Com o mundo a tornar-se um planeta cada vez mais interligado, a enorme escala de dados pessoais agora partilhada por todo o mundo forçou a UE a rever a sua legislação de protecção de dados para assegurar que os direitos fundamentais dos povos, em relação aos dados, sejam robustamente protegidos.
As organizações estão sempre a lidar com informação pessoal altamente sensível, e é por isso que é extremamente importante que os responsáveis pelo controlo legal compreendam realmente o novo regulamento e a forma como este irá funcionar na prática.
O Impacto da GDPR para o Departamento Jurídico
Com a GDPR é fundamental reconhecer que o cumprimento é uma responsabilidade partilhada e que simplesmente não é suficiente restringir a responsabilidade a um indivíduo ou departamento. Todas as organizações que lidam com informação pessoalmente identificável precisam de estabelecer processos que proporcionem uma maior colaboração entre as funções empresariais.
O GDPR é um dos quadros legais mais significativos a ser implementado nos últimos anos. Regras bem estabelecidas sobre privilégios legais e confidencialidade significam que os departamentos jurídicos detêm quantidades significativas de dados comerciais sensíveis.
Isto inclui os dados pessoais dos empregados e clientes, bem como dados financeiros e informações sensíveis sobre clientes empresariais. As melhores práticas afirmam que o Conselho Empresarial e os Chefes dos Departamentos Jurídicos devem assegurar a aplicação de medidas de segurança adequadas.
Requisitos para o Conselho Empresarial
O novo regulamento traz consigo requisitos organizacionais, medidas de responsabilização, requisitos de notificação de violação e avaliações do sistema de processamento, e, o mais crucial, limitações específicas em torno da transferência de dados pessoais para países terceiros que não são considerados como fornecendo requisitos de protecção de dados suficientemente robustos.
Do ponto de vista jurídico, existe uma regulamentação mais rigorosa sobre o que constitui "consentimento" e com a GDPR, o consentimento deve ser explícito. Esta é uma componente chave da GDPR que reforçou os direitos dos indivíduos no que diz respeito à caracterização, portabilidade dos dados, processamento de dados, e acesso do sujeito.
Para assegurar que o Corporate Counsel está em conformidade com a GDPR, eles devem:
1. Rever as políticas de protecção de dados existentes para garantir a sua conformidade com os novos regulamentos
2. Elaborar um relatório de impacto do GDPR para ver como irá afectar as políticas e processos existentes
3. Demonstrar a gestão de dados pessoais de forma a cumprir os regulamentos
4. Se necessário, nomear um encarregado da protecção de dados (RPD). Isto é necessário se a sua empresa ou departamento jurídico estiver a oferecer bens e serviços a, ou a recolher os dados dos sujeitos da UE
5. Rever o consentimento e os avisos de tratamento justo para alinhar com a GDPR
6. Identificar uma base legal antes de poder processar dados pessoais
7. Assegurar que todos os empregados que lidam com o processamento de dados pessoais estão cientes do novo regulamento e das alterações que o seu departamento jurídico terá de implementar como resultado.
Alguns departamentos jurídicos têm sido lentos a aceitar que uma boa segurança de dados começa com os advogados e pessoal administrativo que utilizam e gerem os dados da empresa no dia-a-dia. Não se deixe enganar por pensar que se trata de um problema informático. A protecção de dados é firmemente um conceito legal e a pista está contida na palavra "protecção".
Os Positivos
O rastreio de informação pessoalmente identificável e a manutenção dos sujeitos dos dados informados de quaisquer requisitos de descoberta contínua são também necessários para que o aconselhamento jurídico alcance a conformidade com a GDPR dentro de um contexto de descoberta electrónica.
Só dispondo de procedimentos e políticas bem definidos da GDPR, para o processamento de dados pessoais, é que o Corporate Counsel será capaz de reagir a litígios rápidos, ou a pressões de reguladores internacionais.
Este desenvolvimento de novas competências organizacionais gira em torno da capacidade de ser mais ágil, orientado para as pessoas, inovador e centrado no cliente. A GDPR é um regulamento de base que está na base desta transformação digital. É importante que a GDPR e a gestão da privacidade sejam incorporadas em projectos chave de transformação organizacional.
O resultado final é que as equipas de Corporate Counsel e Legal terão de manter um breve resumo sobre os projectos digitais existentes e novos dentro da organização. Parece que a GDPR vai tornar a vida um pouco mais complicada durante os próximos 18 meses.