Dois anos após a entrada em vigor do RGPD, o que mudou nas empresas?

Os colaboradores de uma organização agem em nome dela e garantir que todos os colaboradores conhecem o RGPD para poderem atuar em conformidade é uma responsabilidade das organizações! As coimas devidas por contraordenações (divididas entre graves e muito graves), têm como máximo 20 milhões de euros ou 4% da faturação mundial, para os casos mais gravosos.

Por outro lado, as ações de incumprimento do RGPD podem constituir crime, abrangendo os representantes das empresas, trabalhadores e DPO.

Mas como podem as empresas preparar-se?

Algumas boas práticas são aconselhadas e que se devem centrar nos seguintes temas:

Governance – responsabilização das empresas ou entidades na verificação do cumprimento do RGPD e da existência de documentação que evidencie tal cumprimento (elaboração de políticas, procedimentos, registo de atividade de tratamento de dados);

Sistema de informação – reforço das medidas de segurança e da interoperabilidade dos sistemas (política de segurança de informação, plano de continuidade de negócio);

Relacionamento com terceiros e prestadores de serviços – maior responsabilização na escolha de terceiros parceiros e necessidade de celebração de contratos com conteúdos específicos (prevendo a limitação do tratamento à execução do contrato, definição das medidas de segurança, entre outros aspetos);

Gestão de pessoas – formação interna e sensibilização de todos aqueles que intervêm no ciclo de vida do tratamento de dados na empresa;

Gestão da relação com clientes – reforço do direito dos titulares dos dados e capacidade da Organização garantir o seu cumprimento;

Relação com a CNPD – assegurando a compilação de documentação de evidências do cumprimento do RGPD, AIPD’S (auditorias de impacto na proteção de dados) e interação, em caso de ocorrência de violações de dados pessoais.

O RGPD deve ser visto como uma OPORTUNIDADE para as empresas reverem algumas matérias que nem sempre estão em primeiro plano, havendo que atentar em 4 aspetos:

LEGAL – Políticas internas, Regulamentos, contratos, formulários e estaremos a trabalhar no compliance;

PROCESSOS – Redesenho de fluxos e de procedimentos e estaremos a estudar processos de eficiência;

TECNOLOGIA – Política de segurança de informação e estaremos a trabalhar a robustez dos sistemas informáticos;

FORMAÇÃO INTERNA – assegurando a partilha de conhecimento com todos os colaboradores;

 

E QUE OBRIGAÇÕES DEVEM AS EMPRESAS CUMPRIR?

 

  • Ter devidamente publicitadas as politicas de proteção de dados, de segurança de informação e formação em proteção de dados
  • Tratar os dados recolhidos apenas para finalidades determinadas, explícitas e legítimas
  • Implementar os princípios de “privacy by design” e o “privacy by default”
  • Prestar informação aos titulares dos dados
  • Obter o consentimento dos titulares para finalidades de tratamento específicas
  • Garantir aos titulares de dados pessoais os direitos de acesso, retificação, apagamento e oposição
  • Assegurar os direitos de limitação do tratamento e portabilidade dos dados
  • Implementar as adequadas medidas de segurança (incluindo controlo de acesso de pessoas)
  • Conservar os dados apenas pelo período necessário
  • Efetuar registos das atividades de tratamento de dados
  • Realizar “privacy impact assessments” (AIPD’S)
  • Designar o Data Privacy Officer, quando exigido
  • Notificar violações de dados e de incidentes de segurança
  • Celebrar contratos escritos com os prestadores de serviços e adoptar os devidos cuidados na sua seleção
  • Pedir, nos casos aplicáveis, consulta prévia à CNPD para os tratamentos de dados
  • Realizar auditorias de conformidade e adotar políticas de controlo
  • Formar /sensibilizar todos os Colaboradores que recolhem, tratam ou acedem a dados pessoais das regras a cumprir no âmbito da proteção de dados e da confidencialidade

Autora:

Manuela Paula Marques, Making People Matter

Receba as notícias e conteúdos de RH e mantenha-se atualizado!