9 medidas chave para conformidade com o RGPD

Numa altura em que muitas organizações receiam não estar preparadas para a chegada do RGPD, reunimos informação útil para as empresas. O RGPD deve ser encarado como uma oportunidade para atualizar os recursos de segurança da organização e melhorar a segurança geral no que concerne à confidencialidade e privacidade dos dados no geral.

O novo regulamento será aplicado a partir de 25 de maio de 2018, pelo que as empresas devem começar desde já a verificar e implementar todas as normas. Existem setores de atividade que poderão ser fortemente afetados por este novo regulamento, por exemplo, empresas com subscrições, e-commerce, prestadoras de serviços a particulares e ainda hotéis, imobiliárias, retalhistas. etc. Da mesma forma, todo o conjunto de dados relativo aos funcionários e colaboradores da organização estão sujeitas à normativa.

Tendo em conta as sanções avultadas que poderão ser aplicadas às empresas por incumprimento, é necessário estabelecer medidas adequadas que permitam a qualquer organização a sua aplicação e cumprimento.

1 – Conhecer o regulamento e respetivos timings

Em primeiro lugar há que ter conhecimento da existência deste novo regulamento, e por isso é fundamental conhecer todas as obrigações na recolha, tratamento e armazenamento dos dados, e ainda todos os seus prazos. Desta forma, as empresas devem assegurar ter tempo suficiente para tomar as medidas que vão ao encontro da conformidade das novas regras do RGPD.

2 – Auditoria

Numa segunda fase é fundamental que as empresas façam uma auditoria interna e deste modo perceberem como é que a organização trata e armazena os dados recolhidos.

3 – Dados Regulados

Após a auditoria interna, a empresa deve compreender se a recolha, tratamento e armazenamento dos dados está em conformidade com as novas regras do RGPD. Saber quem tem acesso e em que aplicações estão os dados são apenas alguns exemplos.  

4 – Pessoas e procedimentos críticos

Priorizar: as empresas devem começar pelos dados e procedimentos mais críticos. É importante não esquecer que vários profissionais serão afetados, desde os profissionais dos departamentos de informática aos profissionais de RH. Cargos que têm acesso aos dados através do software de gestão da empresa, por exemplo.

5 – Dados e politicas de privacidade

As empresas devem rever as suas politicas de privacidade de dados e todos os seus procedimentos. Nesta ação devem assegurar que a recolha dos dados é transparente e que o utilizador sabe qual é a finalidade e base legal da recolha dos mesmos. A base legal pela qual as empresas se regem na recolha e tratamento dos dados deve estar identificada. É ainda obrigação da empresa proteger os dados dos utilizadores, garantindo que o acesso aos mesmos apenas é efetuado por aqueles que o necessitam fazer para desempenhar o seu trabalho.

6 – Politica Interna de Conformidade

No prazo máximo de 72 horas as empresas poderão comunicar à autoridade de controlo qualquer lacuna identificada. É importante que haja um registo de todas as atividades vinculadas com a aplicação das normas.  Estes registos devem estar disponíveis a pedidos da autoridade de controlo.

7 – Data Protection Officer (DPO)

A empresa deve nomear um responsável pela aplicação do RGPD que assegure o cumprimento de todas as normas, nomeadamente a proteção de dados, direito à informação, esquecimento e ainda ciber-segurança. É ainda sua função a identificação de pontos de melhoria na aplicação dos requisitos.

8 – Infrações

O incumprimento das normas pode resultar em penalizações. Estas penalizações traduzem-se em multas avultadas, dependendo dos itens não cumpridos, que podem atingir os 20.000.000€ ou 4% da faturação anual da empresa.

9 – Rever e Repetir

Acima de tudo é importante estar alerta e repetir os processos mais críticos para verificar a conformidade de todas as normas.

Recorde-se que os cidadãos passam a ter o direito ao acesso dos dados e podem agora dirigir-se a uma empresa para solicitar os dados que estão a ser partilhados. Em última instância, estas medidas permitirão que a empresa se torne mais eficiente, capaz de alavancar outros programas operacionais em todo o negócio.

Atualmente prestamos serviços de consultoria e implementação de cibersegurança que visam ajudar as empresas no cumprimento das normas, bem como serviços críticos de consultoria SAP, como a gestão de autorizações, encriptação, fornecimento e implementação de aplicações (GDPRSuite for SAP), por exemplo. 

X
contact us