Segunda-feira, Novembro 25, 2024
InícioOpiniãoComo criar um Programa de Conformidade para RGPD em quatro passos

Como criar um Programa de Conformidade para RGPD em quatro passos

Por: Elsa Veloso, fundadora e CEO da DPO Consulting

Instituído em 2006 no Conselho da Europa, o Dia Internacional da Privacidade de Dados tem ganho dimensão a par com o tema, e surge como mote ideal para uma breve reflexão sobre a maturidade do tecido empresarial português nesta área.

O Regulamento Geral de Proteção de Dados (RGPD), que conta com a respetiva lei de execução nacional desde agosto do ano passado, veio uniformizar um conjunto de normas a serem garantidas pelas empresas europeias, independentemente da sua dimensão. As sanções, aplicáveis a entidades em incumprimento, podem atingir os 4% da faturação total da empresa.

Pese embora esta realidade, pelo que tenho observado através do contacto diário com as empresas nacionais, diria que existem ainda, à data de hoje, três níveis de maturidade no cumprimento da normativa em Portugal:

  • Nível I: regra geral, empresas multinacionais de grande dimensão, que já revelam domínio do RGPD e uma aplicação interna que garanta a sua conformidade;
  • Nível II: as PME, nas quais se verifica o maior espetro de oscilação na maturidade, mas que, globalmente, apresentam ainda muitas dúvidas relativamente às alterações, às implicações internas na estrutura organizacional e à aplicação das sanções;
  • Nível III: pequenas/microempresas que revelam ainda falta de preparação ou falta de conhecimento no que diz respeito às mudanças e ações a implementar.

As etapas descomplicadas para a sua empresa chegar ao nível I

Caso a sua empresa ainda se encontre no nível básico, é importante considerar a definição e implementação de um Programa de Conformidade para RGPD, o qual poderá ser realizado recorrendo a um processo simples e que se resume em quatro passos distintos:

  1. Auditoria e avaliação;
  2. Inventariação e mapeamento dos dados pessoais e análise de conformidade e avaliação de risco;
  3. Plano de ação;
  4. Implementação das ações preconizadas.

Para a auditoria e avaliação, é essencial conseguir uma visão global da organização e da sua conformidade. Para o fazer, as empresas deverão rever uma lista de formalidades em áreas como a Transparência (Política de Privacidade), Recolha e Limitação das Finalidade, Consentimento, Qualidade dos Dados, Gestão do Programa de Privacidade, Segurança no Contexto de Privacidade, prontidão e resposta à Violação de Dados, Direitos Individuais e Soluções. Uma vez concluída toda a inventariação e mapeamento dos dados pessoais, seguida da uma análise de conformidade e avaliação de risco, o terceiro passo é construir um plano atribuindo prioridades com base nos riscos e no nível de esforço para a empresa. Concluído o plano, podemos dar início ao quarto passo, a implementação de todas as medidas a instituir para a conformidade.

Antes de avançar para medidas concretas importará, contudo, recorrer a profissionais especializados e certificados neste tema da privacidade e proteção de dados para que possam clarificar as obrigações legais e reputacionais decorrentes. Avaliar a necessidade de contratação de um DPO, ou Encarregado de Proteção de Dados, seja enquanto colaborador interno ou através de um serviço de outsourcing, é parte deste processo.

O que é o Data Protection Officer?

O Data Protection Officer é um profissional com formação relevante e experiência na proteção de dados pessoais. Poderá desempenhar funções a tempo inteiro ou em part-time e ser um colaborador interno da empresa ou subcontratado via outsourcing. Este profissional deverá trabalhar diretamente com a gestão de topo e permanecer independente e protegido. As suas funções incluem o controlo da conformidade, o fornecimento de conselhos e orientações sobre questões de proteção de dados, incluindo, a repartição de responsabilidades, a sensibilização e formação das equipas, e auditorias correspondentes. Tem ainda responsabilidade sob a cooperação com a autoridade de controlo (CNPD) e constitui o ponto de contacto primário nestes temas.

No caso específico das PME, existe um conjunto de vantagens que se associam à subcontratação de um DPO externo ou, como é habitualmente designado, DPO as a service: tem uma função independente e com conhecimento de diferentes setores, o que lhe permite acesso às melhores práticas. Paralelamente, não cria dependências das empresas, permitindo maior distanciamento e aconselhamento mais isento, além de ter um custo associado consideravelmente inferior, um fator cada vez mais decisivo para as organizações.

PODE GOSTAR DE LER
Continue to the category
PUB

ÚLTIMAS NOTÍCIAS

NEWSLETTER

PUB

SUSTENTABILIDADE

Continue to the category