RGPD o que é e quando começa.

Posted onAuthorcomercial@inforpuzzle.ptCategoriesSegurança

Com a aproximação da data de aplicação do Regulamento Geral de Proteção de Dados, a 25 de maio de 2018, as empresas têm de acelerar a implementação das novas regras.
O não cumprimento é um risco grande, pela forma como pode afetar a imagem e quebra de confiança na rede de parceiros e fornecedores, mas também pelas elevadas multas que podem ser aplicadas.

A definição de uma estratégia para a proteção de dados é um processo longo e complexo, mas as regras mais relevantes podem ser assumidas passo a passo, preparando a organização para cumprir o regulamento.
A Forrester Research recomenda as seguintes medidas.

1- Designe um responsável pela proteção de dados (DPO – Data Protection Officer) que se torna no pivot da segurança na organização. As organizações do Estado são obrigadas a designar um DPO mas nem todas as empresas privadas têm de o fazer. Podem usar um recurso externo, e a sua formação pode ser de base tecnológica, legal ou de segurança.

2- Prepare processos para comunicar a exposição de dados (data breach). As empresas passam a ter apenas 72 horas para comunicar a violação de informação ou quebra de segurança às autoridades e aos clientes e esta é uma medida que vai exigir mais esforço e preparação do que muitos pensam já que exige a partilha de detalhes sobre o nível de exposição e o volume de dados roubados.

3- Estabeleça a regra do Privacy by design (privacidade integrada no design). Este é um dos princípios a implementar desde o início de qualquer projeto e deve estar na base de todos os produtos e serviços, garantindo que os controles de segurança estão implementados e que não é pedida mais informação do que é necessária. A colaboração entre equipas é fundamental.

4- Defina um âmbito global de aplicação. O RGPD não se aplica apenas na Europa mas também abrange organizações não europeias que vendam produtos e serviços a residentes na UE o que será um novo desafio para muitas empresas e afeta a rede de fornecedores e parceiros.

 

5- Prepare provas de que investiu na mitigação dos riscos e não apenas na segurança de dados. Mesmo na ausência de uma violação da informação ou de queixas dos consumidores, as autoridades de proteção de dados podem exigir que as empresas provem que têm as regras afinadas e que possuem uma estratégia de gestão de riscos, incluindo um levantamento do impacto da privacidade (Privacy Impact Assessment – PIA).

Prepare provas de que investiu na mitigação dos riscos e não apenas na segurança de dados. Mesmo na ausência de uma violação da informação ou de queixas dos consumidores, as autoridades de proteção de dados podem exigir que as empresas provem que têm as regras afinadas e que possuem uma estratégia de gestão de riscos, incluindo um levantamento do impacto da privacidade (Privacy Impact Assessment – PIA).
O RGPD não é a única legislação importante mas vai ter um impacto significativo na gestão de projetos e nas equipas. Aposte na formação e na consciencialização para as exigências regulatórias e para o seu cumprimento de forma a evitar surpresas desagradáveis.

 

Informação recolhida do site PT Empresas: Este documento foi produzido pela PT Empresas e todos os direitos de utilização estão reservados.