Dados pessoais: seis conselhos para criar o seu projeto de RGPD
O Regulamento Geral de Proteção de Dados (RGPD) entra em vigor em meados do próximo ano e a partir dessa data as empresas que não estejam em conformidade com as regras podem ser alvo de elevadas coimas.
Falta menos de um ano e meio para a entrada em vigor do RGPD – Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês), emitido pela Comissão Europeia e cujo principal objetivo é harmonizar a legislação relacionada com a proteção de dados pessoais em toda a Europa.
Um espaço muito curto, tendo em conta os trabalhos a efetuar para estar à altura deste regulamento que prevê uma “autorresponsabidade” das empresas. “É preciso refletir rapidamente sobre o processo e sobre os riscos ligados à proteção de dados de caráter pessoal, desde a conceção de novos sistemas de informação, à arbitragem das medidas de proteção a tomar, tais como a criptografia dos dados, a gestão dos direitos de acesso, a localização, porque as empresas terão de provar que tomaram as medidas técnicas, organizacionais e jurídicas necessárias”, alerta Michael Bittan, gestor de riscos cibernéticos Deloitte.
E se falhar? O regulamento europeu prevê sanções que podem ir até 4% do volume anual mundial de negócios, com um limite de 20 milhões de euros. Autor do “Livro Branco” sobre o tema, Michael Bittan concluiu que as empresas tinham cerca de dois meses para se prepararem para o lançamento dos projetos RGPD. E partilha 6 dicas para o ajudar a criar o seu projeto.
- Defina uma gestão clara e sustentável do seu projeto RGPD
A menos de 500 dias da data fatídica de 25 de maio de 2018, é preciso fixar claramente a gestão do seu projeto. A organização deve ser antecipada e preparada: é preciso que todos saibam quem é o ponto de contacto dentro da empresa, para a gestão dos dados pessoais. Qual o perfil do responsável? Depende da maturidade da empresa em matéria de gestão de dados. É preciso alguém que conheça os problemas da cibersegurança e os processos informáticos, mas que tenha também conhecimentos jurídicos na matéria. Deve, nomeadamente, estar familiarizado com o regulamento europeu, assim como com as noções fundamentais da privacidade de dados. Na prática, muitas empresas vão escolher o seu Data Privacy Manager (DPM) para o cargo de data privacy officer (DPO), mas vemos também surgir candidatos nos departamentos de controlo e jurídicos.
- Sensibilizar toda a empresa para o assunto dos dados pessoais
É importante que o conjunto dos funcionários tenha uma visão e uma gestão ética dos dados pessoais, o que implica – antes de qualquer projeto RGPD – uma sensibilização de toda a empresa. É preciso identificar os processos já em curso e garantir que as pessoas gerem os dados pessoais de forma adequada, segura e legal, e não os tratem como uma informação banal, mas que ajudem na manutenção formal do registo.
- Documentar os trabalhos realizados
Muitas empresas não estarão completamente preparadas em maio de 2018, mas é essencial que possam mostrar que têm trabalhado no assunto e dado prioridade aos riscos mais elevados. É preciso fazer prova de que a empresa está em vias de lançar o processo e as medidas necessárias para o gerir. Isso implica documentar claramente cada um dos trabalhos realizados para atualizar os registos, as medidas dos impactos e a proteção dos seus dados pessoais.
- Verificar que recolhe o consentimento explícito dos indivíduos
Antes mesmo de refletir sobre o tratamento das informações pessoais obtidas, é preciso assegurarmo-nos da autorização para a recolha destes dados. Cada questionário, cada formulário, em particular, deve incluir uma mensagem de aviso sobre o assunto, mas muitas empresas omitiram até agora esta etapa ou só o fizeram parcialmente.
- Estabelecer um processo claro de notificação dos incidentes
Em caso de fuga de dados pessoais, as autoridades devem ser informadas no prazo de máximo de 72 horas. Muitas empresas não estão preparadas para fazer face a esta obrigação. É uma prioridade rever a sua organização e implementar os processos necessários, se se deparar com uma crise.
- Assegurar-se da solidez de terceiros nos quais a empresa se apoia
Muitas empresas confiam os seus dados a subcontratantes (construção, programas informáticos, manutenção com acessos privilegiados). Mas, em caso de problema na gestão dos dados pessoais por estes subcontratantes, é a reputação da empresa que vai ser posta em causa, independentemente da possível corresponsabilidade que será investigada a posteriori. Portanto, há que ter uma grande preocupação com a segurança e o controle de terceiros. É preciso questioná-los sobre a sua organização e os seus processos, e assegurar-se, por via contratual, de que os requisitos de segurança estão em conformidade com as exigências do regulamento europeu.