Cinco conselhos para pôr em marcha o novo Regulamento Geral de Proteção de Dados

Para ajudar as empresas a estarem preparadas para a alterações que aí vêm, a SealPath, provider especializado no desenvolvimento de soluções de proteção e controlo da informação confidencial (IRM, information rights management), delineou uma estratégia que as empresas deverão adotar para estarem preparadas para as alterações que se farão sentir quando o RGPD for implementado.

As alterações que serão implementadas a nível da UE pretendem garantir que os direitos dos indivíduos em relação à proteção dos seus dados pessoais estão assegurados na era digital Os benefícios decorrentes da nova regulamentação para os cidadãos (direito a ser esquecido, o consentimento explícito para o tratamento de dados, acesso mais fácil aos seus próprios dados ou maior conhecimento de como eles são tratados) têm um impacto sobre as empresas, e estas devem preparar-se para o seu cumprimento.

O novo regulamento entrará em vigor a maio do próximo ano e uma boa parte das organizações ainda não estão preparadas. Eis cinco passos a ter em conta, segundo a SealPath.

Analisar que dados de terceiros são geridos pela organização

Obter um esquema preciso entre as diferentes unidades da organização sobre quais os dados de terceiros recolhidos e onde estes se encontram armazenados é um dos primeiros passos que as empresas deverão dar. Fazer um inventário desses mesmos dados e indicar o tipo de dados recolhidos, onde foram recolhidos e onde estão armazenado deve ser o segundo passo. Grande parte deste trabalho já deverá estar feito em cumprimento aos regulamentos anteriores.

Verificar a política de privacidade para os dados recolhidos de terceiros

O acordo sobre a transferência de dados deve também ser explícito. Deve ser aceite pelo utilizador (de livre vontade, informado e inequívoco) e é aceite a recolha de dados padrão. As políticas de privacidade devem ser claras e concisas e, como é natural, deverão exigir o consentimento do utilizador.

Ter em consideração a nomeação de um Data Protection Officer

Se uma empresa que conte com mais de 250 colaboradores, se tem no seu core o processamento e gestão de dados de terceiros ou se gere dados de categorias especiais (racial, étnica, política, religiosa, genética, biométrica, orientação sexual, penal , etc.), tem de nomear um Data Protection Officer (DPO), que deve informar e aconselhar a empresa das suas obrigações, monitorizar a conformidade com as políticas organizacionais, documentar os dados recolhidos e responder a pedidos das autoridades de supervisão.

Prepare-se para notificar fugas de dados

Todas as organizações serão obrigadas a notificar as autoridades de supervisão quando forem vítimas de fugas de dados, para que as autoridades possam tomar as medidas adequadas. O prazo de pré-aviso é muito curto: 72 horas. Por outro lado, as potenciais multas às quais a empresa está exposta são pesadas e podem chegar a 20 milhões de euros ou 4% do volume de negócios. Na área de notificações é fundamental para saber existe um risco de roubo de dados na organização e que medidas devem ser implementadas para os proteger.

Implemente políticas de gestão e proteção dos dados

Os utilizadores têm o direito de perguntar onde é que os seus dados estão a ser armazenados, excluí-los, ou pedir uma cópia digital dos mesmos. A este proopósito, o IT deve perguntar-se:

- Posso seguir os dados do utilizador dentro dos sistemas da empresa?

- Posso apagá-los se for solicitado ou dar ao utilizador a opção de o fazer?

- Estão os dados protegidos de acessos indevidos?

Por outro lado, se no momento da violação de segurança os dados estavam protegidos de forma a serem ininteligíveis a pessoas não autorizadas, e se a empresa conseguir prová-lo, não é necessário notificar a violação da segurança às pessoas titulares dos dados roubados ou perdidos.

Isto, além de evitar o processo de notificação, pode evitar multas milionárias, já que é possível demonstrar que foram adotadas as medidas necessárias a controlar a fuga de dados.