Prepara-te para o RGPD.

Se fazes negócios em qualquer parte do mundo, há uma boa probabilidade de a tua organização processar dados sobre indivíduos no contexto da venda de bens ou serviços a cidadãos de um país da União Europeia (UE). Se for esse o caso, terás de cumprir o Regulamento Geral sobre a Proteção de Dados (RGPD). O que é o GDPR? É um regulamento destinado a reforçar e unificar a proteção de dados dos indivíduos na UE. Foi aprovado e adotado pelo Parlamento Europeu em abril de 2016 e entrará em vigor em maio de 2018.

Assegurar a conformidade com o RGPD, que se destina a reforçar e unificar a proteção de dados dos indivíduos na União Europeia, implica mais do que apenas ligar um interrutor. E quer a tua empresa esteja localizada na UE ou não, se processar dados sobre indivíduos no contexto da venda de bens ou serviços a cidadãos de um país da UE, a tua empresa terá de estar em conformidade.

Os dados a que se refere incluem qualquer informação relacionada com uma pessoa que possa ser utilizada para identificar direta ou indiretamente essa pessoa. Pode ser qualquer coisa, desde:

  • um nome,
  • uma fotografia,
  • um endereço de correio eletrónico,
  • dados bancários,
  • publica em sites de redes sociais,
  • informações médicas,
  • endereço IP do computador.

Aqui tens três estratégias para dar início ao processo:

  1. Processa os teusprocessos: Dedica algum tempo a refletir sobre os teus processos actuais e como devem ser modificados para cumprir as normas do RGPD. Realiza uma auditoria interna para avaliar os processos, sistemas, pessoal interno e terceiros que estão em vigor ou que têm de ser implementados para garantir a conformidade com a segurança dos dados. Determina como trabalham em conjunto para estabelecer fluxos de trabalho formais. Cria um processo para lidar com problemas e acções relacionadas, incluindo notificações de violação. Prepara planos de ação pormenorizados para resolver quaisquer lacunas identificadas na segurança dos dados.
  2. Dá prioridade às pessoas: Nomeia um responsável pela proteção de dados que possa estabelecer a responsabilidade pela segurança dos dados e pela formação do pessoal. Além disso, quando estiver a avaliar os fluxos de trabalho actuais e futuros, presta especial atenção a quem tem de estar envolvido em que dados ou processos e quando. Compreender os papéis que os indivíduos desempenham e quando entram em cena é importante para estabelecer uma cadência fluida de comunicações e fluxos de trabalho em torno da segurança dos dados.
  3. Escolhe as ferramentas com sabedoria. Infelizmente, as pessoas não são suficientes. Se a enorme tarefa de estar em conformidade com o RGPD até maio de 2018 exigir que desvie recursos de outras áreas da sua empresa, pode estar a colocar a sua empresa em risco de outras formas. Avalia se dispões de tecnologia, ou se precisas de investir em tecnologia, para te ajudar a estar em conformidade e a ser eficiente ao mesmo tempo.

A tecnologia certa deve ser capaz de o ajudar a implementar estas três estratégias com facilidade e eficiência. Essa tecnologia deve ser fácil de utilizar, flexível e, mais importante, integrada, para satisfazer as exigências de conformidade da empresa em matéria de segurança dos dados. Se atualmente utilizas tecnologia de gestão de riscos ou estás a pensar em investir num sistema deste tipo, este poderá já ter as capacidades de que necessitas, incluindo:

  • Interação regulamentar: As interações com as partes interessadas internas e regulamentares podem ser geridas no âmbito da solução para obter uma visão completa das necessidades de segurança dos dados num único local.
  • Gestão de contratos e políticas empresariais: A solução pode servir como um repositório central para todos os contratos e políticas?
  • Gestão contínua de pedidos de partilha de dados: Consegues automatizar os processos de pedidos de partilha de dados de forma eficiente, com passagens baseadas em contratos de partilha de dados existentes?
  • Gestão e governação dos pedidos de dados: Consegues gerir os pedidos de informação?
  • Gestão do risco dos fornecedores: Consegues gerir terceiros e os seus requisitos e avaliações contínuos de acesso à segurança dos dados?
  • Relatórios e painéis de controlo: A solução pode fornecer análises abrangentes e uma pista de auditoria das actividades de segurança de dados na organização para monitorização/avaliação contínua e necessidades regulamentares, conforme necessário?

Tem cuidado para não investires tempo, energia e gastos numa solução de conformidade única. Em vez disso, considera a tecnologia de gestão de riscos para toda a empresa, que também pode incluir o RGPD em todos os outros riscos. Para saber mais sobre o RGPD e as estratégias para manter a sua empresa em conformidade, lê o nosso livro branco.

Existe uma abordagem faseada para as multas e as organizações podem ser multadas até 4% (20 milhões de euros) do volume de negócios anual global por violarem o RGPD. Esta é a coima máxima que pode ser imposta para as infracções mais graves, como não ter consentimento suficiente do cliente para processar dados ou violar os conceitos fundamentais. As infracções menos graves têm uma coima máxima de 10 milhões de euros. É importante notar que estas regras se aplicam tanto aos responsáveis pelo tratamento como aos subcontratantes, o que significa que as “nuvens” não ficarão isentas da aplicação do RGPD. Existe uma disposição para acções colectivas e processos individuais, dependendo da violação.

Para além das coimas e sanções, há também que considerar o custo da conformidade. Por exemplo, se todos os visitantes da UE de um parque temático americano nos últimos anos pedissem para apagar os seus dados, a empresa proprietária do parque poderia ser obrigada a gastar uma fortuna para identificar todos os clientes e as fotografias que lhes foram tiradas nos sistemas do parque e apagá-las.

Como tendência geral, o ambiente regulamentar está a tornar-se mais complexo e prescritivo. Reconhece-se que os dados são um ativo e, por isso, a atenção aos dados continuará a aumentar. A pouco menos de seis trimestres da entrada em vigor do regulamento, o tempo é crítico e as empresas devem começar a planear o RGPD agora. Sabe mais sobre a preparação para o RGPD no nosso livro branco.