RGPD
O RGPD-Regulamento Geral de Proteção de Dados (Regulamento Europeu 2016/679) será aplicável a partir de 25 de Maio de 2018 em todos os Estados-Membros. Considerando as novas obrigações e procedimentos constantes deste diploma, a contagem decrescente para garantir a conformidade com o regulamento já começou.
As coimas pelo não-cumprimento do regulamento poderão atingir 10 milhões de euros ou 2% do volume de negócios, no caso de violações de menor gravidade e para casos mais graves, 20 milhões de euros ou 4% do volume de negócios.
A IIAAP disponibiliza os seus serviços de consultoria especializada para apoiar as empresas.
Adequação ao RGPD
As medidas a tomar para adequação ao RGPD são:
-
Informação aos titulares dos dados
-
Exercício dos direitos dos titulares dos dados
-
Consentimento dos titulares dos dados
-
Dados sensíveis
-
Documentação e Registo de actividades de tratamento
-
Contratos de subcontratação
-
Encarregado de protecção de dados
-
Medidas técnicas e organizativas e segurança do tratamento
-
Protecção de dados desde a concepção e avaliação de impacto
-
Notificação de violações de segurança
Como implementar?
Para adequar ao novo regulamento, a IIAAP estrutura os seus serviços em 3 etapas - Levantar, Analisar e Implementar.
Na implementação do RGPD, serão utiliza-dos diversos procedimentos e técnicas para atingir os objectivos pretendidos, nomeadamente entrevistas com os principais responsáveis da empresa e a verificação prática e a análise qualitativa da informação existente.
Será efectuada uma avaliação de conformidade em cada área de actividade da empresa.
Para determinar o estado actual do sistema teremos como base um conjunto de processos, definições e tarefas necessárias para alcançar o alinhamento com o RGPD.
Serão desenvolvidas Matrizes para Avaliação do Risco e será criada a Avaliação de Impacto de Privacidade (PIA) para fundamentar as alterações e a nova forma de funcionar de alguns fluxos e procedimentos.
Objectivo: organização e pessoas preparadas para o novo regulamento através de um Sistema de Gestão do RGPD.
Duração do Projecto?
A duração do projecto irá sempre depender da complexidade da actividade da empresa, do volume e variedade de dados pessoais utilizados nas suas operações, do estado de maturidade da empresa em termos organizacionais, da adequabilidade e flexibilidade dos sistemas de informação e da disponibilidade de todos os intervenientes. Estimamos que a duração de um projecto destes poderá ser de 1,5 meses a 15 meses distribuídos de acordo com as seguintes etapas:
-
LEVANTAR: De 1 a 4 Semanas
-
ANALISAR: De 1 a 10 Semanas
-
IMPLEMENTAR: De 1 a 12 Meses
Continuidade
Terminado o projecto, as empresas terão que garantir a continuidade da conformidade com o RGPD. Para o efeito, deverão ser efectuadas periodicamente auditorias para avaliar o estado de conformidade na actividade da empresa. Por outro lado, irão surgir necessidades de adaptação dos processos e procedimentos devido a novas necessidades do negócio as quais deverão ter sempre como princípios a "Privacy by Design" e a "Privacy by Default".
O processo de continuidade deverá ser sempre tratado como sendo um processo de melhoria contínua, medindo, avaliando e implementando.
Não sendo obrigatório para todas as organizações, a presença de um encarregado pela protecção dos dados (DPO) pode ser o garante de que o RGPD continuará presente em todas as acções das organizações na continuidade.
A IIAAP disponibiliza serviços para a continuidade, seja na realização das auditorias periódicas, seja na disponibilização de serviços de apoio ao DPO com base numa avença.