O RGPD Simplificado

O Regulamento Geral de Proteção de Dados (RGPD) irá entrar em vigor no dia 25 de Maio de 2018. Esta data já é conhecida por muitas pessoas. O que poucas pessoas sabem é que já há 2 anos que empresas por toda a Europa têm adequado os seus processos para estar em conformidade a partir desse dia, pois foi nessa altura que saíram as primeiras publicações do regulamento.

O que significa estar em conformidade com o RGPD?
O regulamento veio alterar a forma como as empresas lidam e tratam os dados pessoais de titulares singulares, ou seja pessoas vivas identificadas ou identificáveis. Neste sentido, as empresas terão de adequar os procedimentos internos por forma a correrem menos risco de uma violação de dados. Por exemplo, se hoje em dia a sua empresa tem por hábito enviar por email, que é considerado um meio inseguro e falível, dados pessoais ou dados sensíveis, este processo necessita ser revisto e adaptado ao regulamento.

O RGPD aplica-se à minha empresa?
O Regulamento Geral de Proteção de Dados aplica-se a todas e quaisquer empresas que tratam dados pessoais, independentemente das áreas, ou do tipo de dados que são processados. Na seguinte imagem descrevemos 6 mitos relacionados com o RGPD.

 Alguns mitos em torno do RGPD (GDPR).

Alguns mitos em torno do RGPD (GDPR).

 

 

 

 

 

 

 

 

 

 

 

 

O que é o DPO?
É o Encarregado de Proteção Dados e tem um papel de controlador dos processos de segurança da informação para garantir a proteção dos dados com que a empresa lida diariamente. Embora não seja obrigatório para todas as empresas, a existência de um DPO ou de um serviço externo que garanta essa função é recomendável. A importância de um cargo como este é alta de acordo com o RGPD, sendo que poderá ser uma pessoa que irá reportar aos mais altos cargos das empresas. 

Notificações de violação de segurança
Qualquer violação dos dados (desde a eliminação acidental por um colaborador, até a um ataque informático como um vírus), deverá ser reportada à entidade de controlo no prazo máximo de 72h, bem como aos próprios titulares dos dados.

O que muda com o RGPD?
Pode-se dizer que muda drasticamente a forma como as empresas lidam com dados pessoais. Mudam as culturas empresariais, e muda a forma como alguém, que está habituado a fazer algo há muito anos, irá passar a lidar com dados pessoais, e mudam os sistemas informáticos ou são adaptados e testados.

Coimas
Até a um máximo de 20 milhões de euros ou 4% do valor de faturação da empresa são as multas aplicadas no caso de não conformidade com o RGPD. As sanções mínimas para Portugal foram já definidas.

O que é preciso fazer?
É essencial fazer uma avaliação dos seus Processos atuais, dos Sistemas Informáticos, e reformulá-los de acordo com o RGPD. Além disso é também preciso formar e sensibilizar as Pessoas da sua empresa. Não existem sistemas informáticos que o irão por em conformidade 100% com o RGPD. Alguns sistemas, ou softwares, certamente ajudam, mas a visão que deve ter é transversal, e tendo sempre em conta as 3 vertentes: Processos, Pessoas e Tecnologia. Saiba mais aqui.

Fizemos o apanhado de algumas perguntas ao longo dos projetos que temos desenvolvido e que poderão ajudar a despistar algumas dúvidas que tenha:

Tenho o Office 365, formei as minhas pessoas no RGPD com vários workshops e tecnicamente temos um anti-virus, um sistema de gestão documental e uma firewall na empresa. A minha empresa está em conformidade com o RGPD?
Certamente que já fez algo na direção da conformidade, mas ainda está longe de o estar. Isto porque um processo de implementação, é algo complexo e OnGoing, durante bastante tempo, dependendo da dimensão da estrutura e dos processos das empresas. Os primeiros passos já foram tomados, mas é necessário realmente redesenhar processos, realizar Avaliações de Impacto da Proteção de Dados (AIPD) em áreas de risco, testar as suas infraestruturas e sistemas, entre outros.

A minha empresa não lida com dados pessoais, portanto nao preciso de estar em conformidade.
Embora a empresa não lide diretamente com dados pessoais no dia a dia, poderá estar a lidar indiretamente, sem se aperceber com tais dados. Durante as fases de análise são levantados os véus de processos que muitas vezes estavam "escondidos" aos olhos de muitas empresas. Um projeto de implementação é também uma oportunidade para "arrumar a casa" o que torna posteriormente as empresas mais competitivas e avançadas.

O maior problema de não estar em conformidade com o RGPD são as multas.
Uma das principais causas que levam as empresas a avançar com um projeto de implementação do RGPD são de facto as coimas que podem advir no caso de uma denúncia ou de uma violação de dados. No entanto o pensamento não deve ser exatamente esse. Acreditamos que mais depressa os seus clientes vão deixar de trabalhar com a sua empresa por não estar em conformidade, do que uma multa vai cair na caixa de correio. Isto porque os seus clientes, eles próprios, vão ter de estar compliant, e com isto significa que todos os fornecedores e terceiros que tenham contacto com dados pessoais também vão ter de estar.

Os meus advogados é que vão tratar do RGPD.
Embora o papel dos advogados seja importante este representa apenas uma parte (talvez a mais pequena) de um projeto de implementação do RGPD. O papel do advogado é de garantir o "paper-shield", ou seja a blindagem dos documentos. É necessário um entendimento jurídico do regulamento, é certo, mas é necessário adaptar os processos e os sistemas de acordo com mudanças das empresas, e que são funções que devem ser levado a cabo por especialistas de cada área.

Qual a certificação que devo ter relativamente ao RGPD?
Não existe ao dia de hoje uma certificação do RGPD. Existem várias certificações que seguem algumas regras sendo que a Dayzero segue a certificação BSI 10012:2017 pois foi atualizada em 2017 para dar resposta ao RGPD. Ao nível tecnológico seguimos a certificação CyberEssentials.

Temos mais exemplos para partilhar consigo, e é o nosso objetivo podermos ajudar as empresas no processo de preparação, implementação e monitorização. Entre em contacto connosco para saber como é que já ajudámos várias organizações (nacionais e internacionais) a estarem preparadas para o RGPD.

Links úteis:

EU Data Protection Rules

COMISSÃO NACIONAL DE PROTEÇÃO DE DADOS

Centro Nacional de CiberSegurança