GDPR Governance

A sua organização está preparada para cumprir o regulamento para a proteção de dados?

Procura um caminho comprovado para garantir a conformidade GPDR?

Quer uma solução simples e continuada de governância?

Precisa de uma solução independente, que não condicione as várias áreas e que seja compatível com outras ferramentas já existentes?

O GDPR Governance é a solução que procura para estar em conformidade

O que nos permite fazer a ferramenta?

Anunciar função e nome do RPD (DPO) e publicar Política de proteção de dados pessoais

Nomear oficialmente o RPD (DPO), este deve ter as competências necessárias para a execução da função;
Escrever e publicar uma política de proteção da dados pessoais, simples, percetível e alinhada com o modelo de negócio;
A proteção de Dados pessoais é um objetivo de toda a organização.

DPO

Awareness

Identificar a estratégia e planear projeto de privacidade e sensibilização “Awareness”

Definir objetivo estratégico de tratamento de dados pessoais;
Definir um calendário de projeto com o detalhe de tarefas do DPO;
Envolver todas as áreas criticas (RH, IT, Financeira, Gestão de Risco Legal e Auditoria);
Definir um plano de “awareness” com Guia da legislação, brochura e treino on-line.

Identificar e registar atividades de tratamento de dados pessoais

As nossas organizações recolhem e tratam diferentes tipos de dados pessoais. Assim é importante garantir que existe um correto inventário dos dados existentes, do seu tratamento e registo de ações e medidas de proteção;
Ter um processo de aprovação claro e com evidencias de aprovação em “workflow”;
Garantir a licitude do tratamento através do consentimento do titular, de acordo com a lei;
O registo destas atividades é a base para a validação legal das medidas de proteção de dados e evidencia de governança.

Dados Pessoais

Transparência

Identificar os Direitos dos Titulares e transparência

Os titulares têm o direito a serem informados sobre os dados e categorias dos dados processados, destinatários dos dados ou categorias de destinatários, período de retenção e critério de tratamento. Materializando:

Direito de acesso;
Direito à informação;
Retificação de incorreções;
Apagamento de informação;
Direito à limitação do tratamento;
Oposição ao marketing direto;
Oposição a decisões automatizadas e profiling;
Portabilidade dos dados.

Privacy by design, privacy by default, PIA e DPIA

Implementar um processo com medidas técnicas e organizacionais adequadas à proteção dos dados pessoais durante a fase de desenvolvimento de um produto (privacy by design);
Garantir que os controladores apenas processam os dados necessário e de forma segura e adequada (privacy by default);
PIA e DPIA é um instrumento de gestão e analise de risco que permite realizar uma avaliação das operações de processamento com o objetivo de garantir os direitos e liberdades dos titulares dos dados e identificar medidas de proteção técnicas e administrativas.

Privacy

Monitorização

Gerir a conformidade, o risco e monitorizar

Uma das maiores mudanças esta relacionada com a conformidade e esta impõe a correta aplicação do princípio da “responsabilização”. Os controladores e processadores são agora obrigados a demonstrar sua própria conformidade, logo, as organizações têm que implementar processos de responsabilização e possuir um registo de atividades adequado.
Em resumo, é expectável do ponto de vista do regulador que as organizações têm evidências da implementação de uma cultura de conformidade muito além da conformidade “tick-box”.
Envolver todas as áreas criticas (RH, IT, Financeira, Gestão de Risco Legal e Auditoria);
O GDPR exige que os controladores e os processadores mantenham um registo de atividades de processamento por escrito e que este permita demonstrar governança e a implementação das medidas adequadas.

Modelo de maturidade GDPR

Nível 1

Inicial

Processos Ad hoc;

Conhecer legislação.

Nível 2

Desenvolvimento

Liderança;

DPO nomeado;

Sensibilização inicial.

Nível 3

Definido

Plano inicial projeto;

Política de Proteção de Dados;

Awareness responsabilização departamental.

Nível 4

Gerido

Definição de processos de recolha e eliminação de dados;

Definição de tratamento por terceiros (subcontratante);

Análise de risco DPIA;

Medidas técnicas de proteção;

Monitorização.

Nível 5

Otimizado

Cultura de risco incorporada;

Responsabilização individual;

Ciclo de melhoria contínuo;

Resposta a incidentes de segurança “Data Breach“;

Plano de recuperação;

Demonstrar conformidade.