Opinião
Prepare-se para a nova era da proteção de dados
As organizações devem iniciar de imediato o seu processo de adaptação cultural ao novo paradigma.
Com a aproximação do dia 25 de maio de 2018, data da entrada em vigor do novo Regulamento Geral sobre a Proteção de Dados, diversas organizações já começaram a considerar as etapas necessárias para a respetiva adaptação e implementação.
Pese embora o modelo de implementação de um programa deva ser preferencialmente adaptado à realidade de cada organização, existem princípios enformadores e ações comuns que todas as organizações deverão considerar, sendo aconselhável a criação de um modelo exequível, prático e não disruptivo, baseado numa segmentação de atividades a desenvolver e não apenas na fase de análise e projeção, mas também na fase de concreta implementação.
Perante a complexidade e abrangência das tarefas previstas no regulamento, o primeiro passo para as organizações deverá ser uma séria priorização das ações com base em fatores específicos da sua atividade. Mas independentemente da natureza da sua atividade, as organizações devem promover um conjunto de atos significativos ao cumprimento do regulamento, entre os quais destacamos alguns:
Contratos comerciais - As organizações que estiverem a negociar contratos com subcontratantes ("processors") deverão assegurar-se de que o novo contrato reflete as obrigações diretas dos subcontratantes nos termos do regulamento, compreendem as disposições obrigatórias revistas para contratos a celebrar com subcontratantes e os novos requisitos de notificação de violação de dados pessoais. Todos os contratos existentes com subcontratantes deverão, com a brevidade possível, ser revistos.
Anonimização - Verifique se os dados anonimizados atendem aos requisitos mais rigorosos para a anonimização introduzidos pelo regulamento. Caso não cumpram, determine se esses requisitos podem ser atendidos e analise as implicações da aplicação do regulamento.
Autoridade de controlo - Determine a localização do seu estabelecimento principal e, nessa medida, quem é sua principal autoridade de controlo. Desenvolva e implemente procedimentos adequados à realização de auditorias ou ações de fiscalização por parte das autoridades de controlo.
Demonstração de conformidade - Considere o melhor mecanismo de demonstração de conformidade. Embora as políticas e processos escritos sejam cruciais, a exclusiva dependência de documentos, por norma extensos e que raramente são lidos ou seguidos na prática, poderá revelar-se insuficiente.
Registo central de processamento de dados - Promova a criação de um registo central de todo o processamento de dados pessoais que contenha as informações obrigatórias do regulamento - a auditoria e o modelo de implementação devem auxiliar no preenchimento das informações necessárias.
Avaliações de Impacto de Privacidade de Dados (DPIA) - Implemente processos para garantir que as DPIA são efetuadas nos termos do regulamento e implemente políticas para um uso mais amplo das DPIA, porquanto ajudarão a cumprir os requisitos gerais de responsabilidade do regulamento.
Violação de dados - Desenvolva um procedimento detalhado de relatório de violação de dados e teste que funciona operacionalmente para permitir a conformidade com os requisitos de notificação do regulamento.
Seguro - Verifique os termos de qualquer apólice de seguro relevante para determinar se são necessárias alterações.
Formação - Certifique-se de que todos os que tenham acesso a dados pessoais recebem formação apropriada sobre o regulamento.
O dia 25 de maio de 2018 aproxima-se inexoravelmente, pelo que as organizações deverão iniciar de imediato o seu processo de adaptação cultural ao novo paradigma, pois somente assim as alterações jurídicas, organizacionais e técnicas poderão ser efetuadas de forma não disruptiva e adequada e poupar as empresas à mão pesada que a Comissão Europeia terá no caso das empresas incumpridoras. Porque a tarefa é árdua e complexa, não é despiciendo a correta identificação de um modelo de implementação personalizado e profissional.
Artigo está em conformidade com o novo Acordo Ortográfico
Pese embora o modelo de implementação de um programa deva ser preferencialmente adaptado à realidade de cada organização, existem princípios enformadores e ações comuns que todas as organizações deverão considerar, sendo aconselhável a criação de um modelo exequível, prático e não disruptivo, baseado numa segmentação de atividades a desenvolver e não apenas na fase de análise e projeção, mas também na fase de concreta implementação.
Contratos comerciais - As organizações que estiverem a negociar contratos com subcontratantes ("processors") deverão assegurar-se de que o novo contrato reflete as obrigações diretas dos subcontratantes nos termos do regulamento, compreendem as disposições obrigatórias revistas para contratos a celebrar com subcontratantes e os novos requisitos de notificação de violação de dados pessoais. Todos os contratos existentes com subcontratantes deverão, com a brevidade possível, ser revistos.
Anonimização - Verifique se os dados anonimizados atendem aos requisitos mais rigorosos para a anonimização introduzidos pelo regulamento. Caso não cumpram, determine se esses requisitos podem ser atendidos e analise as implicações da aplicação do regulamento.
Autoridade de controlo - Determine a localização do seu estabelecimento principal e, nessa medida, quem é sua principal autoridade de controlo. Desenvolva e implemente procedimentos adequados à realização de auditorias ou ações de fiscalização por parte das autoridades de controlo.
Demonstração de conformidade - Considere o melhor mecanismo de demonstração de conformidade. Embora as políticas e processos escritos sejam cruciais, a exclusiva dependência de documentos, por norma extensos e que raramente são lidos ou seguidos na prática, poderá revelar-se insuficiente.
Registo central de processamento de dados - Promova a criação de um registo central de todo o processamento de dados pessoais que contenha as informações obrigatórias do regulamento - a auditoria e o modelo de implementação devem auxiliar no preenchimento das informações necessárias.
Avaliações de Impacto de Privacidade de Dados (DPIA) - Implemente processos para garantir que as DPIA são efetuadas nos termos do regulamento e implemente políticas para um uso mais amplo das DPIA, porquanto ajudarão a cumprir os requisitos gerais de responsabilidade do regulamento.
Violação de dados - Desenvolva um procedimento detalhado de relatório de violação de dados e teste que funciona operacionalmente para permitir a conformidade com os requisitos de notificação do regulamento.
Seguro - Verifique os termos de qualquer apólice de seguro relevante para determinar se são necessárias alterações.
Formação - Certifique-se de que todos os que tenham acesso a dados pessoais recebem formação apropriada sobre o regulamento.
O dia 25 de maio de 2018 aproxima-se inexoravelmente, pelo que as organizações deverão iniciar de imediato o seu processo de adaptação cultural ao novo paradigma, pois somente assim as alterações jurídicas, organizacionais e técnicas poderão ser efetuadas de forma não disruptiva e adequada e poupar as empresas à mão pesada que a Comissão Europeia terá no caso das empresas incumpridoras. Porque a tarefa é árdua e complexa, não é despiciendo a correta identificação de um modelo de implementação personalizado e profissional.
Artigo está em conformidade com o novo Acordo Ortográfico
Mais artigos do Autor
Um caminho por descobrir
02.07.2020
As lições que não deveremos esquecer…
14.05.2020