RGPD

A partir de 25 de Maio de 2018 as organizações têm a obrigação legal de estar em conformidade com o novo RGPD e deverão estar preparadas para satisfazer os direitos dos titulares dos dados e responder em menos de 72 horas a violações na privacidade dos dados pessoais.

O impacto do incumprimento poderá ter impacto na imagem e reputação da organização bem como na confiança na instituição. Poderão ser aplicadas coimas até 20M€ ou 4% do volume de negócios (o maior dos dois) no caso de empresas ou grupo de empresas associadas.Learn More

Para falarmos sobre o Regulamento Geral de Proteção de Dados é importante focarmos a atenção naquilo que o RGPD identifica como dados pessoais, i.e., qualquer tipo de informação relativa a uma pessoa individual identificada ou identificável. São exemplos o nome, número de identificação, um identificador eletrónico (e.g. IP, RFID) ou um elemento de identificação e.g. físico, genético, económico, social.

Para alguns tipos de dados o tratamento carece de cuidados e controlos adicionais. Estamos a falar das categorias de dados especiais, os denominados “dados sensíveis” onde se inserem os dados de saúde, biométricos, orientação sexual, religiosa ou dados referentes à etnia ou raça. Os dados relacionados com condenações penais e infrações apenas poderão ser tratados sob o controlo de uma autoridade publica ou autorizado por disposições de direito da UE.

No caso do tratamento de dados pessoais de crianças com menos de 16 anos, apenas é lícito se existir consentimento explícito pelos titulares das responsabilidades parentais da criança.
 

A quem se aplica o RGPD?

O RGPD explicita os direitos dos titulares dos dados (capítulo III), quer ao seu acesso, retificação, apagamento e portabilidade dos dados pessoais. Especifica também o direito à oposição, tratamento automatizado e limitação dos dados.

O dever de conformidade com o RGPD aplica-se a todas as organizações e subcontratadas situados na EU, que realizem o tratamento de dados pessoais de pessoas singulares independentemente da nacionalidade ou local de residência, independentemente da localização geográfica do tratamento.
 

De quem é a responsabilidade pela conformidade com o RGPD?

O nível de segurança da informação numa organização é igual ao nível do seu elo mais fraco.

O envolvimento da Gestão de Topo na aprovação de um modelo de governo para a implementação da conformidade com o RGPD é essencial.

No entanto, a implementação efetiva dependerá da consciencialização de todos na organização e da implementação dos procedimentos e mecanismos de controlo adequados a mitigar os riscos residuais existentes.

A conformidade com o RGPD para o tratamento de dados por entidades subcontratadas deve ser salvaguardada contratualmente.
 

Obtenção de conformidade com o RGPD, o Desafio!

A obtenção de conformidade com o RGPD é um desafio imediato, que envolve a definição ou adequação da política de privacidade dos dados da organização para as especificidades do RGPD e a sua implementação efetiva por forma a dar resposta a um conjunto alargado de requisitos:

Sem querer enumerá-los a todos, salientamos de seguida alguns requisitos que achamos fundamentais e, como tal, centrais na nossa abordagem.

– Informação aos titulares dos dados, quando solicitado
– Exercício dos direitos dos titulares dos dados
– Consentimento explícito dos titulares dos dados
– Tratamento de categorias de “dados sensíveis”
– Documentação e registo de atividades de tratamento (em especial para organizações publicas ou privadas com mais de 250 trabalhadores)
– Subcontratação
– Encarregado de proteção de dados
– Medidas técnicas e organizativas e segurança do tratamento
– Proteção de dados desde a conceção
– Avaliação de impacto sobre proteção de dados
– Notificação de violações de segurança (< 72 horas) à Autoridade de Controlo
 

Encarregado de Proteção de Dados (DPO)

O Encarregado de Proteção de Dados (DPO) é obrigatório para todas as autoridades e organismos públicos (independentemente do tipo de dados que tratam) e de outras organizações cuja atividade principal consista no controlo de pessoas de forma sistemática e em grande escala, ou que tratam de categorias especiais de dados pessoais em larga escala.

Na escolha do DPO deverão ser tidas em consideração a sua independência e ausência de conflitos de interesses bem como as suas competências profissionais e comportamentais (artigo 37º. nº. 5).

Pretende-se do DPO que seja um “evangelizador” do RGPD na organização e tenha competências e influencia na tomada de decisão para tal. A Xisgroup oferece esta competência, como prestação de serviço.
 

O XIS Group e o RGPD

O Grupo XIS reúne a experiência e competência para auxiliar as organizações na implementação da conformidade com o RGPD.

Possui uma metodologia própria suportada em vários standards e boas práticas internacionais para a avaliação de riscos e controlos, segurança da informação, documentação de sistemas informáticos como são o framework Cobit 5.0 da ISACA (a) e um conjunto de normas da série ISO 27000 e ISO 42010 (b).

No seio do Grupo existe um profundo conhecimento dos sectores da administração pública e do setor privado, onde as suas empresas operam há mais de 25 anos.

A experiência na implementação de políticas e procedimentos de segurança informática, suportadas na norma ISO 27001 (c), auditorias informáticas e avaliação de riscos e controlos de segurança informática bem como a experiência na implementação de tecnologias e sistemas de segurança informática permitem identificar recomendações técnicas específicas face às necessidades de cada organização.

(a) COBIT 5 é um modelo de negócios e de gestão global para a governação e gestão das Tecnologias de Informação corporativas. Permite às organizações maximizar o valor e minimizar o risco relacionado com a informação. É um modelo que abrange os princípios globalmente aceites, as boas práticas e as ferramentas analíticas, que podem ajudar qualquer organização a mitigar problemas críticos dos negócios relacionados com a informação e a tecnologia

(b) A norma ISO (International Organization for Standardization) 42010 É usada para estabelecer uma prática coerente para projetar descrições arquiteturais no contexto do ciclo de vida e dos processos de desenvolvimento e manutenção de software

(c) A norma ISO 27001 é o padrão e a referência internacional para a gestão da segurança da informação
 

Metodologia XIS para a implementação da conformidade com o RGPD

A nossa metodologia para a implementação de conformidade com o RGPD possui três etapas principais:

1. A base e avaliação (inclui formação certificada)
2. Implementação (inclui formação certificada) – após a implementação são definidos os procedimentos de alerta para o caso da ocorrência de incidentes ou necessidade de comunicação com a autoridade de controlo no âmbito do RGPD.
3. Encarregado de Proteção de Dados – DPO (as a service)
4. Evolução contínua – plano para a evolução ou melhoria continua onde estão incluídas auditorias periódicas, análise dos indicadores, revisão dos procedimentos e códigos de conduta e formação continua.