Por: Nuno Mendes (*)

Com data de introdução marcada para 25 de maio, o Regulamento Geral de Proteção de Dados (RGPD) far-se-á sentir junto de todos os estados membros da União Europeia, bem como de todas as nações que trabalham com dados pessoais de cidadãos da UE.

As novas regras são complexas e as coimas por não cumprimento podem ser significativas (até 20 milhões de euros). Perante isto, e apesar de estarmos a menos de um ano da implementação plena do RGPD, não é de espantar que segundo estudos recentes apenas 41% dos profissionais em TI estejam “totalmente conscientes” das implicações do RGPD, enquanto 9% ainda admitam não ter qualquer conhecimento.

Nas próximas linhas vamos abordar algumas questões relacionadas com o impacto imediato do RGPD nas empresas.

A forma como as empresas lidam com os dados

O RGPD vai estabelecer novas obrigações junto de quem processa dados. É por isso importante estabelecer se uma empresa é uma processadora de dados, ou uma controladora de dados, ou ambas. Uma compreensão profunda sobre a maneira como a organização lida com dados é fundamental na preparação para o RGPD.

O tratamento dos dados

É importante estabelecer-se onde os dados pessoais são armazenados antes de averiguarmos a segurança desse local. Deveremos também saber quem é responsável por controlar os dados e se estes estão a ser partilhados.

Verificar falhas anteriores

Verificar a existência, ou não, de falhas anteriores ao nível da segurança de dados pode ajudar a entender as capacidades de resposta da organização perante ataques futuros. Uma das principais medidas a ser introduzidas no novo RGPD é que os casos de violação de dados têm de ser reportados no prazo máximo de 72 horas após serem descobertos – sob pena de a empresa pagar multas significativas.

Nomear um diretor de proteção de dados

O diretor de proteção de dados será essencial para as autoridades públicas ou outras organizações que sejam responsáveis pelas atividades regulares de monitorização de dados a larga escala. Este deverá estar a par do estado de todos os dados dentro da empresa e agir de forma independente. A responsabilidade deste responsável inclui uma compreensão perfeita do RGPD e dos seus requisitos de implementação.

Consciencialização para os direitos dos indivíduos

Uma das funções do novo RGPD é reforçar os direitos dos indivíduos, incluindo o direito de ser esquecido e a portabilidade dos dados, o que significa que uma organização pode ser forçada a fornecer dados a um indivíduo que pode depois levá-los para uma empresa concorrente. As empresas são obrigadas a promover estes direitos, por isso importa assegurar que existem os procedimentos adequados para possibilitar os novos requisitos.

Educação sobre consentimento

O RGPD oferece maior clareza do ponto de vista da obtenção de consentimento. As novas medidas vão obrigar as empresas a obter uma declaração explícita no que ao processamento de dados diz respeito. Por exemplo, as empresas ficarão sujeitas a medidas que restringem a capacidade de as crianças darem o seu consentimento para processamento de dados sem permissão parental. É por isso importante examinar as práticas correntes na empresa a nível da informação relativamente à forma como os dados estão a ser usados e processados.

Identificar a autoridade supervisora

Muitas das empresas afetadas pelo RGPD estarão a operar internacionalmente e podem, portanto, estar sujeitas a outras diretivas além daquelas neste novo regulamento. De acordo com o Artigo 56 do RGPD, a localização da sede da organização na União Europeia determina qual é a autoridade supervisora que, perante uma queixa, assume a responsabilidade de investigação na empresa.

Alocar mais recursos

É essencial que as empresas aloquem mais recursos de maneira a facilitar o cumprimento dos novos requisitos. A alocação de recursos no início do processo é uma ótima forma de mitigar uma potencial pressão futura.

A encriptação como solução

Um dos princípios fundamentais do GDPR é assegurar a proteção e eficaz dos dados pessoais: a encriptação é uma medida técnica adequada para alcançar este objetivo. A encriptação dá resposta as obrigações de segurança, ao reforçar políticas de encriptação ao mesmo tempo que mantém a produtividade elevada.
Em https://encryption.eset.com/pt/ podem obter-se respostas adicionais a questões relacionadas com o RGPD e saber de forma simples como podemos estar preparados.

(*) CEO da Whitehat