trans('Top')
Notícia

O GDPR está a preocupar quem tem dados pessoais. Mas porquê?

  • 31/01/2018

Esta é uma temática que tem preocupado todos aqueles que lidam com dados pessoais. Apesar de já a termos abordado aqui, consideramos pertinente olhar para ela a partir de um outro prisma. Uma questão que se impõe nesta análise é "porque é que esta nova norma está a preocupar (ou até assustar) as empresas?"

As explicações mais lógicas podem passar pela:

   - a imposição de coimas avultadas e a CNPD será atuante.
   - a transversalidade do seu âmbito. 
   - quantidade elevada de trabalho a fazer para cumprir com o GDPR, até o 25 de maio de 2018.
   - responsabilização das Organizações em provarem que cumprem com o regulamento. 

Esta é uma norma transversal na organização e implica a necessidade de implementar um sistema de gestão de risco, um sistema de gestão de segurança da informação e, talvez a implementação mais difícil de adotar, a adoção de comportamentos novos. Será de elevada relevância definir algumas ferramentas que possam garantir o compliance com o novo regulamento. Para isso, sugere-se a definição de:

   - uma política de privacidade e proteção de dados pessoais;
   - um programa de compliance específico ou inclusão destes temas no programa geral da empresa;
   - auditorias específicas;
   - uma avaliação da proteção de dados pessoais e da privacidade cujo resultado seja considerado na tomada de decisões estratégicas;
   - uma avaliação de impacto na privacidade e na proteção de dados pessoais nos novos projetos;
   - uma avaliação da privacidade e dos dados pessoais nas relações (contratuais) com clientes, fornecedores e parceiros;
   - uma simulação de raids por parte da CNPD. 
   - um plano de formação aos colaboradores em matéria de proteção de dados pessoais e privacidade.


Para o ajudar a dar os primeiros passos, aconselhamos que leia o nosso guia gratuito que siga os passos essenciais apresentados a seguir.

1.º Avaliem os riscos gerais do negócio associados à proteção de dados pessoais e da privacidade:
   - Os dados pessoais e a privacidade estão no core do negócio? 
   - A empresa trata dados pessoais sensíveis de clientes? 
   - Eventuais crises associadas à informação pessoal de clientes e privacidade podem causar danos relevantes à organização?

2.º Avaliem de que forma a organização tem tratado os dados pessoais e a privacidade? 
   - Os dados pessoais e a privacidade são valores da organização? Estão presentes nas políticas e procedimentos da organização? Como e em que grau? 
   - Os impactos na proteção de dados pessoais e na privacidade já foram ou são avaliados na organização?  Constituem uma preocupação dos colaboradores? 
   - A organização realiza notificações de tratamentos de dados pessoais à CNPD? Qual é o ponto de situação dos tratamentos notificados e não notificados?

3.º Estabeleça um compromisso de alto nível com os dados pessoais e com a privacidade:
   - Em função da avaliação dos pontos 1 e 2, a gestão deve estabelecer um compromisso claro a proteção de dados pessoais e a privacidade. 
   - Antes de ser exteriorizado, o compromisso deverá esclarecer de forma inequívoca qual a importância da proteção de dados e da privacidade para a organização e qual o nível de compliance que se pretende atingir.  
   - Antes do compromisso ser exteriorizado, e em função do que for definido, deve estabelecer-se um action plan para concretização do mesmo a médio-prazo.

4.º Defina um action plan para concretizar o compromisso assumido:
   - Em função do compromisso assumido e dos custos associados, deve definir-se um plano de concretização do compromisso. 
   - Seja qual for o nível de compromisso, a prioridade será identificar situações de elevado risco ou de risco eminente e começar por minimizar esses riscos. 
   - A escolha dos responsáveis pela criação e execução do plano é crucial. 
   - O plano deve tanto quanto possível ser acompanhado de uma avaliação de custos.

Se ainda não o fez, faça download do nosso guia essencial sobre o GDPR aqui.


A Abaco Training Academy tem dois cursos relativos a esta temática à disposição dos seus clientes:
   - "Data Protection Officer (DPO) - Practitioner Training", ver aqui.
O primeiro curso apresentado pretende dar uma visão holística aos participantes, de modo a que estes possam implementar novos comportamentos e ferramentas nas suas organizações. O segundo curso, DPO, visa dar aos participantes as competências necessárias para assumirem a posição de DPO na sua instituição. Este curso encontra-se alinhado com os padrões de certificação internacional, permitindo por isso uma boa preparação para quem ambicione ser um DPO certificado.

 

Andrea Junqueira, Abaco Training Academy