A Segurança da Informação é o nosso foco

Prestamos serviços de consultoria que assentam na implementação de um sistema de gestão da segurança da informação, baseado na norma ISO/IEC 27001 e na gestão da proteção de dados pessoais, de forma a garantir a conformidade ao RGPD e como demonstração da responsabilidade da organização perante as autoridades competentes

Regulamento Geral sobre a Proteção de Dados (RGPD) impôs grandes desafios às organizações, que têm que preparar-se para estarem em conformidade com a nova lei e evitar pesadas multas.  Fique a par das grandes alterações que a nova legislação implica e confirme se a sua empresa está preparada para elas. Contacte a nossa equipa de Consultores para uma auditoria ao sistema de proteção de dados e fique a saber tudo o que precisa de fazer para ficar em conformidade com o RGPD.

Prestamos serviço às organizações em segurança da informação, proteção de dados pessoais, processos avaliação de impacto, revisão de contratos e correspondentes responsabilidades de destinatários, subcontratados e terceiros, adaptando políticas de privacidade, declarações e pedidos de consentimento, bem como assegurando mecanismos de controlo.

Metodologia

1 - Diagnóstico | Análise da maturidade em Proteção de Dados Pessoais

Esta atividade visa obter o conhecimento e a compreensão de alto nível da organização, saber o que tenho e onde estou como base do processo de compliance.

Pretende-se assegurar o acesso das versões atualizadas da documentação, formulários automatizados e não automatizados usados pela organização, bem como a informação das categorias e naturezas dos dados pessoais que são processados e tratados pela organização ou tratados por subcontratantes em nome desta, de fluxos de dados pessoais para terceiros e informação relevante dos repositórios de informação.

Pretende-se ainda observar as práticas técnicas e organizativas da organização na sua atividade quotidiana e compará-las com práticas de referência.

Pretende-se finalmente comparar todos os elementos assim recolhidos com as exigências de privacidade e segurança de dados pessoais conforme estabelecido no RGPD.

Principais atividades:

  1. Ação de formação presencial (2 H) aos dirigentes e responsáveis por manusear dados pessoais. O tempo adstrito a cada tema variará conforme a maior ou menor interação dos participantes.
  2. Identificação de áreas departamentais e colaboradores que manuseiam dados pessoais;
  3. Identificação de arquivos, repositórios, físicos e digitais, estruturados e não estruturados com dados pessoais;
  4. Mapeamento de medidas técnicas e organizacionais existentes;
  5. Inventariação e mapeamento exaustivo de dados pessoais, operações de tratamento, fluxos, naturezas, categorias, repositórios, tecnologias TI, documentos, informações, formulários automatizados e não automatizados, relações contratuais com terceiros, entre outros;
  6. Caracterização do ambiente TI envolvente, politicas, procedimentos internos de segurança da informação e sua adequação aos riscos de privacidade de dados pessoais;
  7. Levantamento dos procedimentos e politicas internas que regulem as varias fases de operações de tratamento de dados, como a recolha, comunicação, arquivo e eliminação; e
  8. Levantamento dos mecanismos de autenticação e proteção de dados físicos e digitais existentes, que visem assegurar a confidencialidade, integridade, disponibilidade dos dados pessoais, bem como a prevenção de acessos não autorizados.
  9. Análise da efetividade do sistema para o exercício direitos dos titulares de dados;
  10. Análise da efetividade do sistema de gestão da segurança da informação;
  11. Análise de políticas e procedimentos implementados;
  12. Análise e avaliação das operações de tratamento;
  13. Análise de entidades subcontratadas, responsabilidades e contratos;
  14. Auditoria a páginas web (políticas de privacidade, cookies), nas várias secções da página web, redes sociais, blogs, fóruns ou links para outras páginas ou aplicações;
  15. Avaliação de desconformidades em 3 dimensões (passado, presente e futuro); e
  16. Elaboração da matriz de riscos e pontos críticos em 2 dimensões (Impacto e probabilidade de acontecer);
  17. Elaboração do Plano de Transformação para a conformidade normativa, com indicação das atividades a executar e objetivos a atingir;
  18. Identificação das necessidades de investimentos, oportunidades de simplificação e otimização dos processos decorrentes da aplicação das tecnologias de informação disponíveis na organização, bem como das práticas analisadas;
  19. Será apresentado um cronograma para a transformação, atribuindo prioridades com base no mapeamento dos riscos existentes: nível de risco e nível de esforço para redução de risco e/ou cumprimento do RGPD;
  20. Proposta de medidas técnicas, organizativas e de segurança a adotar;
  21. Definição clara de responsabilidades (organigrama de quem faz o quê) e envolvimento forte de todos os elementos da organização, colocando a privacidade e a proteção de dados na agenda da organização, para que entre na cultura da mesma.

Como fazemos

Usamos uma framework como ferramenta de produtividade, para análise e avaliação dos pontos críticos, nível dos riscos e mapeamento dos requisitos de conformidade, analisando mais de 330 controlos pragmáticos e temos como padrão as boas práticas de Segurança de Informação (ISO 27001).

Com base no relatório de encerramento – Plano de Transformação – entregue nesta fase, o cliente terá toda a informação necessária para iniciar a fase de implementação de forma autónoma, ou podendo ainda decidir se pretende apoio da Controlgal na execução.

2 - Implementação | Plano de Transformação

Depois concluído a fase de Diagnóstico, dar-se-á o inicio da fase de implementação do Plano Transformação que vai garantir a gestão da conformidade com o RGPD.

Nesta etapa, os nossos consultores apoiam e acompanham a equipa do cliente na execução da implementação dos processos e sistemas estabelecidos no Plano de Transformação.

As entidades têm a responsabilidade de conseguir provar que cumprem com o regulamento, acautelando os registos probatórios, as evidências do cumprimento do RGPD.

Principais atividades:

  1. Politicas internas e externas de privacidade, manuais e documentos;
  2. Implementação operacional, quer ao nível organizacional, processual e tecnologias: Definição do plano de ação com as atividades a executar, estimativa de qual o tempo necessário e os recursos necessários a envolver para a sua concretização; As novas obrigações que incidem sobre o responsável pelas operações de tratamento; Desenvolvimento e execução do PIA (pessoas, processos e tecnologias); Processos para assegurar o exercício de Direitos de acesso, retificação, cancelamento e oposição (direitos “ARCO’); Processos para assegurar os novos direitos específicos do titular dos dados, sobretudo o direito ao esquecimento, de portabilidade e segurança dos dados; Plano de resposta a violações de dados pessoais; Redação de textos para cumprimento das obrigações de informação e obtenção do consentimento.
  3. Normativas Internas;
  4. Formação mobilizadora dos recursos humanos (presencial – todos os colaboradores);Revisão dos contratos com subcontratados ou como sub-responsável para garantir que parceiros e fornecedores estejam em conformidade; e
  5. Apoio na nomeação do Encarregado de Proteção de Dados (DPO) e/ ou Ponto de Contato Institucional.

3 - Serviço DPO | Manutenção| Aconselhamento | Reação a notificações e incidentes

Temos as qualificações especificas, independência e livres de qualquer situação de conflito de interesses, para fazermos o acompanhamento, monitorizamos periodicamente a sua organização e garantimos que a organização dispõe daquilo que é exigido em termos de “accountability” (auditorias regulares, evidências, ferramentas e formação).

Nomear um E.P.D. pode não ser obrigatório, mas é um instrumento de salvaguarda para a organização.

Principais atividades:

  1. Gestor para a Proteção de Dados, apoia a organização na receção e resposta atempada aos pedidos externos de exercício dos direitos;
  2. O âmbito do serviço do Encarregado de Proteção de Dados (DPO), materializa-se no exercício da função conforme o artigo 37º (Designação), 38º (Posição), 39º (Funções) e considerando 97 (Independência) do RGPD).

A norma ISO 27001 Segurança da informação ajuda a implementar processos de controlo que facilitam o cumprimento de alguns requisitos do RGPD. Em agosto de 2019 foi publicada a norma ISO / IEC 27701: 2019 como novo padrão para certificar a gestão da privacidade.

O consentimento deve ser expresso de forma livre, apresentado numa linguagem clara e simples e identificar o propósito do tratamento. O titular pode retirar o consentimento a qualquer momento

O titular tem direito aceder aos seus dados pessoais, obter informação
sobre o seu tratamento nomeadamente a ter conhecimento se os seus
dados são transferidos para um país terceiro ou organização internacional

O titular tem o direito a obter o apagamento dos dados pessoais sem demoras injustificadas

O titular tem o direito a solicitar que os seus dados pessoais lhe sejam
transmitidos ou transmitidos a outra organização, desde que tal seja
tecnicamente viável

Elemento que aplica as medidas técnicas e organizativas adequadas, para assegurar e comprovar que o tratamento é realizado em conformidade com o regulamento

O regulamento obriga a que o subcontratante garanta que detém todas as autorizações dos responsáveis pelo tratamento de dados. Os contratos de subcontratação terão de ser revistos para incluir um conjunto vasto de informações com o objetivo de proteger a informação dos titulares de dados que é frequentemente tratada por várias entidades sem os respetivos titulares terem conhecimento

O RGPD obriga a garantir o exercício dos direitos dos titulares dos dados. Desta forma, os pedidos de exercício desse direito passam a ser monitorizados e documentados com prazos máximos de resposta de 1 mês, direito à portabilidade dos dados, à eliminação dos dados e à notificação de terceiros sobre a retificação ou apagamento ou limitação de tratamento solicitados pelos titulares.

As organizações devem aplicar as medidas técnicas e organizativas adequadas, como a pseudonimização, para garantir a proteção de dados e, por defeito, que só são tratados os dados para cada fim específico

Manter um registo de todas as atividades de tratamento. Esta obrigação,
em determinadas condições, não se aplica a empresas com menos e 250
trabalhadores

No caso de violação de dados pessoais obrigatoriedade de informar a autoridade de controlo até 72 horas . No caso de elevado risco para o titular, essa violação deve-lhe ser comunicada sem demora

Quando a especificidade do tratamento implicar um elevado risco,  nomeadamente a utilização de novas tecnologias, a empresa procede, antes de iniciar o tratamento, a uma avaliação do impacto

Sempre que a empresa tenha a necessidade de controlo regular dos dados ou tratar categorias especiais de dados deve designar um encarregado de proteção de dados, com competências e funções específicas

O RGPD aplica-se a dados pessoais, sendo estes considerados qualquer tipo de informação relacionada com uma pessoa física identificada ou identificável. Incluem-se nesta categoria, nomes, fotos, endereços de email, dados bancários, informações médicas, publicações em redes sociais, endereços IP de computadores, cookies, dados de localização,  imagens CCTV, entre outros. Estão abrangidas informações armazenadas em bases de dados de funcionários, de vendas e de prestação de serviços, bem como dados contidos em formulários preenchidos por clientes, documentos XLS/DOC/PDF, incluindo documentação em papel em ficheiro. O RGPD também define uma categoria especial de dados pessoais sensíveis, como dados genéticos, biométricos, filiação sindical, crenças religiosas, etnias, entre outros.

O novo regulamento reforça as atuais regras sobre transferências internacionais de dados, que são permitidas desde que apresentem garantias adequadas. Além das soluções existentes, como as “cláusulas contratuais-tipo” e o consentimento do titular, o RGPD prevê novas soluções. As “cláusulas contratuais-tipo” deixam de requerer a autorização prévia da CNPD, ainda que a transferência envolva dados sensíveis. Não é de excluir, porém, que a CNPD possa vir a exigir uma notificação prévia para essas operações de tratamento. As regras vinculativas aplicáveis às empresas são outra das soluções ao abrigo da qual as entidades de um grupo empresarial se obrigam a realizar entre si transferências de dados

Conseguimos detetar qualquer violação de dados pessoais logo que ocorra e comunicá-la em 72 horas?

FORMAÇÃO e IMPLEMENTAÇÃO | Conformidade ao Regulamento Geral sobre a Proteção de Dados

A sua organização/empresa sensibilizou os colaboradores para os princípios que devem nortear o tratamento de dados, tais como confidencialidade, integridade, disponibilidade e segurança da informação?

O RGPD obriga as empresas a reportarem falhas de segurança num prazo de 72 horas, após as terem detetado, à CNPD e ao titular dos dados pessoais  cujos dados pessoais tenham sido violados. Esse relatório tem que destalhar a extensão e o tipo de incidente,  dados afetados e os procedimentos de atuação detalhados para remediar o incidente. A empresa também é obrigada a estabelecer medidas preventivas para melhorar a segurança informática e evitar novas falhas na segurança dos dados pessoais sobre os quais efetua tratamento de dados.

Veja quais as próximas ações de Formação em que poderá participar ou peça uma formação à medida da sua empresa

ISO 27001 Sistema de Gestão de Segurança da Informação

Formação e Consultoria para a Conformidade ISO/IEC 27001

A adopção da norma ISO 27001 serve para que as organizações adotem por um modelo adequado de estabelecimento, implementação, operação, monitorização, revisão e gestão de um Sistema de Gestão de Segurança da Informação (SGSI). Este Sistema de Gestão de Segurança da Informação é, de acordo com os princípios da norma ISO/IEC 27001, um modelo holístico de abordagem à Segurança e independente de marcas e fabricantes tecnológicos. É uma abordagem 360º à Segurança da Informação, tratando de múltiplos temas tais como as telecomunicações, segurança aplicacional, proteção do meio físico, recursos humanos, continuidade de negócio, licenciamento, etc.

Ao considerar a certificação ISO/IEC 27001 para a sua organização, demonstra interesse em garantir a segurança da sua informação interna, bem como a de seus clientes e fornecedores.

Este é um compromisso no sentido de assegurar a confidencialidade, integridade e disponibilidade dos ativos que suportam o seu negócio.
A CONTROLGAL pode ajudá-lo a estabelecer um Sistema de Gestão de Segurança de Informação (SGSI) que garanta a identificação das vulnerabilidades e ameaças à segurança da informação, implementando ferramentas para a sua mitigação, controlo ou eliminação.

Cursos de Formação Profissional à medida das Empresas

Formação e Competências para a Conformidade

A formação RGPD irá permitir aos participantes:
Tomar conhecimento do novo Regulamento Geral sobre a Proteção de Dados (RGPD); Analisar a estrutura, conceitos, princípios, direitos e obrigações, conhecer os mecanismos que o RGPD instituiu para a proteção de dados e perspetivar os desafios que se colocam às organizações na sua implementação; Conhecer os mecanismos que o regulamento instituiu para a proteção de dados pessoais; Como implementar Sistema conformidade ao RGPD.

Somos uma entidade formadora certificada pela DGERT. A formação que ministramos aos colaboradores é válida para as 35 horas obrigatórias indicada no Código do trabalho. É devidamente registada e emitidos os respectivos certificados de frequência de formação profissional.

Adicionamos valor à sua organização

Somos uma equipa multidisciplinar de profissionais certificados com experiência acumulada em vários setores, que pode ajudar em quaisquer questões ou dúvidas sobre Segurança da Informação, implementação do ISO/IEC 27001, adequação ao RGPD, acompanhamento da função de EPD/DPO e resposta a situações de crise de violação dados pessoais ou de incidente de segurança da informação.
Entre em contato.

Pretende receber eBOOK gratuito "RGPD Guia Prático para Empresas"?
SimNão
Para mais informação consulte a nossa Política de Privacidade.