Como implementar o RGPD numa organização?

 

Os desafios que se colocam numa implementação de um regulamento numa organização são inúmeros, principalmente quando não existe um conhecimento profundo do que significa e de como deve ser aplicado. De uma forma simples, implementar o RGPD poderá demorar meses e em algumas organizações até anos, pois muitos dos procedimentos internos das empresas são alterados, inclusive a lógica de negócio das empresas.

 
 Mudanças culturais, de processos e novas tecnologias são os pontos mais importantes de um projeto de implementação do RGPD.

Mudanças culturais, de processos e novas tecnologias são os pontos mais importantes de um projeto de implementação do RGPD.

 

A implementação do RGPD deve ser dividida em várias fases e deve ser traçado um plano para que esta se misture com a cultura e os processos da empresa. Este regulamento muda completamente a forma com que, hoje em dia, as empresas lidam com os dados pessoais, dando mais poderes aos titulares dos dados e define estes dados como um bem das pessoas individuais. Este controlo dos dados por parte dos titulares significa que as empresas necessitam de não só alterar os processos e procedimentos atuais, como também disponibilizar as ferramentas para que seja possível aos titulares aceder, alterar ou remover os seus dados, de forma fácil e transparente. Nomear um DPO não vai fazer com que a sua empresa esteja em conformidade com o RGPD, portanto antes de contratar um serviço externo ou atribuir esta função a um colaborador seu, deve perceber se a sua empresa tem obrigatoriedade de ter um DPO e quais as funções ao certo que esta pessoa terá. Se já tem uma ideia do que é o RGPD mas precisa de ajuda na implementação, veja o nosso serviço de "Faça você mesmo" neste link. Um exemplo dos 6 passos principais está explícito na seguinte imagem:

 
 Um exemplo dos principais passos para a conformidade com o RGPD.

Um exemplo dos principais passos para a conformidade com o RGPD.

 

 

Existem vários fatores a ter em conta durante uma implementação sendo que as Pessoas, os Processos e os Sistemas são os que salientamos.

Pessoas

Não só é necessário formar e sensibilizar os colaboradores para o RGPD e o tratamento de dados pessoais, como também é preciso saber lidar com a mudança cultural que um projeto deste género implica. O impacto da mudança terá de ser medido, numa perspectiva do risco associado. Alguém que faz alguma tarefa há muitos anos, porque foi assim que aprendeu ou foi assim que lhe foi explicado fazer, terá de entender que a partir do dia 25 de Maio terá de o deixar de fazer ou passará a fazer de forma diferente. A resistência à mudança por vezes cria um sentimento de incompreensão e de insatisfação que terá de ser gerido. A equipa da Dayzero conta com profissionais com experiência em Cultural Change (mudança cultural) o que significa que qualquer alteração nas organizações dos nossos clientes é gerida de forma profissional e seguindo uma metodologia própria.

Processos

Se as Pessoas são um factor crítico para uma implementação de sucesso, obviamente que os Processos terão de acompanhar a mudança cultural. Por vezes a alteração de um simples procedimento significa a mudança de vários processos satélite. O levantamento dos processos de uma organização é algo complexo e que deve ter em conta algumas disciplinas tais como desenho de processos, gestão da mudança e gestão de risco. Ao ter uma abordagem baseada em risco permite que a nossa equipa dê especial atenção aos fatores mais críticos de uma empresa o que permite igualmente um faseamento mais fácil durante o planeamento de uma implementação.

Tecnologia

Os sistemas estão presentes em qualquer empresa hoje em dia. Portanto, uma alteração cultural e processual terá igualmente um impacto ao nível dos sistemas. Não só as empresas devem testar as suas aplicações e infraestruturas e garantir que estão protegidas ao máximo como devem igualmente perceber formas de melhorar processos para dar resposta às exigências do RGPD e aos titulares dos dados. No âmbito da Tecnologia existem vários pontos que devem ser tidos em conta numa implementação de sucesso tais como uma auditoria seguindo um standard de mercado, testes de intrusão (Ethical Hacking), a garantia de sistemas auditáveis e que permitam a fácil resolução dos pedidos dos titulares de forma segura, entre muitos outros, sempre tendo em vista a Transformação Digital.

Em resumo, implementar o RGPD numa organização não é algo que se faça em alguns dias ou em poucos meses. É algo que pode levar o seu tempo e que cada organização deve adotar estratégias de acordo com as suas capacidades e realidades. A equipa da Dayzero tem experiência em todas as áreas importantes para uma implementação e é o nosso objetivo ajudar as empresas a estarem preparadas para o RGPD.

Para dar inicio ao processo de implementação na sua empresa sugerimos que inicie com o nosso serviço de Do It Yourself ou o nosso serviço de Avaliação Online.