Nos últimos anos, a União Europeia iniciou o maior processo de modernização do enquadramento regulatório nas áreas da Privacidade e Proteção de Dados.
Com o Regulamento Geral de Proteção de Dados (RGPD), em vigor desde 2016 e com aplicação direta desde Maio de 2018, ficou regulada a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
Está também em discussão uma nova regulamentação de e-Privacy, que vem atualizar a legislação em vigor de acordo com os novos desafios decorrentes de uma constante evolução digital e de um crescimento exponencial das novas tecnologias nas trocas comerciais – Digital Single Market.
A nova regulamentação reveste-se de alguma complexidade, representando um desafio para todas as empresas e organizações, públicas e privadas, que terão que implementar ferramentas de controlo e procedimentos específicos para a gestão e proteção dos dados dos seus clientes e colaboradores.
Mas conformar uma organização ao RGPD (Regulamento Geral Proteção de dados) pode ser muito mais do que aplicar as novas regras de Privacidade e Proteção de Dados.
Com o mindset certo e um processo desenhado à medida, é possível caminhar para uma visão consolidada da gestão de risco e ulterior qualidade dos processos internos; uma visão que defendemos para todas as organizações.
Para o apoiar neste desiderato, reunimos um conjunto de especialistas e parceiros com experiência e know-how na área de Privacidade e Proteção de Dados para tornar este complexo processo mais simples, apoiando a sua organização em toda a linha processual com um pacote chave na mão, aqui resumido em quatro fases de projeto.
Diagnóstico & Gap Analysis
A auditoria para análise do impacto e dos gaps deverá assentar em dois vetores de enfoque essencial. Numa primeira linha de trabalhos a desenvolver enquadra-se uma fase de levantamento, análise e avaliação, à qual se deverá seguir uma segunda fase de execução e reforço de implementação.
Na primeira fase de análise, é primordial conhecer a organização, os seus fluxos de informação, e as ferramentas existentes, por forma a identificar os repositórios de informação abrangidos e os controlos de segurança aplicados sobre os mesmos.
Após recolha e análise, seguir-se-á a identificação das eventuais lacunas existentes no cumprimento dos requisitos de Privacidade em 4 etapas distintas:
- Contexto organizacional – nesta fase é analisado o contexto externo e interno à organização, relativamente à proteção de dados pessoais.
- Mapeamento de informação – nesta fase são analisados todos os processos de negócio da organização, bem como as respetivas aplicações informáticas e repositórios de dados de suporte ao negócio, de modo a identificar áreas de recolha, tratamento e salvaguarda de dados pessoais.
- Avaliação de Impacto de Privacidade – nesta fase são analisados os processos de negócio e respetivos sistemas de suporte, com vista a validar o cumprimento dos princípios de privacidade.
- Gap Analysis e Advertências – nesta fase são identificadas as áreas de exposição da organização a maior risco de não cumprimento, sendo propostas ações de mitigação do risco.
Plano de Remediação
O relatório de Gap Analysis deverá incluir a calendarização detalhada da fase de implementação, em função dos findings e gaps identificados, nomeadamente:
- Medidas e recomendações, calendarizadas e planeadas, para eliminação e mitigação do risco, classificadas pela sua criticidade e urgência, alinhadas com a política de segurança de informação da organização, mas também dos seus modelos de negócio, cultura organizacional e disponibilidades orçamentais.
- Recomendação de políticas de Governance para a organização, desde logo Códigos de Conduta, planos de formação, estrutura de acompanhamento e apoio ao Encarregado de Proteção de Dados, incluindo perfil da função, definição de ferramentas de suporte e formação.
- Sugestão de implementação dos processos contratuais e documentais necessários, em função das medidas recomendadas para eliminação e mitigação do risco, e das exigências legais e regulatórias identificadas no processo de auditoria.
Projeto de Implementação
O apoio e acompanhamento na implementação das ações tendentes ao cumprimento do RGPD inclui:
- Definição e redação de políticas internas de privacidade.
- Formalização de questões de Governance (manuais de políticas e procedimentos, códigos de ação, estatutos, etc.).
- Definição de mecanismos de consentimento.
- Revisão de contratos com subcontratados.
- Sistemas de monitorização e controlos.
- Definição de responsabilidades e funções DPO.
Ongoing
O acompanhamento e monitorização da conformidade com o RGPD é fundamental para garantir um contínuo mecanismo de gestão e melhoria dos processos:
- Exercício da função de DPO externo.
- Auditorias regulares sobre o cumprimento das disposições do RGPD (auditoria de conformidade).
- Avaliar impacto de novos tipos de tratamento de dados.
- Testar com regularidade e identificar as vulnerabilidades de intrusão e acesso aos dados, que permitam aferir os mecanismos de prevenção.
Conheça a nossa proposição de valor na área de Risco e Compliance