Software de Gestão de Proteção de Dados

Recolhe, usa e armazena dados pessoais?

Funcionalidades mais relevantes desta ferramenta de apoio ao sistema de conformidade e apoio ao Encarregado da Proteção de Dados (DPO):

– Registo de tratamentos
– Registos de documentos
– Gestão de Direitos do Titular e verificação direitos ARCO
– Emissão de Contratos
– Avaliações de risco
– Gestão de incidências
– Registo e notificações de incidentes
– Auditorias

Proteção de Dados é o nosso foco

Prestamos serviço de consultoria que assenta na implementação de um sistema de controlo de gestão da proteção de dados. Este permite garantir a conformidade e a demonstração da responsabilidade da organização perante as autoridades competentes.

Com a  entrada em vigor do Regulamento Geral de Proteção de Dados (RGPD)  as empresas têm que preparar-se para estarem em conformidade com a nova lei e evitar pesadas multas.  Fique a par das grandes alterações que a nova legislação implica e confirme se a sua empresa está preparada para elas. Contacte a nossa equipa de Consultores para uma auditoria ao sistema de proteção de dados e fique a saber tudo o que precisa de fazer para ficar em conformidade com o RGPD.

Multas para as empresas que não estiverem em conformidade com o RGPD podem chegar aos 20 milhões de euros.

Agende uma reunião e fique a saber como podemos ajudar  em termos de processos, sistemas, tecnologias, pessoas, atividades, regulamentos internos ou até mesmo questões jurídicas.

A nossa metodologia para implementação de Sistema operacional para assegurar a Proteção de Dados e  a Conformidade RGPD

Fase 1 - Diagnóstico | Análise da maturidade em Proteção de Dados Pessoais

Esta atividade visa obter o conhecimento e a compreensão de alto nível da organização, saber o que tenho e onde estou como base do processo de compliance.

Pretende-se assegurar o acesso das versões atualizadas da documentação, formulários automatizados e não automatizados usados pela organização, bem como a informação das categorias e naturezas dos dados pessoais que são processados e tratados pela organização ou tratados por subcontratantes em nome desta, de fluxos de dados pessoais para terceiros e informação relevante dos repositórios de informação.

Pretende-se ainda observar as práticas técnicas e organizativas da organização na sua atividade quotidiana e compará-las com práticas de referência.

Pretende-se finalmente comparar todos os elementos assim recolhidos com as exigências de privacidade e segurança de dados pessoais conforme estabelecido no RGPD.

Principais atividades:

  1. Ação de formação presencial (2 H) aos dirigentes e responsáveis por manusear dados pessoais. O tempo adstrito a cada tema variará conforme a maior ou menor interação dos participantes.
  2. Identificação de áreas departamentais e colaboradores que manuseiam dados pessoais;
  3. Identificação de arquivos, repositórios, físicos e digitais, estruturados e não estruturados com dados pessoais;
  4. Mapeamento de medidas técnicas e organizacionais existentes;
  5. Inventariação e mapeamento exaustivo de dados pessoais, operações de tratamento, fluxos, naturezas, categorias, repositórios, tecnologias TI, documentos, informações, formulários automatizados e não automatizados, relações contratuais com terceiros, entre outros;
  6. Caracterização do ambiente TI envolvente, politicas, procedimentos internos de segurança da informação e sua adequação aos riscos de privacidade de dados pessoais;
  7. Levantamento dos procedimentos e politicas internas que regulem as varias fases de operações de tratamento de dados, como a recolha, comunicação, arquivo e eliminação; e
  8. Levantamento dos mecanismos de autenticação e proteção de dados físicos e digitais existentes, que visem assegurar a confidencialidade, integridade, disponibilidade dos dados pessoais, bem como a prevenção de acessos não autorizados.
  9. Análise da efetividade do sistema para o exercício direitos dos titulares de dados;
  10. Análise da efetividade do sistema de gestão da segurança da informação;
  11. Análise de políticas e procedimentos implementados;
  12. Análise e avaliação das operações de tratamento;
  13. Análise de entidades subcontratadas, responsabilidades e contratos;
  14. Auditoria a páginas web (políticas de privacidade, cookies), nas várias secções da página web, redes sociais, blogs, fóruns ou links para outras páginas ou aplicações;
  15. Avaliação de desconformidades em 3 dimensões (passado, presente e futuro); e
  16. Elaboração da matriz de riscos e pontos críticos em 2 dimensões (Impacto e probabilidade de acontecer);
  17. Elaboração do Plano de Transformação para a conformidade normativa, com indicação das atividades a executar e objetivos a atingir;
  18. Identificação das necessidades de investimentos, oportunidades de simplificação e otimização dos processos decorrentes da aplicação das tecnologias de informação disponíveis na organização, bem como das práticas analisadas;
  19. Será apresentado um cronograma para a transformação, atribuindo prioridades com base no mapeamento dos riscos existentes: nível de risco e nível de esforço para redução de risco e/ou cumprimento do RGPD;
  20. Proposta de medidas técnicas, organizativas e de segurança a adotar;
  21. Definição clara de responsabilidades (organigrama de quem faz o quê) e envolvimento forte de todos os elementos da organização, colocando a privacidade e a proteção de dados na agenda da organização, para que entre na cultura da mesma.

Como fazemos

Usamos uma framework como ferramenta de produtividade, para análise e avaliação dos pontos críticos, nível dos riscos e mapeamento dos requisitos de conformidade, analisando mais de 330 controlos pragmáticos e temos como padrão as boas práticas de Segurança de Informação (ISO 27001).

Com base no relatório de encerramento – Plano de Transformação – entregue nesta fase, o cliente terá toda a informação necessária para iniciar a fase de implementação de forma autónoma, ou podendo ainda decidir se pretende apoio da Controlgal na execução.

Fase 2 - Implementação| Plano de Transformação

Depois concluído a fase de Diagnóstico, dar-se-á o inicio da fase de implementação do Plano Transformação que vai garantir a gestão da conformidade com o RGPD.

Nesta etapa, os nossos consultores apoiam e acompanham a equipa do cliente na execução da implementação dos processos e sistemas estabelecidos no Plano de Transformação.

As entidades têm a responsabilidade de conseguir provar que cumprem com o regulamento, acautelando os registos probatórios, as evidências do cumprimento do RGPD.

Principais atividades:

  1. Politicas internas e externas de privacidade, manuais e documentos;
  2. Implementação operacional, quer ao nível organizacional, processual e tecnologias: Definição do plano de ação com as atividades a executar, estimativa de qual o tempo necessário e os recursos necessários a envolver para a sua concretização; As novas obrigações que incidem sobre o responsável pelas operações de tratamento; Desenvolvimento e execução do PIA (pessoas, processos e tecnologias); Processos para assegurar o exercício de Direitos de acesso, retificação, cancelamento e oposição (direitos “ARCO’); Processos para assegurar os novos direitos específicos do titular dos dados, sobretudo o direito ao esquecimento, de portabilidade e segurança dos dados; Plano de resposta a violações de dados pessoais; Redação de textos para cumprimento das obrigações de informação e obtenção do consentimento.
  3. Normativas Internas;
  4. Formação mobilizadora dos recursos humanos (presencial – todos os colaboradores);Revisão dos contratos com subcontratados ou como sub-responsável para garantir que parceiros e fornecedores estejam em conformidade; e
  5. Apoio na nomeação do Encarregado de Proteção de Dados (DPO) e/ ou Ponto de Contato Institucional.

Fase 3 - Serviço DPO | Manutenção| Aconselhamento | Reação a notificações e incidentes

Temos as qualificações especificas, independência e livres de qualquer situação de conflito de interesses, para fazermos o acompanhamento, monitorizamos periodicamente a sua organização e garantimos que a organização dispõe daquilo que é exigido em termos de “accountability” (auditorias regulares, evidências, ferramentas e formação).

Nomear um E.P.D. pode não ser obrigatório, mas é um instrumento de salvaguarda para a organização.

Principais atividades:

  1. Gestor para a Proteção de Dados, apoia a organização na receção e resposta atempada aos pedidos externos de exercício dos direitos;
  2. O âmbito do serviço do Encarregado de Proteção de Dados (DPO), materializa-se no exercício da função conforme o artigo 37º (Designação), 38º (Posição), 39º (Funções) e considerando 97 (Independência) do RGPD).

“O RPGD vai ser o modelo para todas as empresas como arquitetura para privacidade de dados”, destacou o presidente da Microsoft, Brad Smith, durante as sessões da conferência tecnológica Web Summit 2017.

O consentimento deve ser expresso de forma livre, apresentado numa linguagem clara e simples e identificar o propósito do tratamento. O titular pode retirar o consentimento a qualquer momento

O titular tem direito aceder aos seus dados pessoais, obter informação
sobre o seu tratamento nomeadamente a ter conhecimento se os seus
dados são transferidos para um país terceiro ou organização internacional

O titular tem o direito a obter o apagamento dos dados pessoais sem demoras injustificadas

O titular tem o direito a solicitar que os seus dados pessoais lhe sejam
transmitidos ou transmitidos a outra organização, desde que tal seja
tecnicamente viável

Elemento que aplica as medidas técnicas e organizativas adequadas, para assegurar e comprovar que o tratamento é realizado em conformidade com o regulamento

O regulamento obriga a que o subcontratante garanta que detém todas as autorizações dos responsáveis pelo tratamento de dados. Os contratos de subcontratação terão de ser revistos para incluir um conjunto vasto de informações com o objetivo de proteger a informação dos titulares de dados que é frequentemente tratada por várias entidades sem os respetivos titulares terem conhecimento

O RGPD obriga a garantir o exercício dos direitos dos titulares dos dados. Desta forma, os pedidos de exercício desse direito passam a ser monitorizados e documentados com prazos máximos de resposta de 1 mês, direito à portabilidade dos dados, à eliminação dos dados e à notificação de terceiros sobre a retificação ou apagamento ou limitação de tratamento solicitados pelos titulares.

As organizações devem aplicar as medidas técnicas e organizativas adequadas, como a pseudonimização, para garantir a proteção de dados e, por defeito, que só são tratados os dados para cada fim específico

Manter um registo de todas as atividades de tratamento. Esta obrigação,
em determinadas condições, não se aplica a empresas com menos e 250
trabalhadores

No caso de violação de dados pessoais obrigatoriedade de informar a autoridade de controlo até 72 horas . No caso de elevado risco para o titular, essa violação deve-lhe ser comunicada sem demora

Quando a especificidade do tratamento implicar um elevado risco,  nomeadamente a utilização de novas tecnologias, a empresa procede, antes de iniciar o tratamento, a uma avaliação do impacto

Sempre que a empresa tenha a necessidade de controlo regular dos dados ou tratar categorias especiais de dados deve designar um encarregado de proteção de dados, com competências e funções específicas

O RGPD aplica-se a dados pessoais, sendo estes considerados qualquer tipo de informação relacionada com uma pessoa física identificada ou identificável. Incluem-se nesta categoria, nomes, fotos, endereços de email, dados bancários, informações médicas, publicações em redes sociais, endereços IP de computadores, cookies, dados de localização,  imagens CCTV, entre outros. Estão abrangidas informações armazenadas em bases de dados de funcionários, de vendas e de prestação de serviços, bem como dados contidos em formulários preenchidos por clientes, documentos XLS/DOC/PDF, incluindo documentação em papel em ficheiro. O RGPD também define uma categoria especial de dados pessoais sensíveis, como dados genéticos, biométricos, filiação sindical, crenças religiosas, etnias, entre outros.

O novo regulamento reforça as atuais regras sobre transferências internacionais de dados, que são permitidas desde que apresentem garantias adequadas. Além das soluções existentes, como as “cláusulas contratuais-tipo” e o consentimento do titular, o RGPD prevê novas soluções. As “cláusulas contratuais-tipo” deixam de requerer a autorização prévia da CNPD, ainda que a transferência envolva dados sensíveis. Não é de excluir, porém, que a CNPD possa vir a exigir uma notificação prévia para essas operações de tratamento. As regras vinculativas aplicáveis às empresas são outra das soluções ao abrigo da qual as entidades de um grupo empresarial se obrigam a realizar entre si transferências de dados

Conseguimos detetar qualquer violação de dados pessoais logo que ocorra e comunicá-la em 72 horas?

FORMAÇÃO e IMPLEMENTAÇÃO | Conformidade ao Regulamento Geral sobre a Proteção de Dados

A sua organização/empresa sensibilizou os colaboradores para os princípios que devem nortear o tratamento de dados, tais como confidencialidade, integridade, disponibilidade e segurança da informação?

O RGPD obriga as empresas a reportarem falhas de segurança num prazo de 72 horas, após as terem detetado, à CNPD e ao titular dos dados pessoais  cujos dados pessoais tenham sido violados. Esse relatório tem que destalhar a extensão e o tipo de incidente,  dados afetados e os procedimentos de atuação detalhados para remediar o incidente. A empresa também é obrigada a estabelecer medidas preventivas para melhorar a segurança informática e evitar novas falhas na segurança dos dados pessoais sobre os quais efetua tratamento de dados.

Veja quais as próximas ações de Formação em que poderá participar ou peça uma formação à medida da sua empresa

Ações e Cursos de Formação à medida das Empresas

RGPD: Competências para a Conformidade

Esta formação irá, assim, permitir aos participantes: Tomar conhecimento do novo Regulamento Geral sobre a Proteção de Dados (RGPD); Analisar a estrutura, conceitos, princípios, direitos e obrigações, conhecer os mecanismos que o RGPD instituiu para a proteção de dados e perspetivar os desafios que se colocam às organizações na sua implementação; Conhecer os mecanismos que o regulamento instituiu para a proteção de dados pessoais; Como implementar Sistema conformidade ao RGPD.

A sua empresa está preparada?

Saiba como ter a sua empresa preparada.
Solicite mais informações para um plano personalizado para a conformidade com RGPD.

e-Book RGPD GratuitoServiços Conformidade ao RGPDInformações de DPO externoInformações de Cursos de Formação

Todos os campos são de preenchimento obrigatório e os dados pessoais fornecidos serão utilizados exclusivamente pela Controlgal Consulting,Lda. na organização administrativa e difusão de serviços de Formação e Consultoria. Estes dados irão ser tratados informaticamente e ao seu titular é garantido o direito de acesso, retificação, alteração ou eliminação sempre que para isso dirija ao responsável pelo seu tratamento - Controlgal Consulting, Lda., ou por escrito ou através do endereço eletrónico: rgpd@controlgal.pt
Para mais informação consulte a nossa Política de Privacidade.