REGULAMENTO GERAL DE PROTECÇÃO DE DADOS

RGPD

A SUA EMPRESA ESTÁ PREPARADA PARA O NOVO REGULAMENTO GERAL DE PROTECÇÃO DE DADOS?

NÓS AJUDAMOS!

 O Regulamento

 

Regulamento Geral de Proteção de Dados ( RGPD ) entra em vigor em 25 de Maio de 2018 e substitui a atual diretiva e  lei de proteção de dados em vigor. De seguir, apresentam-se as suas ideias principais assim como o regulamento completo.

 

Informação aos titulares dos dados

O regulamento obriga a informar acerca da base legal para o tratamento de dados, prazo de conservação dos mesmos e transferência dos mesmos. Todas as políticas de privacidade e textos que prestem informação aos titulares de dados têm de ser revistos.

 

Exercício dos direitos dos titulares dos dados

O regulamento obriga a garantir o exercício dos direitos dos titulares dos dados. Desta forma, os pedidos de exercício desse direito passam a ser monitorizados e documentados com prazos máximos de resposta, direito à portabilidade dos dados, à eliminação dos dados e à notificação de terceiros sobre a retificação ou apagamento ou limitação de tratamento solicitados pelos titulares.

 

Consentimento dos titulares dos dados

O regulamento obriga a controlar as circunstâncias em que foi obtido o consentimento dos titulares quando isso for base legal do tratamento dos dados pessoais. Existem um conjunto de exigências para obtenção desse consentimento e o seu não cumprimento obriga à obtenção de um novo consentimento.

 

Natureza dos dados

O regulamento define o conceito de dados sensíveis que estão sujeitos a condições específicas para o seu tratamento, nomeadamente direitos e decisões automatizadas. Um exemplo de dados sensíveis serão os dados biométricos. Dependendo da dimensão e contexto destes tratamentos de dados específicos, poderá ser obrigatória a nomeação de um Encarregado de Proteção de Dados, que, caso não seja do interesse da empresa contratar ou nomear esse novo elemento, a nossa equipa de Proteção de Dados também disponibiliza esse serviço como parte da nossa solução.

 

Documentação e registo

O regulamento obriga a manter um registo documentado de todas as atividades de tratamento de dados pessoais. As organizações são obrigadas a demonstrar o cumprimento de todos os requisitos decorrentes da aplicação do regulamento.

 

Subcontratação

O regulamento obriga a que o subcontratante garanta que detém todas as autorizações dos responsáveis pelo tratamento de dados. Os contratos de subcontratação terão de ser revistos para incluir um conjunto vasto de informações com o objetivo de proteger a informação dos titulares de dados que é frequentemente tratada por várias entidades sem os respetivos titulares terem conhecimento.

 

Encarregado de Proteção de Dados (DPO – Data Protection Officer)

O regulamento introduz a figura do Encarregado de Proteção de Dados que terá um papel de controlador dos processos de segurança para garantir a proteção de dados no dia-a-dia da empresa. Embora não seja obrigatório para todas as empresas, a existência do mesmo ou de um serviço externo que garanta essa função pode acrescentar muito valor aos processos de cumprimento das obrigações.

 

Processos de Segurança e Tratamento de Dados

O regulamento obriga a um grande controlo do risco associado ao possível roubo de informação. Este controlo de risco deverá passar a ser garantido por medidas de segurança efetivas que garantam a confidencialidade, a integridade dos dados e que previnam a destruição , perda e alterações acidentais ou ilícitas, ou a divulgação/acesso não autorizado de dados.

 

Proteção de dados desde a conceção

O regulamento salienta a necessidade de passar a avaliar projetos futuros de tratamento de dados com a devida antecedência e rigor de forma a poder avaliar o seu impacto na proteção de dados e adotar as medidas adequadas para mitigar esses riscos.

 

Notificação  de violações de segurança

O regulamento obriga a que todas as violações de segurança que resultem em risco para os direitos dos titulares sejam comunicadas à autoridade de controlo assim como aos respetivos titulares dos dados.

 

Coimas

O regulamento estabelece um quadro de aplicaçao uniforme assente em dois escalões (em função da gravidade) :

  • Nos casos menos graves, a coima poderá ter um valor até 10 milhões de Euros ou 2% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.
  • Nos casos mais graves, a coima poderá ter um valor até 20 milhões de Euros ou 4% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.

 

Para saber mais pode visitar o site oficial da Comissão Nacional de Protecção de Dados.

Boas práticas para o seu Dia-a-dia

 

 

AMANHECER 7H-9H

Abertura de Emails

Consultar o email a partir do seu telemóvel pode ser em alguns casos perigoso, já que pode não ser capaz de ver toda a informação do Remetente. Se não conhece a fonte, não o abra. Se suspeita que alguma coisa possa ser perigosa, ex, Phishing, quando chegar ao escritório reporte o mais rápido possível à equipa de IT ou reporte através do botão Report Phishing presente no ecrã.

Conversar

Tenha atenção ao que está a dizer e se está a falar muito alto. Podem estar pessoas próximas de si a ouvi-lo e algumas conversas mais sensíveis podem ser classificadas de “dados pessoais”.

Usar o Telemóvel para troca de emails

Verificar se os endereços de email, conteúdos e anexos estão corretos antes de enviá-los, é uma tarefa difícil de fazer no telemóvel. Se for possível, espere até chegar ao escritório. Caso contrário, tenha a certeza de que está a utilizar o sistema de email da sua empresa.

NO ESCRITÓRIO 9H-17H

Download de documentos

Durante o trabalho, pode encontrar uma app, um browser ou um sistema de IT que acredita que vai melhorar a performance do negócio e, por isso, terá vontade de subscrevê-lo ou fazer download. Todas as requisições de software (instalações ou aplicações web) têm de ser sempre aprovadas pela equipa de IT, de forma a evitar um virus ou outro tipo de problemas.

Envio seguro de emails a partir do escritório

Utilize apenas o sistema oficial de email da empresa para assegurar que os emails são vistos e enviados de forma segura, et assim quaisquer controlos adicionais (ex. Virus, rastreio de malware, monitorização) não deixarão de ser feitos. Siga todas as políticas de segurança da equipa de IT da sua empresa, no que respeita “screen-locks”, proteção de “password” e armazenamento.

Visionamento de dados pessoais ou sensíveis

Já viu dados pessoais ou sensíveis? Assegure-se que os dados são seguros. Evite partilhá-los a não ser por uma razão justificada.

Transferência de dados pessoais

E sobre o envio de dados a parceiros? Espere até saber que a sua empresa tem um contrato ou assinou um acordo de divulgação dos mesmos. Quando aprovada a transferência, utilize uma solução segura para partilhar essa informação.

Remover ou arquivar ficheiros antigos

Tem ficheiros ou relatórios antigos? Arquive ou apague-os se não precisa mais deles. Verifique com a equipa de IT sobre processos locais aprovados, incluindo quaisquer políticas de retenção de documentos, marcação e destruição.

FIM DA TARDE 17H-19H

Deixar informação “disponível”

Não deixe o seu PC aberto ou com o ecrã desbloqueado. Lembre-se de bloquear sempre o seu ecrã quando deixa o PC e desligue-o totalmente quando vai para casa.

Levar dados para fora do escritório

Pode necessitar de levar dados para fora do escritório quando trabalha em casa ou está numa viagem de negócios., especialmente se estão no seu PC. Não negligencie o seu uso, independentemente de onde está a utilizá-los. Tudo o que está numa USB ou numa pasta deve continuar a ser gerido, de acordo com os habituais processos da empresa.

Eliminação de dados confidenciais

Não deixe documentos confidenciais perdidios (tal como no comboio ou noutro lugar) – tenha a certeza que os guarda, ou se não precisa mais deles, triture-os ou coloque numa zona de lixo segura.

Estar online

No regresso a casa, pense duas vezes antes de se conectar a uma rede WiFi pouca segura (ex. Viagem de comboio, ou metro). Se pretende aceder a dados pessoais, use sempre VPN (Rede Privada Virtual) que encripta os dados mesmo que através de uma rede potencialmente segura.

Proteção de Endpoint
Proteção de Endpoint

Não tem de fazê-lo sozinho!

 

As empresas devem ver o RGPD como uma oportunidade para limpar, gerir e proteger dados pessoais vulneráveis e, com isso, criar e aproveitar as novas oportunidades de negócio. Isso requer uma desintoxicação de dados, e vai ajudar os negócios a economizarem dinheiro, a tornarem-se mais competitivos e preparados para futuros desafios desafios e requisitos de negócio.

A Empis – Informática e Serviços, Lda pode ajudá-lo a definir um plano de ataque para que a sua equipa fique em boas condições e esteja pronta para o RGPD:

 

Prevenção

Criar mecanismos de auditabilidade:
• Exportação de dados pessoais (quem, o quê, para que fins, quem autorizou, a quem)
• Pseudoanonimização, Rastreabilidade
• Segmentação de Dados Pessoais
• Mecanismos de transporte adequados à sensibilidade dos dados
• Cláusulas jurídicas relativas à utilização exclusiva para os fins acordados

 

 

Controlo

  • Definição e aplicação de políticas (credenciais, relações de confiança, utilização de serviços);
  • Mecanismos formais de gestão de acessos;
  • Revisão de utilizadores com perfil alargado;
  • Avaliação de robustez de credenciais;
  • Existência de Dados Pessoais em Bases de Dados de qualidade/desenvolvimento;
  • Cópias de segurança cifradas;
  • Testes de penetração (serviços expostos ao exterior);
  • Análise de vulnerabilidades.

 

Jurídico

  • Definição de políticas de privacidade (por âmbito);
  • Análise e revisão de contratos com fornecedores;
  • Introdução de cláusulas em contratos com colaboradores;
  • Tratamento de pedidos (esquecimento, objecção, etc).

PRETENDE MAIS INFORMAÇÕES? DEIXE-NOS O SEU CONTACTO.