Imagem documentos
Imagens email
Imagens computador

Cumprir com o GDPR Pode Ser Simples

Somos uma ferramenta de

  • Implementação de  GDPR
  • Governança contínua
  • Demonstração de   conformidade

O que nos permite fazer a ferramenta?

Anunciar função e nome do RPD (DPO) e publicar Política de proteção de dados pessoais

  • Nomear oficialmente o RPD (DPO), este deve ter as competências necessárias para a execução da função;
  • Escrever e publicar uma política de proteção da dados pessoais, simples, percetível e alinhada com o modelo de negócio;
  • A proteção de Dados pessoais é um objetivo de toda a organização.
DPO DPO
Awareness Awareness

Identificar a estratégia e planear projeto de privacidade e sensibilização “Awareness

  • Definir objetivo estratégico de tratamento de dados pessoais;
  • Definir um calendário de projeto com o detalhe de tarefas do DPO;
  • Envolver todas as áreas criticas (RH, IT, Financeira, Gestão de Risco Legal e Auditoria);
  • Definir um plano de “awareness” com Guia da legislação, brochura e treino on-line.

Identificar e registar atividades de tratamento de dados pessoais

  • As nossas organizações recolhem e tratam diferentes tipos de dados pessoais. Assim é importante garantir que existe um correto inventário dos dados existentes, do seu tratamento e registo de ações e medidas de proteção;
  • Ter um processo de aprovação claro e com evidencias de aprovação em “workflow”;
  • Garantir a licitude do tratamento através do consentimento do titular, de acordo com a lei;
  • O registo destas atividades é a base para a validação legal das medidas de proteção de dados e evidencia de governança.
Dados Pessoais Dados Pessoais
Transparência Transparência

Identificar os Direitos dos Titulares e transparência

Os titulares têm o direito a serem informados sobre os dados e categorias dos dados processados, destinatários dos dados ou categorias de destinatários, período de retenção e critério de tratamento. Materializando:

  • Direito de acesso;
  • Direito à informação;
  • Retificação de incorreções;
  • Apagamento de informação;
  • Direito à limitação do tratamento;
  • Oposição ao marketing direto;
  • Oposição a decisões automatizadas e profiling;
  • Portabilidade dos dados.

Gerir a cadeia de fornecedores

  • Os titulares têm o direito a serem informados sobre os dados e categorias dos dados processados, destinatários dos dados ou categorias de destinatários
Fornecedores Fornecedores
incidentes Incidentes

Gerir incidentes e “data breach management”

  • Os titulares têm o direito a serem informados sobre os dados e categorias dos dados processados, destinatários dos dados ou categorias de destinatários

Privacy by design, privacy by default, PIA e DPIA

  • Implementar um processo com medidas técnicas e organizacionais adequadas à proteção dos dados pessoais durante a fase de desenvolvimento de um produto (privacy by design);
  • Garantir que os controladores apenas processam os dados necessário e de forma segura e adequada (privacy by default);
  • PIA e DPIA é um instrumento de gestão e analise de risco que permite realizar uma avaliação das operações de processamento com o objetivo de garantir os direitos e liberdades dos titulares dos dados e identificar medidas de proteção técnicas e administrativas.
Privacy Privacy
Monitorização Monitorização

Gerir a conformidade, o risco e monitorizar

  • Uma das maiores mudanças esta relacionada com a conformidade e esta impõe a correta aplicação do princípio da “responsabilização”. Os controladores e processadores são agora obrigados a demonstrar sua própria conformidade, logo, as organizações têm que implementar processos de responsabilização e possuir um registo de atividades adequado.
  • Em resumo, é expectável do ponto de vista do regulador que as organizações têm evidências da implementação de uma cultura de conformidade muito além da conformidade “tick-box”.
  • Envolver todas as áreas criticas (RH, IT, Financeira, Gestão de Risco Legal e Auditoria);
  • O GDPR exige que os controladores e os processadores mantenham um registo de atividades de processamento por escrito e que este permita demonstrar governança e a implementação das medidas adequadas.

Modelo de maturidade GDPR

Nível 1

Inicial

Processos Ad hoc;

Conhecer legislação.

Nível 2

Desenvolvimento

Liderança;

DPO nomeado;

Sensibilização inicial.

Nível 3

Definido

Plano inicial projeto;

Política de Proteção de Dados;

Awareness responsabilização departamental.

Nível 4

Gerido

Definição de processos de recolha e eliminação de dados;

Definição de tratamento por terceiros (subcontratante);

Análise de risco DPIA;

Medidas técnicas de proteção;

Monitorização.

Nível 5

Otimizado

Cultura de risco incorporada;

Responsabilização individual;

Ciclo de melhoria contínuo;

Resposta a incidentes de segurança “Data Breach“;

Plano de recuperação;

Demonstrar conformidade.

Quero estar em conformidade