RGPD e COBIT: implementando conformidade ao RGPD e os princípios do COBIT5

Para as empresas já com uma estrutura de governança sólida, a batalha de conformidade já está meia ganha. Para aqueles sem uma estrutura formal, o RGPD pode-se tornar um grande impulsionador para adotar uma governança TI.

Os frameworks de governança, e numa linguagem comum, são estruturas de boas práticas projetadas para serem adaptáveis para um ambiente específico em que operam e geralmente suportam o teste do tempo, isto é, são aplicáveis independentemente do ambiente externo em mudança e das mudanças em tecnologias, podendo assim ajudar a responder a requisitos regulamentares e de conformidade, fornecendo métodos repetitivos.

Estes frameworks de governança estão focados em fornecer valor, garantindo a entrega de benefícios, otimizando riscos e recursos.

Embora existam inúmeras estruturas no mercado aplicáveis na implementação de um processo de conformidade ao RGPD, destaca-se uma ferramenta apropriada e útil: COBIT.

Esta estrutura simplesmente conhecida como COBIT tem as suas origens baseadas na confidencialidade, integridade, disponibilidade e garantia de informação que corresponde exatamente com o requisito referido no considerando 49 do RGPD: “(…) disponibilidade, a autenticidade, a integridade e a confidencialidade dos dados pessoais (…)”

A mais recente versão COBIT 5 concentra-se nos princípios de governança e gestão TI e é sem dúvida uma ferramenta fundamental na adoção de boas práticas para a realização de benefícios, otimização de riscos e otimização de recursos, bem como, fornecer uma estrutura para governar e gerir o programa de implementação de conformidade ao RGPD.

Há que pensar RGPD como uma oportunidade. Embora manter a conformidade seja oneroso, é claramente a abordagem correta, porque a razão pela qual as empresas existem é para criar valor para as partes interessadas, e bem aplicado, o RGPD será um importante contributo para aumentar valor.

RGPD: Compreendendo o alcance – Passado, Presente e Futuro

“Who controls the past controls the future. Who controls the present controls the past.” George Orwell, 1984

Nos processos de implementação do Sistema de Gestão Privacidade de Dados(SGPD) para conformidade ao RGPD, tenho identificado que as empresas geralmente se concentram exclusivamente no conjunto de dados e nos tratamentos de dados pessoais que realizam atualmente. Nem sempre consideram as implicações de compartilhar ou receber dados pessoais de terceiros. E sistematicamente os dados do passado não são identificados como relevantes para o processo de conformidade RGPD. Só durante as discussões com a equipa do cliente descubro a existência de dados pessoais e tratamentos que não foram considerados. Ao lidar com dados pessoais, é preciso considerar os estados passados, presentes e futuros desses dados.