O mundo vive um momento de absoluta exceção: a pandemia de COVID-19 está a obrigar empresas e instituições a reformularem o seu quotidiano de trabalho de forma drástica.
Com muitos dos seus trabalhadores impedidos de prestarem trabalho na forma habitual, esta pode ser a altura ideal para implementar o RGPD, isto é, aproveitar uma fase de limitação da atividade normal para colocar as organizações em conformidade com o RGPD. Aquele argumento da falta de tempo / disponibilidade pode agora ser afastado em prol de tarefas necessárias rumo à conformidade com o RGPD.
Os próximos artigos refletirão isto mesmo, a estratégia de implementação aproveitando a experiência que a F3M tem alcançado nos seus trabalhos sobre esta matéria.
A implementação do RGPD é um processo que exige método e rigor. Não deve ser trabalho de uma só pessoa, mas uma tarefa de equipa que complemente em si áreas e saberes fundamentais à conformidade com o RGPD.
A salvaguarda de dados pessoais, como preconiza o REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), é uma tarefa transversal à organização. Os dados pessoais, estejam eles em formato físico ou digital, devem obedecer a um rigoroso método de tratamento que potencie a diminuição do risco de uso indevido dos mesmos e que o seu titular esteja o mais consciente possível dos seus direitos e das operações de tratamento realizadas.
Posto isto, é fundamental dar passos sólidos na implementação das medidas de salvaguarda de dados pessoais.
Passo 1: Ninguém consegue trabalhar sobre algo que desconhece!
É necessário capacitar a equipa de trabalho. Dar-lhe formação para que conheça o Regulamento e a tipologia de medidas a implementar.
Paralelamente, é fundamental sensibilizar toda a organização para este tema. Quando partirmos para o trabalho de terreno é fundamental todos estarem conscientes das implicações do Regulamento e das responsabilidades de cada um no seu cumprimento.
Não há empresas de formação com certificação específica para ministrar formação em RGPD. Contudo, deve existir uma atenção especial em recorrer a uma empresa que tenha experiência de formação, e mais do que isso, de implementação do RGPD. É esta experiência que vai definir a qualidade da informação transmitida. Não basta conhecer o Regulamento, é necessário ter experiência de terreno para transmitir com maior qualidade e sustentação as suas implicações.
Passo 2: Já sei o que é o RGPD! Conheço a minha organização?
Ninguém pode trabalhar sobre algo que não conhece. Se é fundamental conhecer o Regulamento, não menos fundamental é conhecer a organização. Por isso, esta etapa é a chave do sucesso da implementação do RGPD: quanto mais cuidada, pormenorizada e rigorosa for esta etapa, melhor será o resultado alcançado e, logo, a conformidade com o RGPD.
Então, vejamos: Como estamos organizados? Que funções existem? Como estão definidas as responsabilidades? Como funcionam os canais internos de comunicação? Qual o objeto do nosso trabalho? Que legislação regula a nossa atividade? Existem conflitos entre esta e o RGPD? Que dados pessoais tratamos? Tratamos dados sensíveis? Qual o seu formato? Como os tratamos? Como garantimos a licitude do seu tratamento? Quem tem acesso? Há controlo de acesso? Onde são guardados? Que condições físicas existem que limitem os riscos de tratamento de dados pessoais? Quem garante e como garante a segurança da informação? Com quem partilhamos dados pessoais? Que entidades assumem para nós a responsabilidade pelo tratamento dos dados pessoais? Garantimos que todas as entidades que interagem connosco cumprem os requisitos de segurança no acesso e tratamento da informação? Como está desenhada a nossa infraestrutura tecnológica? E os softwares utilizados? Realizamos cópias de segurança? Como as fazemos? Temos antivírus, firewall, …? No final das operações de tratamento os dados são eliminados? Como os eliminamos? Informei o titular dos seus direitos? Como garanto o cumprimento dos seus direitos? Contratos, site, formulários, …
Sei o que fazer e com quem comunicar uma eventual violação de dados pessoais?
Conseguimos ficar com uma ideia do trabalho que nos espera?!
Autor: Filipe Cruz
Vou implementar o RGPD. O que devo fazer?
DM
25 março 2020