O RGPD (Regulamento Geral da Proteção de Dados) da UE entra em vigor a 25 de maio, substituindo a Diretiva de Proteção de Dados e as várias legislações nacionais promulgadas nos vários países neste âmbito. Com ele eleva-se o nível regulatório da proteção dos dados na Europa e concretiza-se a mudança mais profunda das últimas décadas na política de proteção de dados na União Europeia.
As empresas converteram-se em guardiões dos dados dos clientes e o RGDP considera que também é sua obrigação utilizarem esta informação no melhor interesse dos seus clientes. As empresas que não cumpram as regras do RGPD enfrentam pesadas sanções, a partir do momento da entrada em vigor da nova legislação. Nalguns casos, as coimas podem ir até 4% do valor total da sua faturação anual.
O desafio da adesão ao RGDP irá exigir que as empresas realizem melhorias significativas na gestão e na segurança dos seus dados pessoais. O regulamento irá afetar todas as grandes empresas que operam à escala mundial bem como as que operam exclusivamente na região da UE, exigindo um grande avanço na forma como os dados são geridos. As empresas entendem a urgência desta situação, mas duvidam da sua capacidade de resposta a este desafio: 91% das empresas na Alemanha, França e Reino Unido duvidam da sua capacidade para cumprir o RGDP e mais de 70% diz que não está preparada para esta mudança. A Gartner prevê que 50% das empresas afetadas pelo RGDP não seja capaz de cumprir todos os requisitos até ao final de 2018.
Os requisitos do RGDP agrupam-se em três categorias: avaliar; prevenir e detetar. No contexto do controlo relacionado com a avaliação, as empresas têm que realizar uma auditoria aos seus dados, clarificar onde os armazenam e como eles fluem dentro da sua organização. Sabendo qual é a sua posição, as empresas podem identificar e tratar diretamente os riscos que envolvem os seus atuais modelos de negócio.
A Comissão Europeia considera que as empresas são guardiãs dos dados dos seus clientes e responsáveis por desenhar e configurar os processos de proteção desta informação contra eventuais roubos e utilizações indevidas. Adicionalmente, há que assegurar a encriptação dos dados dos clientes reduzindo a possibilidade de roubo, e garantir que os dados não podem ser desencriptados caso alguma vez venham a estar comprometidos. Se as empresas conseguirem tornar os dados realmente anónimos num ambiente em concreto, este ambiente poderá estar fora do âmbito do RGDP porque se considera que deixaram de conter informação sensível.
O RGDP tornará as empresas mais ativas no apoio ao seu responsável pela proteção de dados (DPO). Também se espera que tenham sistemas que lhes permitam detetar rapidamente atividades não autorizadas, capacidade de recolher provas em caso de incumprimento e que enviem os relatórios necessários ao DPO. O foco na segurança dos dados passará a ser mais proativo e as organizações terão que manter um registo do seu desempenho.
O RGDP salvaguarda pessoas, processos e informação. As empresas terão que assegurar: a proteção dos dados, sistemas de TI e bases de dados capazes de suportar ataques, e que os seus colaboradores gerem a informação confidencial de forma mais responsável. O foco global na privacidade dos dados pode ter abrandado nos últimos tempos, mas os governos e os consumidores continuam a exigir mudanças neste contexto e as empresas têm que se preparar para responder às suas expetativas.
12 passos para implementar o RGPD com sucesso
1) Definição do plano de implementação do RGPD
A Gestão de Topo deve começar por definir um plano de ação estratégico para implementar o RGPD, que envolva todas as áreas de negócio da empresa. No plano de ação deve constar a identificação, avaliação e categorização de todos os dados pessoais que as organizações têm armazenados.
2) Envolvimento de toda a organização
Deve ser criado um programa interno de comunicação mobilizador, que envolva transversalmente toda a organização, informando e sensibilizando os colaboradores sobre a privacidade, as alterações ao RGPD e os riscos inerentes ao incumprimento.
3) Aconselhamento jurídico
O aconselhamento jurídico é uma peça fundamental para a implementação do RGPD sem sobressaltos. O consultor jurídico deve identificar os passos já implementados e os que estão em falta para que se cumpra o novo Regulamento Geral para a Proteção de Dados e não incorra em coimas. Este levantamento de necessidades é extremamente útil se necessitar de recorrer a um parceiro para implementar as alterações necessárias.
4) Nomeação de um Data Protection Officer (Encarregado da Protecção de Dados)
A figura do Data Protection Officer apresenta-se como necessária aos “olhos” da lei e deverá assumir as questões de conformidade de proteção de dados, reportando à Gestão da organização o trabalho desenvolvido e as ocorrências que possam deflagrar.
5) Metodologia Privacy By Design
Devem ser criados/adaptados processos e políticas para a proteção e tratamento dos dados, de acordo com uma metodologia de Privacy by Design, que facilite a monitorização e comunicação de eventos relacionados com os acessos a dados pessoais.
6) Encriptação e Pseudonização dos Dados
Reveja os procedimentos de segurança que garantam a salvaguarda dos dados sensíveis recorrendo a técnicas de encriptação e pseudonização.
7) Realização de Avaliações de Impacto de Proteção de Dados
A metodologia escolhida deve agilizar as avaliações, para que seja fácil avaliar o impacto da proteção de dados e eventuais falhas. As auditorias são fundamentais para garantir a conformidade.
8) Segurança da Informação
Devem ser implementados processos que permitam detetar, mitigar, reportar e investigar violação dos dados pessoais, mantendo sempre presente a questão da segurança.
9) Atualização da Política de Privacidade de Dados
A Política de Privacidade de Dados tem de ser revista e alterada de acordo com as novas obrigações definidas pelo novo Regulamento Geral para a Proteção de Dados.
10) Definição do Tratamento e Catalogação de Dados
Identificar, recolher e processar os dados, a sua base jurídica e a documentação da informação são essenciais para um correto tratamento dos dados. Mantenha uma lista atualizada de todos os Dados Pessoais à guarda da sua organização e a forma como o consentimento foi obtido. É essencial desenhar o ciclo de vida desde a recolha até à destruição dos Dados, que permita ter uma visão geral e segura de todo o processo.
11) Cumprimento dos direitos dos Titulares
Reveja todos os procedimentos para garantir a conformidade. Caso se justifique, a notificação de uma falha à Comissão Nacional para a Proteção de Dados e aos titulares dos dados, deve estar sempre presente nas obrigações das empresas.
12) Validação do cumprimento do RGPD por parte de fornecedores
Garanta que todos os fornecedores envolvidos no processamento de dados cumprem os requisitos do novo Regulamento Geral para a Proteção de Dados. Por exemplo, no caso da compra uma base de dados ou do outsourcing de tarefas deverá assegurar-se que a entidade subcontratada também cumpre o RGPD.
As empresas têm que acelerar a implementação das medidas necessárias para a adoção do novo RGPD. É preciso agir, até porque a privacidade é muito apreciada pelos clientes e parceiros e tende a tornar-se uma vantagem competitiva nos negócios.
Se já fez o levantamento de necessidades junto de um consultor jurídico e procura um parceiro que possa ajudar na implementação das ações necessárias para garantir a conformidade com o novo Regulamento Geral para a Proteção de Dados, contacte-nos.