Os colaboradores de uma organização agem em nome dela e garantir que todos os colaboradores conhecem o RGPD para poderem atuar em conformidade é uma responsabilidade das organizações!
As coimas devidas por contraordenações (divididas entre graves e muito graves), têm como máximo 20 milhões de euros ou 4% da faturação mundial, para os casos mais gravosos.
Por outro lado, as ações de incumprimento do RGPD podem constituir crime, abrangendo os representantes das empresas, trabalhadores e DPO.
Mas como podem as empresas preparar-se?
Algumas boas práticas são aconselhadas e que se devem centrar nos seguintes temas:
Governance – responsabilização das empresas ou entidades na verificação do cumprimento do RGPD e da existência de documentação que evidencie tal cumprimento (elaboração de políticas, procedimentos, registo de atividade de tratamento de dados);
Sistema de informação – reforço das medidas de segurança e da interoperabilidade dos sistemas (política de segurança de informação, plano de continuidade de negócio);
Relacionamento com terceiros e prestadores de serviços – maior responsabilização na escolha de terceiros parceiros e necessidade de celebração de contratos com conteúdos específicos (prevendo a limitação do tratamento à execução do contrato, definição das medidas de segurança, entre outros aspetos);
Gestão de pessoas – formação interna e sensibilização de todos aqueles que intervêm no ciclo de vida do tratamento de dados na empresa;
Gestão da relação com clientes – reforço do direito dos titulares dos dados e capacidade da organização garantir o seu cumprimento;
Relação com a CNPD – assegurando a compilação de documentação de evidências do cumprimento do RGPD, AIPD’S (auditorias de impacto na proteção de dados) e interação em caso de ocorrência de violações de dados pessoais.
O RGPD deve ser visto como uma OPORTUNIDADE para as empresas reverem algumas matérias que nem sempre estão em primeiro plano.
Há, assim, que atentar em 4 aspetos:
LEGAL – Políticas internas, Regulamentos, contratos, formulários e estaremos a trabalhar no compliance;
PROCESSOS – Redesenho de fluxos e de procedimentos e estaremos a estudar processos de eficiência;
TECNOLOGIA – Política de segurança de informação e estaremos a trabalhar a robustez dos sistemas informáticos;
FORMAÇÃO INTERNA – assegurando a partilha de conhecimento com todos os colaboradores
E que obrigações devem as empresas cumprir?
- Ter devidamente publicitadas as políticas de proteção de dados, de segurança de informação e formação em proteção de dados
- Tratar os dados recolhidos apenas para finalidades determinadas, explícitas e legítimas
- Implementar os princípios de “privacy by design” e o “privacy by default”
- Prestar informação aos titulares dos dados
- Obter o consentimento dos titulares para finalidades de tratamento específicas
- Garantir os direitos de acesso, retificação, apagamento e oposição
- Assegurar os direitos de limitação do tratamento e portabilidade dos dados
- Implementar as adequadas medidas de segurança (incluindo controlo de acesso de pessoas)
- Conservar os dados apenas pelo período necessário
- Efetuar registos das atividades de tratamento de dados
- Realizar “privacy impact assessments” (AIPD’S)
- Designar o Data Privacy Officer, quando exigido
- Notificar violações de dados e de incidentes de segurança
- Celebrar contratos escritos com os prestadores de serviços e adoptar os devidos cuidados na sua seleção
- Pedir, nos casos aplicáveis, consulta prévia à CNPD para os tratamentos de dados
- Realizar auditorias de conformidade e adotar políticas
- Formar /sensibilizar todos os Colaboradores que recolhem, tratam ou acedem a dados pessoais das regras a cumprir no âmbito da proteção de dados e da confidencialidade
Eccelente
Obrigada pelo seu comentário. Esteja atento para mais artigos de opinião.