Como ficar em conformidade com o RGPD?

Se a sua empresa ainda tem dúvidas sobre o  Regulamento Geral de Protecção de Dados (RGPD), conheça aqui nove medidas chave para ficar em conformidade com as novas regras.

Numa altura em que muitas organizações receiam não estar preparadas para a chegada do Regulamento  RGPD, a Seidor reúne informação útil para as empresas.

O novo regulamento da União Europeia deve ser encarado como uma oportunidade para actualizar os recursos de segurança da organização e melhorar a segurança geral no que concerne à confidencialidade e privacidade dos dados no geral. Será aplicado a partir de 25 de maio de 2018, pelo que as empresas devem começar desde já a verificar e implementar todas as normas.

Existem sectores de actividade que poderão ser fortemente afectados, como empresas com subscrições, e-commerce, prestadoras de serviços a particulares e ainda hotéis, imobiliárias, retalhistas. etc. Da mesma forma, todo o conjunto de dados relativo aos funcionários e colaboradores da organização estão sujeitas à normativa.

Tendo em conta as sanções avultadas que poderão ser aplicadas às empresas por incumprimento, é necessário estabelecer medidas adequadas que permitam a qualquer organização a sua aplicação e cumprimento.

1 – Conhecer o regulamento e timings

Em primeiro lugar há que ter conhecimento da existência deste novo regulamento, e por isso é fundamental conhecer todas as obrigações na recolha, tratamento e armazenamento dos dados, e ainda todos os seus prazos. Desta forma, as empresas devem assegurar ter tempo suficiente para tomar as medidas que vão ao encontro da conformidade das novas regras do RGPD.

2 – Auditoria

Numa segunda fase é fundamental que as empresas façam uma auditoria interna e deste modo perceberem como é que a organização trata e armazena os dados recolhidos.

3 – Dados Regulados

Após a auditoria interna, a empresa deve compreender se a recolha, tratamento e armazenamento dos dados está em conformidade com as novas regras do RGPD. Saber quem tem acesso e em que aplicações estão os dados são apenas alguns exemplos.

4 – Pessoas e procedimentos críticos

Priorizar: as empresas devem começar pelos dados e procedimentos mais críticos. É importante não esquecer que vários profissionais serão afectados, desde os profissionais dos departamentos de informática aos profissionais de Recursos Humanos. Cargos que têm acesso aos dados através do software de gestão da empresa, por exemplo.

5 – Dados e politicas de privacidade

As empresas devem rever as suas politicas de privacidade de dados e todos os seus procedimentos. Nesta acção devem assegurar que a recolha dos dados é transparente e que o utilizador sabe qual é a finalidade e base legal da recolha dos mesmos. A base legal pela qual as empresas se regem na recolha e tratamento dos dados deve estar identificada.

É ainda obrigação da empresa proteger os dados dos utilizadores, garantindo que o acesso aos mesmos apenas é efectuado por aqueles que o necessitam fazer para desempenhar o seu trabalho.

6 – Politica Interna de Conformidade

No prazo máximo de 72 horas as empresas poderão comunicar à autoridade de controlo qualquer lacuna identificada. É importante que haja um registo de todas as actividades vinculadas com a aplicação das normas. Estes registos devem estar disponíveis a pedidos da autoridade de controlo.

7 – Data Protection Officer (DPO)

A empresa deve nomear um responsável pela aplicação do RGPD que assegure o cumprimento de todas as normas, nomeadamente a protecção de dados, direito à informação, esquecimento e ainda cibersegurança. É ainda sua função a identificação de pontos de melhoria na aplicação dos requisitos.

8 – Infracções

O incumprimento das normas pode resultar em penalizações. Estas penalizações traduzem-se em multas avultadas, dependendo dos itens não cumpridos, que podem atingir os 20.000.000€ ou 4% da facturação anual da empresa.

9 – Rever e Repetir

Acima de tudo é importante estar alerta e repetir os processos mais críticos para verificar a conformidade de todas as normas.

Recorde-se que os cidadãos passam a ter o direito ao acesso dos dados e podem agora dirigir-se a uma empresa para solicitar os que estão a ser partilhados.

A Seidor Portugal fornece actualmente serviços de consultoria e implementação de cibersegurança que visam ajudar as empresas no cumprimento das normas, bem como serviços críticos de consultoria SAP, como a gestão de autorizações, encriptação, fornecimento e implementação de aplicações.

Veja também estas notícias.