Como implementar o novo regulamento europeu sobre protecção de dados

new-european-gdpr-concept_23-2147856373
WhatsApp Image 2022-12-30 at 01.41.37
Autora
Priscila Ganga

Como implementar o novo regulamento europeu sobre protecção de dados

Com a entrada em vigor do GDPR a 25 de Maio, todas as empresas que tratam os dados pessoais dos cidadãos da UE terão de actualizar as suas práticas e procedimentos em conformidade. Se ainda não o fez, agora é o momento de se familiarizar com o novo Regulamento Geral de Protecção de Dados (GDPR) e começar a fazer preparativos para cumprir os seus requisitos. Este post no blogue contém conselhos úteis para as empresas que pretendam tornar os seus procedimentos de protecção de dados mais rigorosos, a fim de evitar a violação do novo regulamento. O GDPR é uma versão mais rigorosa das anteriores leis de protecção de dados; estas dicas ajudá-lo-ão a preparar-se para a sua implementação.

 

Estabelecer um programa de protecção de dados

Um programa de protecção de dados (DPP) é a componente central de qualquer estratégia de conformidade com a GDPR. É uma abordagem global da organização à protecção de dados, concebida para assegurar o cumprimento da GDPR e de outras leis de protecção de dados aplicáveis. A fim de criar um DPP, terá primeiro de responder a algumas perguntas-chave: Que tipo de dados recolhe? Para que é que está a utilizar os dados? Quem tem acesso aos dados? Durante quanto tempo armazenam os dados? Que medidas de segurança tem em vigor para proteger os dados? Para cumprir efectivamente o GDPR, a sua organização terá de pôr em prática os seguintes elementos chave: Uma política de privacidade que informe as pessoas em causa da forma como recolhe e trata os seus dados, Uma avaliação do impacto da protecção de dados (DPIA) que identifique os riscos e desafios das suas actividades de processamento de dados, Um responsável pela protecção de dados (DPO) que seja responsável por supervisionar o seu DPP e assegurar o cumprimento, e Um processo de notificação de violação que permita às pessoas em causa saberem quando os seus dados foram comprometidos.

 

Especialista no assunto

Ao começar a implementar as mudanças exigidas pela GDPR, poderá querer atribuir a uma pessoa o papel de gestor do projecto GDPR. Esta pessoa será responsável por acompanhar todas as tarefas relacionadas com a GDPR, comunicar com outros departamentos sobre questões relacionadas com a GDPR e, de um modo geral, assegurar que o processo de implementação decorra sem problemas. Uma vez que a GDPR é uma mudança tão grande e importante na lei de protecção de dados, deverá assegurar-se de que o seu gestor de projecto tem um conhecimento profundo do regulamento e das suas implicações para o seu negócio. Esta pessoa pode actuar como “especialista na matéria” em reuniões e discussões com outros departamentos, ajudando-os a prepararem-se para a GDPR e sugerindo possíveis soluções para quaisquer potenciais desafios.

 

Criar um Plano de Gestão de Protecção de Dados (DPMP)

Um plano de gestão da protecção de dados (DPMP) delineia os procedimentos e práticas específicos necessários para cumprir o GDPR. A fim de criar um DPMP, terá de responder a algumas perguntas-chave: Que tipo de dados se recolhe? Para que é que utiliza os dados? Quem tem acesso aos dados? Durante quanto tempo armazenam os dados? Que medidas de segurança tem em vigor para proteger os dados? O GDPR exige que implemente medidas de segurança adequadas para proteger os dados pessoais dos cidadãos da UE. Terá de implementar salvaguardas adequadas ao risco envolvido nas suas operações de processamento de dados e a quaisquer potenciais consequências de uma violação dos dados. O seu DPMP deve incluir detalhes destas medidas e fornecer uma avaliação de risco que demonstre a razão pela qual as implementou.

 

Reveja as suas práticas actuais de retenção de dados

Como parte dos seus esforços de conformidade com o GDPR, terá de rever as suas práticas actuais de retenção de dados e fazer alterações sempre que necessário. A GDPR impõe limites de tempo mais rigorosos ao período de tempo durante o qual lhe é permitido reter dados pessoais. Terá de apagar os dados pessoais assim que a razão para a sua recolha deixar de ser aplicável. Poderá também ter de apagar dados pessoais se o indivíduo retirar o seu consentimento para o processamento dos dados ou se os dados tiverem sido recolhidos ilegalmente. As únicas excepções a estas regras são se o utilizador for obrigado a conservar os dados por razões legais (por exemplo, se houver processos judiciais pendentes, investigações regulamentares ou reclamações de seguros) ou se o utilizador estiver a conservar os dados para um fim comercial legítimo.

 

Criar um registo de processadores e manipuladores de dados

Um requisito chave de conformidade com a GDPR é que mantenha um registo de todas as empresas terceiras com quem trabalha e que tratam dos seus dados pessoais. Terá de criar um chamado “mapa de fluxo de dados” que documente o movimento de dados através dos seus sistemas e dos sistemas dos seus fornecedores. Para tal, terá de criar um “registo de processadores de dados” que enumere todos os fornecedores de serviços de terceiros que acedem aos seus dados. Terá também de criar uma “lista de controladores de dados de terceiros” para actividades de processamento de dados que não se enquadram no seu negócio principal, mas envolvem o processamento dos seus dados pessoais. Terá de manter estes registos enquanto utilizar os serviços dos processadores e manipuladores de dados, e durante dois anos após a sua utilização.

 

Conclusão

A GDPR é uma enorme mudança na lei de protecção de dados, e a sua empresa terá de fazer alterações significativas para cumprir com ela. O primeiro passo nos seus esforços de cumprimento da GDPR é estabelecer um programa de protecção de dados e pôr em prática as salvaguardas apropriadas. Em seguida, terá de rever as suas práticas actuais de retenção de dados e actualizá-las sempre que necessário. Finalmente, terá de criar um registo de processadores e manipuladores de dados e manter um registo de todas as empresas terceiras com quem trabalha e que manipulam os seus dados pessoais.

Artigos mais recentes

Artigos que podem ser do seu interesse

Precisa de implementar o RGPD na sua empresa?

Com a implementação do RGPD, dê confiança aos seus clientes e colaboradores, mantendo os seus dados pessoais seguros e em conformidade com o RGPD.

O RGPD regula o tratamento de dados pessoais na UE, aplicando-se a empresas globais que processem esses dados. O RGPC exige programas de conformidade e canais de denúncia para prevenir corrupção, promovendo transparência e integridade nas organizações.

Os nossos Serviços
Consultoria em RGPD
Análise de risco de RGPD
Gestão de consentimento