À medida que nos aproximamos do aniversário de um ano da implementação do RGPD, muitas organizações ainda estão a lutar para conseguir cumprir a legislação histórica.

De facto, um estudo recente realizado pela Forrester revelou que mais de metade dos inquiridos não tinha tomado todas as medidas necessárias para atingir a conformidade, apesar de o prazo de maio ter sido ultrapassado.

O cumprimento da legislação revelou-se muito mais difícil do que algumas organizações tinham inicialmente previsto. Muitas vezes, há enormes quantidades de dados espalhados por uma grande variedade de plataformas, pontos de acesso intermináveis e um aumento dos pedidos de dados que colocaram uma pressão extra sobre as organizações que se esforçam por pôr a casa em ordem.

Demonstrar a conformidade com o RGPD é um processo contínuo e as organizações terão de identificar e abordar continuamente os riscos de privacidade e segurança para garantir que estão do lado certo da lei e não são responsáveis pelas grandes coimas que podem ser impostas em resultado do incumprimento.

Desde maio do ano passado, foram aplicadas 91 coimas por violações do RGPD, mas a coima de 50 milhões de euros aplicada à Google surge como a maior até à data. As organizações de maior dimensão foram as mais afectadas pelas sanções financeiras, mas para a maioria das empresas, o impacto ainda não se fez sentir.

No entanto, as consequências do incumprimento são muito reais e, se as organizações não cumprirem a legislação, podem enfrentar multas pesadas, danos à reputação e um risco acrescido de ataques informáticos.

No entanto, há uma série de medidas que as organizações podem tomar para garantir que estão no caminho certo para a conformidade com o RGPD:

Principais dicas para a conformidade com o GDPR

1. Realiza auditorias e avaliações de risco regulares

Realiza auditorias e avaliações de risco regulares

O GDPR especifica que as organizações devem realizar auditorias regulares das actividades de processamento de dados e cumprir um conjunto de princípios de proteção de dados que ajudarão a salvaguardar os dados. As organizações terão de determinar:

  • Que dados estão a ser recolhidos?
  • Onde é que os dados são obtidos?
  • Porque é que os dados estão a ser recolhidos?
  • Como é que é processado?
  • Durante quanto tempo são conservados os dados?
  • Para onde são transferidos os dados?
  • Necessitas de todos os dados?
  • Quem tem acesso aos dados?

Para evitar violações de dados, as organizações devem minimizar o acesso a dados sensíveis e reduzir o número de locais onde os dados são fisicamente armazenados.

Através da realização de auditorias regulares, as organizações podem garantir a existência de um quadro adequado para manter seguras as informações pessoalmente identificáveis dos clientes e atenuar quaisquer riscos.

2. Formação de sensibilização do pessoal

formação de sensibilização do pessoal

O RGPD estabelece que os funcionários devem receber regularmente formação de sensibilização para a segurança da informação. Esta formação é fundamental para garantir que os funcionários estão informados sobre as políticas da empresa, os regulamentos e os requisitos legais que se aplicam à sua função quotidiana.

As organizações têm de provar que o pessoal leu e compreendeu as políticas do RGPD. A capacidade de fornecer estas provas coloca as organizações numa posição forte para demonstrar que a “privacidade” se tornou uma parte integrante da sua atividade diária.  A formação em linha é uma das melhores formas de garantir que o pessoal compreende plenamente a política do RGPD.

3. Implementa um sistema eficaz de gestão de políticas

Implementa um sistema de gestão de políticas

A conformidade pode revelar-se uma tarefa impossível utilizando os métodos de comunicação existentes, como o correio eletrónico e a intranet da empresa. No entanto, através da utilização de  com o software de gestão de políticas, as organizações podem simplificar os processos internos, demonstrar a conformidade com os requisitos legislativos e visar eficazmente as áreas que apresentam o maior risco para a segurança dos dados.

Um sistema de gestão de políticas fornece às organizações uma solução centralizada e fácil de utilizar para criar, armazenar e distribuir documentos importantes sobre políticas. Um sistema de gestão de políticas eficaz terá um método consistente de criação de políticas, adiciona estrutura aos procedimentos da empresa e facilita o controlo da conformidade.

4. Cria um plano de resposta a incidentes

plano de resposta a incidentes

De acordo com o RGPD, todas as organizações devem divulgar quaisquer violações de dados pessoais à autoridade de controlo relevante no prazo de 72 horas após a deteção. Para cumprir eficazmente este pedido, as organizações têm de ter um plano que lhes permita responder a qualquer incidente de forma rápida, planeada e coordenada.

O plano deve indicar as medidas a tomar e os indivíduos específicos da organização devem ter funções e responsabilidades definidas para tomar decisões eficazes e gerir a situação em conformidade.

O estabelecimento de um plano de resposta a incidentes ajudará a educar e a informar o pessoal, a melhorar as estruturas organizacionais, a aumentar a confiança dos clientes e das partes interessadas e a reduzir qualquer potencial impacto financeiro na sequência de um incidente grave.

5. Defende todos os pontos de acesso

Defende os pontos de acesso

Para atingir a conformidade total com o RGPD, as organizações têm de garantir que todos os pontos terminais estão protegidos. Infelizmente, um grande número de violações de dados evitáveis resulta de sistemas não corrigidos. Novas vulnerabilidades são descobertas a toda a hora e, a menos que  se os patches forem aplicados, os hackers explorarão essas vulnerabilidades para invadir uma rede.

Para demonstrar a conformidade com os regulamentos, as organizações precisam de mostrar que tomaram todas as medidas necessárias para proteger os seus sistemas. Os auditores podem exigir relatórios sobre os patches aplicados e quando, pelo que é vital que as organizações disponham dos sistemas corretos para documentar com precisão os patches emitidos. Os patches são essenciais para manter as máquinas actualizadas, estáveis e protegidas contra malware e outras ameaças.

O MetaPrivacy foi concebido para fornecer a melhor abordagem prática à conformidade com a privacidade dos dados. Contacta-nos para obteres mais informações sobre como podemos ajudar a tua organização a melhorar a sua estrutura de conformidade.

AVISO LEGAL: O conteúdo e as opiniões deste blogue destinam-se apenas a fins informativos. Não se destinam a constituir aconselhamento jurídico ou outro aconselhamento profissional e não devem ser considerados ou tratados como substitutos de aconselhamento específico relevante para circunstâncias particulares, a Lei de Proteção de Dados ou qualquer outra legislação atual ou futura. O MetaCompliance não se responsabiliza por quaisquer erros, omissões ou declarações enganosas, ou por qualquer perda que possa resultar da confiança nos materiais contidos neste blogue.