A maior parte de nós, que trabalhamos em empresas que processam dados pessoais, estamos agora cientes da bomba que é o “RGPD”. Este regulamento de proteção de dados, há muito aguardado, entrará em vigor dentro de apenas doze meses, a 25 de maio de 2018. Para muitas organizações, existe uma grande dúvida sobre a melhor forma de iniciar uma campanha de preparação para o RGPD e quais as áreas-chave em que se devem concentrar. Pode parecer uma tarefa assustadora, tendo em conta que as consequências de não cumprir os requisitos são tão graves: isto é  multas até ao valor de 20 milhões de euros ou 4% do volume de negócios anual global.

Mas não tenhas medo! Criámos um guia rápido que contém os cinco principais desafios que muitas empresas enfrentam quando iniciam uma campanha do RGPD, com conselhos sobre a melhor forma de os ultrapassar.

1. Sensibilizar toda a organização para o RGPD

O nosso conselho: Reúne os principais intervenientes e constrói um plano de sensibilização.

Como diz o velho ditado: Se não te preparares, prepara-te para falhar. Assegura-te de que os decisores e as principais partes interessadas da tua organização estão cientes de que a lei está a mudar e garante a adesão dos níveis superiores. Será muito benéfico para ti ter um patrocinador executivo, cuja função será defender a campanha e garantir que ela decorra sem problemas.

Para dar o pontapé de saída do seu projeto RGPD, recomendamos também que comece por analisar o registo de riscos da sua organização, se tiver um. Se não o tiveres, será uma ferramenta útil para compilares quando iniciares o teu percurso no âmbito do RGPD.

Lembra-te que o tempo é essencial. Começa o mais cedo possível para evitar qualquer pânico de última hora e utiliza o ano seguinte para aumentar a sensibilização para as mudanças que se avizinham. O nosso curso de eLearning sobre o RGPD é um excelente ponto de partida para sensibilizar os teus funcionários.

2. Avalia os actuais métodos de tratamento de dados e ajusta-os de modo a satisfazer as expectativas do RGPD

O nosso conselho: Começa por identificar e anotar quais os dados pessoais que deténs, de onde provêm e com quem os partilhas. Além disso, documenta todas as medidas de conformidade já em vigor.

Recomendamos que efectues uma auditoria às informações. Por exemplo, se tiveres dados pessoais incorrectos e os partilhares com outra organização, terás de informar a outra organização para que esta possa alterar os seus próprios registos. Por conseguinte, é fundamental saber que informações deténs e para que fins as utilizas. Também é importante acompanhar as alterações que fazes a quaisquer actividades de processamento de dados para atingir a conformidade com o RGPD. Ao fazê-lo, ajudar-te-á a provar a conformidade com o princípio de responsabilidade do RGPD.

3. Nomear um responsável pela proteção de dados

O nosso conselho: Determina se a nomeação de um DPO é um requisito obrigatório, ou desejável, para a tua organização. Idealmente, deve ser identificado alguém que assuma a responsabilidade pela conformidade da proteção de dados, tendo em conta que o risco de uma violação ao abrigo do RGPD acarreta uma multa tão pesada.

As organizações que terão de nomear um RPD incluem as autoridades públicas e aquelas cujas actividades envolvem o controlo regular e sistemático dos titulares dos dados em grande escala. É importante garantir que alguém da sua organização, ou um consultor externo em matéria de proteção de dados, assuma toda a responsabilidade pela conformidade da proteção de dados. As principais qualidades necessárias para o cargo incluem ter os conhecimentos, o apoio e a autoridade para gerir eficazmente a proteção de dados.

Também é aconselhável definir um quadro de comunicação assim que tiveres nomeado o teu RPD. Este quadro deve identificar quem responde a quem e qual o lugar desta função na estrutura da tua organização, para evitar qualquer confusão.

4. Implementa novos métodos de tratamento de dados

O nosso conselho: Documenta e implementa novas políticas e procedimentos de conformidade e forma a tua equipa de processamento de dados de acordo com estas novas medidas. Revê todos os contratos e consentimentos existentes e actualiza-os de acordo com o RGPD.

Estas devem ter em conta as principais alterações, incluindo a informação sobre a privacidade, o reforço dos direitos individuais e os pedidos de acesso dos interessados, bem como o consentimento.

Analisa os teus avisos de privacidade actuais e cria um plano para fazer as alterações necessárias a tempo da implementação do RGPD.

Verifica os teus procedimentos para garantir que abrangem todos os novos direitos reforçados que as pessoas têm ao abrigo do RGPD, incluindo a forma como apagarás os dados pessoais ou fornecerás os dados por via eletrónica e num formato de uso corrente.

Actualiza os teus procedimentos e planeia a forma como tratarás os pedidos de acesso dos sujeitos dentro do novo prazo de um mês.

Revê a forma como procuras, obténs e registas o consentimento e verifica se é necessário fazer alterações. Não te esqueças de documentar todas as alterações efectuadas. Além disso, não te esqueças de que o RGPD também vai alterar a forma como os dados pessoais das crianças serão processados. É aconselhável começar a pensar desde já nos sistemas que podes implementar para verificar a idade dos indivíduos e para obter o consentimento dos pais ou tutores para a atividade de processamento de dados.

5. Identificar e compreender como lidar com uma violação de dados

O nosso conselho: Tem em vigor procedimentos claros de notificação de violação de dados que te permitam detetar e comunicar a violação dentro do novo prazo de 72 horas.

Cria um registo interno de violações de dados para registar e acompanhar a investigação de quaisquer violações que ocorram. Também é importante avaliar quais os dados que deténs e que requerem notificação caso ocorra uma violação.

Assegura-te de que os teus parceiros e fornecedores estão cientes das suas responsabilidades no que diz respeito à notificação de todas as violações potenciais e confirmadas do seu lado.

Ainda estás sobrecarregado? Não entres em pânico! Ainda há tempo para controlares o teu programa RGPD. Por que não marca uma reunião com  para falar com os nossos especialistas do sector e descobrir as vantagens do nosso novo produto A ‘MetaPrivacy’ irá fornecer-te quando preparares a tua organização para a conformidade com o RGPD. Também temos  dois cursos de eLearning sobre o RGPD disponíveis para formar o nosso pessoal e ajudar a tua campanha de sensibilização para o RGPD.