A maioria de nós, que operamos em empresas que processam dados pessoais, já temos conhecimento da bomba que é a "GDPR". Este tão esperado regulamento de protecção de dados entrará em vigor dentro de apenas doze meses, em 25 de Maio de 2018. Para muitas organizações, há uma grande questão sobre a melhor forma de iniciar uma campanha de preparação da GDPR e em que áreas-chave se deve concentrar. Pode parecer uma tarefa assustadora, tendo em conta que as consequências do não cumprimento dos requisitos são tão graves: isto é, multas até ao valor de 20 milhões de euros ou 4% do volume de negócios anual global.
Mas não temam! Criámos um guia rápido contendo os cinco maiores desafios que muitas empresas enfrentam ao iniciar uma campanha GDPR, completo com conselhos sobre a melhor forma de os ultrapassar.
1. Sensibilização para a GDPR em toda a organização
Os nossos conselhos: Conseguir a participação de actores-chave e construir um plano de sensibilização.
Como diz o velho ditado: Não preparar, preparar para falhar. Assegure-se de que os decisores e os principais intervenientes na sua organização estão conscientes de que a lei está a mudar e garanta a adesão de altos funcionários. Será de grande benefício para si ter um patrocinador executivo cuja função será defender a campanha e assegurar o seu bom desenrolar.
Para dar início ao seu projecto GDPR, recomendamos também que comece por consultar o registo de riscos da sua organização, caso tenha um. Caso contrário, será uma ferramenta útil para compilar quando iniciar a sua viagem GDPR.
Recordar o tempo é essencial. Comece o mais cedo possível para evitar qualquer pânico de última hora e utilize o ano seguinte para aumentar a sensibilização para as mudanças que estão a chegar. O nosso curso de eLearning GDPR é um óptimo local para começar quando criar consciência entre os seus empregados.
2. Avaliar os métodos actuais de processamento de dados e ajustá-los para satisfazer as expectativas do GDPR
Os nossos conselhos: Comece por identificar e registar os dados pessoais que possui, de onde vieram e com quem os partilha. Documente também quaisquer medidas de conformidade já em vigor.
Recomendamos a realização de uma auditoria de informação. Por exemplo, se tiver dados pessoais incorrectos e os tiver partilhado com outra organização, terá de informar a outra organização para que esta possa alterar os seus próprios registos. Por conseguinte, saber que informação possui e para que fim a está a utilizar é fundamental. É também importante acompanhar as alterações que fizer a quaisquer actividades de processamento de dados para alcançar a conformidade com a GDPR. Ao fazê-lo, ajudará a provar a conformidade com o princípio de responsabilização da GDPR.
3. Nomeação de um responsável pela protecção de dados
Os nossos conselhos: Determine se a nomeação de um RPD é um requisito obrigatório, ou desejável, para a sua organização. O ideal seria que alguém fosse identificado para assumir a responsabilidade pelo cumprimento da protecção de dados, tendo em conta que o risco de uma violação ao abrigo do GDPR implica uma multa tão pesada.
As organizações que terão de nomear um RPD incluem autoridades públicas e aquelas cujas actividades envolvem o controlo regular e sistemático das pessoas em causa em grande escala. É importante assegurar que alguém da sua organização, ou um consultor externo em matéria de protecção de dados, assuma plena responsabilidade pelo seu cumprimento em matéria de protecção de dados. As principais qualidades necessárias para o papel incluem ter o conhecimento, apoio e autoridade para gerir eficazmente a protecção de dados.
É também aconselhável que se elabore um quadro de comunicação assim que tiver nomeado o seu RPD. Isto deverá identificar quem irá reportar a quem e onde esta função se situará dentro da estrutura da sua organização para evitar qualquer confusão.
4. Implementação de novos métodos de tratamento de dados
Os nossos conselhos: Documente e implemente novas políticas e procedimentos de conformidade e forme a sua equipa de processamento de dados de acordo com estas novas medidas. Rever todos os contratos existentes e consentir e actualizá-los de acordo com o GDPR.
Estes devem considerar alterações fundamentais, incluindo informações sobre privacidade, direitos individuais reforçados e Pedidos de Acesso ao Assunto, bem como consentimento.
Reveja os seus actuais avisos de privacidade e crie um plano para fazer quaisquer alterações necessárias a tempo para a implementação da GDPR.
Verifique os seus procedimentos para assegurar que cobrem todos os novos direitos reforçados que os indivíduos têm sob GDPR, incluindo a forma como apagaria dados pessoais ou forneceria dados electronicamente e num formato comummente utilizado.
Actualize os seus procedimentos e planeie a forma como lidará com os pedidos de acesso ao assunto dentro do novo prazo de um mês.
Reveja como procura, obtém e regista o consentimento e se precisa de fazer quaisquer alterações. Lembre-se de documentar todas as alterações efectuadas. Tenha também em mente que a GDPR também irá alterar a forma como os dados pessoais pertencentes a crianças serão processados. É aconselhável começar agora a pensar em que sistemas pode pôr em prática para verificar as idades dos indivíduos e recolher o consentimento dos pais ou tutores para a actividade de processamento de dados.
5. Identificação e compreensão de como lidar com uma violação de dados
Os nossos conselhos: Ter em vigor procedimentos claros de notificação de violação de dados que lhe permitam detectar e comunicar a violação dentro do novo prazo de 72 horas.
Criar um registo interno de violação de dados para registar e acompanhar a investigação de quaisquer violações que ocorram. É também importante avaliar quais os dados na sua posse que exigirão notificação caso ocorra uma violação.
Assegure-se de que os seus parceiros e fornecedores são claros quanto às suas responsabilidades em fornecer-lhe notificações de todas as potenciais e confirmadas violações no seu fim.
Ainda sobrecarregado? Não entrem em pânico! Ainda há tempo de ter o seu programa GDPR sob controlo. Porque não arranjar para falar com os nossos especialistas da indústria e descobrir as vantagens que o nosso novo produto 'MetaPrivacy ' lhe proporcionará ao preparar a sua organização para o cumprimento do GDPR. Temos também dois cursos de eLearning GDPR disponíveis para educar o nosso pessoal e ajudar a sua campanha de sensibilização para o GDPR.
