GDPR, ou oficialmente, o Regulamento Geral de Protecção de Dados 2016/679 entrará em vigor no dia 25 de Maio de 2018.
Reformular - isto significa que tem agora menos de dezanove meses para se preparar para o que é o maior abalo na protecção de dados na última década. Portanto, as empresas, os seus empregados e terceiros terão menos de dezanove meses para se prepararem para uma perturbação significativa na forma como armazenam, gerem e processam os dados pessoais.
Então, como empresa, como se pode ver a madeira para as árvores? Em que se deve concentrar e se as classificar numa lista prioritária de 5 coisas que, como empresa, deve fazer, quais seriam?
- Compreender o âmbito do GDPR
- Compreender o âmbito do GDPR
Em termos mais simples, a principal diferença entre o antigo regulamento de protecção de dados e o novo regulamento do PIBR é a idade. Como muitos dos nossos antepassados, o primeiro nasceu durante uma geração anterior, antes da ascensão da Internet, Facebook e Google, por exemplo. O novo regulamento tem um âmbito alargado que é de grande alcance.
Em primeiro lugar, para qualquer empresa que processe dados pessoais de cidadãos da UE ou monitorize o seu comportamento, ou que possa ter pessoal a operar na UE, será exigida a conformidade com a GDPR. A GDPR também tem um alcance territorial extra e, portanto, se for uma organização fora da UE que nem sequer tem uma presença física na UE, a GDPR pode ainda assim aplicar-se.
- Identificar a Imposição de outras obrigações
A GDPR exige transparência na prestação de informações aos indivíduos relativamente ao tratamento dos seus dados pessoais. É essencial que as organizações revejam os seus avisos e políticas de privacidade para assegurar que todas as informações necessárias sejam fornecidas aos indivíduos.
No entanto, o consentimento continua a ser um dos motivos para o processamento posterior no âmbito do novo Regulamento, existe agora um limiar mais elevado do que antes. Dado o limiar mais elevado, as organizações devem concentrar-se na obtenção de um acordo claro e desagregado com o cliente, se quiserem confiar nesta justificação para o processamento. É igualmente de salientar que a prova ou prova deste consentimento é fundamental e, como tal, o registo e a retenção de registos deve ser de um padrão superior.
- Sensibilizar para os direitos conferidos à pessoa em causa
A GDPR introduziu alguns direitos novos e reforçados significativos para os indivíduos no que diz respeito aos seus dados pessoais. Os sujeitos dos dados têm o direito de aceder, portar, restringir e opor-se ao tratamento dos seus dados pessoais. Os sujeitos de dados podem também exigir a portabilidade dos seus dados pessoais para eles ou directamente a um novo fornecedor num formato interoperável e legível por máquina. Isto aplica-se quando os dados tenham sido fornecidos pelo Sujeito dos Dados ao Controlador, processados automaticamente ou processados com base no consentimento ou cumprimento de um contrato. Para qualquer organização, o direito de portar dados pessoais é um direito que requer planeamento e preparação para que os seus funcionários possam ter todos os recursos necessários à sua disposição para lidar com tais pedidos.
- Educar, Educar, Educar ou ser repreendido
Nos termos da actual Directiva de Protecção de Dados, existe uma grande variação entre os Estados-Membros em matéria de sanções financeiras. Em contraste, ao abrigo da nova legislação GDPR, os poderes de aplicação da legislação serão significativamente aumentados ao abrigo da GDPR, incluindo as multas que podem ser cobradas, que atingem um pico de 20 milhões de euros ou 4% da receita total mundial.
Dadas as multas substanciais que podem ser impostas, as organizações devem investir tempo e recursos para cumprir o GDPR. Isto inclui a educação de todas as partes interessadas, desde Executivos a Processadores Terceiros que influenciam a sua capacidade de atingir e manter o cumprimento da GDPR.
- Abordar de frente a GDPR e avançar com urgência
Para citar Leonardo da Vinci: "Fiquei impressionado com a urgência de fazer. Saber não é suficiente. Temos de nos candidatar". Este é o tipo de liderança de pensamento que as organizações devem ter se quiserem abordar a GDPR.
Uma cultura de conformidade é fundamental para o sucesso da sua organização quando se trata de abordar o GDPR, a formação do pessoal e políticas claras devem estar em vigor. Isto também abordará a necessidade das disposições de responsabilização da GDPR. Os processos de gestão de incidentes de privacidade devem ser claros e concisos e as políticas internas relacionadas devem ser revistas para assegurar que as violações de dados sejam tratadas imediatamente e através do processo correcto.
Está interessado em planear a sua abordagem ao cumprimento da GDPR o mais cedo possível e em obter a adesão dos principais interessados na sua organização?
Se precisar de ajuda com o seu projecto GDPR, colaborámos com especialistas na matéria para produzir GDPR para a Dummies em associação com Wiley, a marca oficial da Dummies. Pode reclamar a sua cópia gratuita aqui.
A MetaCompliance concebeu e criou cursos de eLearning que podem ajudar a sua organização a sensibilizar os funcionários, ao mesmo tempo que envolve a direcção de topo para assegurar a sua adesão. Contacte a MetaCompliance e saiba como a sua Cyber Security & eLearning Library and Awareness Services pode ajudá-lo a construir a conformidade da GDPR na sua organização do ponto de vista da Privacidade da Informação e Segurança da Informação.