Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp

RGPD. Mais do que uma conformidade, uma oportunidade.

Nos últimos anos, a União Europeia iniciou o maior processo de modernização do enquadramento regulatório nas áreas da Privacidade e Proteção de Dados.

Com o Regulamento Geral de Proteção de Dados (RGPD), em vigor desde 2016 e com aplicação direta desde Maio de 2018, ficou regulada a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

Está também em discussão uma nova regulamentação de e-Privacy, que vem atualizar a legislação em vigor de acordo com os novos desafios decorrentes de uma constante evolução digital e de um crescimento exponencial das novas tecnologias nas trocas comerciais – Digital Single Market.

A nova regulamentação reveste-se de alguma complexidade, representando um desafio para todas as empresas e organizações, públicas e privadas, que terão que implementar ferramentas de controlo e procedimentos específicos para a gestão e proteção dos dados dos seus clientes e colaboradores.

Mas conformar uma organização ao RGPD (Regulamento Geral Proteção de dados) pode ser muito mais do que aplicar as novas regras de Privacidade e Proteção de Dados.

Com o mindset certo e um processo desenhado à medida, é possível caminhar para uma visão consolidada da gestão de risco e ulterior qualidade dos processos internos; uma visão que defendemos para todas as organizações.

Para o apoiar neste desiderato, reunimos um conjunto de especialistas e parceiros com experiência e know-how na área de Privacidade e Proteção de Dados para tornar este complexo processo mais simples, apoiando a sua organização em toda a linha processual com um pacote chave na mão, aqui resumido em quatro fases de projeto.

processo rgpd moneris

Diagnóstico & Gap Analysis

A auditoria para análise do impacto e dos gaps deverá assentar em dois vetores de enfoque essencial. Numa primeira linha de trabalhos a desenvolver enquadra-se uma fase de levantamento, análise e avaliação, à qual se deverá seguir uma segunda fase de execução e reforço de implementação.

Na primeira fase de análise, é primordial conhecer a organização, os seus fluxos de informação, e as ferramentas existentes, por forma a identificar os repositórios de informação abrangidos e os controlos de segurança aplicados sobre os mesmos.

Após recolha e análise, seguir-se-á a identificação das eventuais lacunas existentes no cumprimento dos requisitos de Privacidade em 4 etapas distintas:

  • Contexto organizacional – nesta fase é analisado o contexto externo e interno à organização, relativamente à proteção de dados pessoais.
  • Mapeamento de informação – nesta fase são analisados todos os processos de negócio da organização, bem como as respetivas aplicações informáticas e repositórios de dados de suporte ao negócio, de modo a identificar áreas de recolha, tratamento e salvaguarda de dados pessoais.
  • Avaliação de Impacto de Privacidade – nesta fase são analisados os processos de negócio e respetivos sistemas de suporte, com vista a validar o cumprimento dos princípios de privacidade.
  • Gap Analysis e Advertências – nesta fase são identificadas as áreas de exposição da organização a maior risco de não cumprimento, sendo propostas ações de mitigação do risco.

Plano de Remediação

O relatório de Gap Analysis deverá incluir a calendarização detalhada da fase de implementação, em função dos findings e gaps identificados, nomeadamente:

  • Medidas e recomendações, calendarizadas e planeadas, para eliminação e mitigação do risco, classificadas pela sua criticidade e urgência, alinhadas com a política de segurança de informação da organização, mas também dos seus modelos de negócio, cultura organizacional e disponibilidades orçamentais.
  • Recomendação de políticas de Governance para a organização, desde logo Códigos de Conduta, planos de formação, estrutura de acompanhamento e apoio ao Encarregado de Proteção de Dados, incluindo perfil da função, definição de ferramentas de suporte e formação.
  • Sugestão de implementação dos processos contratuais e documentais necessários, em função das medidas recomendadas para eliminação e mitigação do risco, e das exigências legais e regulatórias identificadas no processo de auditoria.

Projeto de Implementação

O apoio e acompanhamento na implementação das ações tendentes ao cumprimento do RGPD inclui:

  • Definição e redação de políticas internas de privacidade.
  • Formalização de questões de Governance (manuais de políticas e procedimentos, códigos de ação, estatutos, etc.).
  • Definição de mecanismos de consentimento.
  • Revisão de contratos com subcontratados.
  • Sistemas de monitorização e controlos.
  • Definição de responsabilidades e funções DPO.

Ongoing

O acompanhamento e monitorização da conformidade com o RGPD é fundamental para garantir um contínuo mecanismo de gestão e melhoria dos processos:

  • Exercício da função de DPO externo.
  • Auditorias regulares sobre o cumprimento das disposições do RGPD (auditoria de conformidade).
  • Avaliar impacto de novos tipos de tratamento de dados.
  • Testar com regularidade e identificar as vulnerabilidades de intrusão e acesso aos dados, que permitam aferir os mecanismos de prevenção.

Conheça a nossa proposição de valor na área de Risco e Compliance

Scroll to Top