI – Associação Portuguesa de Segurança esclarece-o.
Tanto as empresas como as entidades públicas reduzem facilmente o risco de incumprimento com o Regulamento, em matéria de proteção de dados pessoais, ao implementarem um programa de conformidade adequado, que permita identificar as operações de tratamento de dados que normalmente efetuam e ao instituírem mecanismos de controlo desse cumprimento. Apesar de não existir uma solução-tipo que permita alcançar a conformidade com o RGPD, estas são as etapas básicas que permitem a sua implementação e assim ajudam a garantir que a sua empresa está a fazer tudo de forma correta.
1. Mapear o tratamento de dados pessoais
A primeira etapa que fez – ou que deveria ter feito – é a de registar os tratamentos de dados realizados com o objetivo de perceber o impacto que o regulamento terá nesses tratamentos de dados. Podem-se identificar as categorias de dados tratados e as finalidades dos respetivos tratamentos, as pessoas ou entidades que executam os referidos tratamentos e a possível existência de transferências de dados para fora da União Europeia. O Encarregado de Proteção de Dados (DPO – Data Protection Officer) serão responsável pela monitorização e cumprimento das obrigatoriedades previstas no Regulamento.
2. Identificar as ações a tomar
Garantir que apenas são recolhidos e tratados os dados pessoais estritamente necessários para a finalidade pretendida é o passo seguinte. Depois, é necessário rever se as políticas de privacidade estão conformes com o novo Regulamento. Caso existam subcontratantes, é necessário assegurar que estes conhecem as novas obrigatoriedades e que as relações contratuais incluem secções relativas à segurança e confidencialidade dos dados pessoais. Deve ainda ficar definido como é que os titulares dos dados podem aceder aos seus dados e exercer todos os seus direitos.
3. Efetuar uma avaliação de impacto de risco
Esta avaliação é realizada para os tratamentos que apresentem riscos de violação de privacidade. Estando identificadas as principais vulnerabilidades e existindo uma previsão do impacto que essas vulnerabilidades de segurança possam causar, é possível identificar as medidas de segurança mais adequadas às necessidades da empresa.
4. Implementar medidas para proteção de dados
A implementação de procedimentos internos implica a adoção de medidas de privacy by design. Estas medidas visam a privacidade e a segurança logo na fase de conceção dos sistemas tecnológicos e dos processos de tratamento. Isto é, considerar de imediato como será realizado o tratamento e como vão ser protegidos os dados e cumpridos todos os direitos dos titulares dos dados.
5. Documentar o cumprimento do RGPD
A última etapa passa por conservar todos os documentos relativos ao tratamento de dados por forma a demonstrar o cumprimento com o Regulamento, por exemplo, resultados de avaliação de impacto de risco, políticas de privacidade, formulários de consentimento, procedimentos que permitem o exercício dos direitos dos titulares dos dados, contratos com subcontratantes e evidências de consentimentos.
A criação deste novo Regulamento, principalmente impulsionada pelo progresso tecnológico e pela globalização, veio harmonizar a legislação de todos os Estados-membros e contribuir para um mercado único europeu de dados, bem como para um enquadramento jurídico mais rigoroso.
