2018/05/24 00:00:00

 

Enquadramento do Regulamento Geral de Proteção de Dados

 

Everyone has the right to the protection of personal data concerning him or her” – Charter of Fundamental Rights of the European Union.

 

O GDPR ou RGPD (Regulamento Geral de Proteção de dados) é uma realidade para a qual as empresas têm de garantir a conformidade a partir de 25 de Maio de 2018. O Regulamento (UE) 2016/679 relativo à proteção de dados é um regulamento pelo qual o Parlamento Europeu, o Conselho Europeu e a Comissão Europeia pretendem reforçar e unificar a proteção de dados para todos os indivíduos na União Europeia. Os principais objetivos do GDPR são dar aos cidadãos e residentes um controlo posterior dos seus dados pessoais e simplificar o ambiente regulamentar para os negócios internacionais através da unificação da regulamentação na EU. A adaptação das empresas a este novo regime tem de ser preparada, de forma a minimizar o impacto nas organizações que este tipo de alteração implica, visando alcançar a conformidade obrigatória e evitando penalizações financeiras bastante expressivas (até 4% da faturação do grupo ou 20.000.000 EUR). Por um lado, temos um regulamento obrigatório com um elevado número de requisitos e desafios, mas existe também a possibilidade de se tirar partido da implementação de medidas adequadas, pois a organização pode reforçar a confiança dos seus clientes e parceiros, ao mesmo tempo que garante um controlo efetivo dos dados a seu cargo, através de um conjunto de medidas e mecanismos que mitigam os riscos externos e internos no que diz respeito aos dados pessoais tratados pela organização.

Para a DRC existem 3 dimensões distintas a serem consideradas pelas organizações na abordagem ao RGPD:     Consideramos a correta conciliação e avaliação do RGPD nestes 3 domínios, essencial para alcançar a desejada conformidade. Em função dos sistemas já implementados e do nível de maturidade da organização, devem ser efetuados planos que garantam a implementação das medidas necessárias para o cumprimento desta nova legislação. Neste sentido a DRC, tem uma oferta de serviços que abrange várias etapas ou fases necessárias, sendo sempre necessário avaliar o grau de maturidade da organização, normalmente aferido através do “RGPD Gap Analysis”. Para uma implementação adequada das medidas necessárias, e de forma a garantir a sua cobertura na organização, recomendamos um percurso que engloba as seguintes fases: O programa de RGPD poderá ser suportado pela implementação da norma ISO/IEC 27001:2013 – Sistema de Gestão de Segurança da Informação, que não sendo um requisito do regulamento, tem, no entanto, sido referenciado por vários autores como a melhor abordagem ao RGPD, pois além de fornecer uma maior cobertura de dados, oferece a garantia de continuidade de acompanhamento e melhoria contínua do sistema implementado.  

    O nível de conformidade é avaliado em 5 domínios distintos:  

  No processo serão utilizados diversos procedimentos e técnicas de auditoria para a consecução dos objetivos pretendidos, em especial: testes de observação e análise qualitativa, através de entrevistas com intervenientes e responsáveis de departamento. Será efetuada uma avaliação de conformidade em cada domínio, e do sistema no seu todo. Para determinar o estado do sistema, teremos como base um conjunto de processos, definições e medidas necessárias para alcançar o alinhamento com o RGPD e com base no levantamento a efetuar, será aferido o estado da organização. O conjunto destas métricas, será utilizado para determinar o estado global do sistema. O resultado é apresentado em indicadores, num “gauge” que permite uma leitura muito rápida do estado.     O mapeamento de fluxo de dados, será efetuado com base nas entrevistas a realizar, não sendo utilizada qualquer ferramenta informática nesta fase. Os fluxos terão como base os processos principais da organização e serão validados com os responsáveis de cada processo. Como resultado, serão fornecidos:

  • Diagrama de contexto
  • Fluxos de dados (alto nível, dos principais processos que envolvem dados pessoais).

Os outputs do RGPD Gap Analysis são de extrema importância na definição do percurso a efetuar para alcançar a conformidade, e têm um impacto expressivo na redução do custo de um programa de implementação, pois fornecem uma imagem do estado atual do sistema.

A sua empresa está compliance com o Regulamento Geral de Proteção de Dados?

 

Contacte a DRC e teremos todo o gosto em ajudá-lo!