A ISO/IEC 27552 é transformada em ISO/IEC 27701

ISO / IEC 27701: 2019, novo padrão para certificar a gestão da privacidade

Como temos referenciado em alguns artigos, a norma ISO / IEC 27552 seria lançada em agosto de 2019, um padrão para a implementação e certificação de um Sistema de Gestão de Privacidade, juntamente com a ISO / IEC 27001.

A ISO decidiu algumas mudanças em relação a esta norma, que desapareceu para se tornar ISO / IEC 27701 – Técnicas de segurança – Extensão para ISO / IEC 27001 e ISO / IEC 27002 para gestão de informações de privacidade – Requisitos e diretrizes.

Para todas as empresas já certificadas na ISO / IEC 27001, é uma grande oportunidade para estender o âmbito de seu sistema de gestão ao processamento de dados pessoais e demonstrar seu compromisso e diligência às partes interessadas e, por que não, pode implicar uma vantagem competitivo em comparação com outros que não podem provar isso.

Ajudamos a cumprir as 35 horas de formação profissional obrigatória

Somos uma entidade certificada pela DGERT (Direção Geral do Emprego e das Relações de Trabalho) para conceber e organizar ações de formação de qualificação inicial e contínua nos seguintes domínios:

  • (Cod.345) Ciências sociais, comércio e direito » Ciências empresariais » Gestão e Administração
  • (Cod.347) Ciências sociais, comércio e direito » Ciências empresariais » Enquadramento na Organização/ empresa
  • (Cod.482) Ciências matemática e informática » Informática » Informática na ótica do utilizador

 

A formação que ministramos aos colaboradores é válida em qualquer inspecção da ACT para as 35 horas obrigatórias indicada no Código do trabalho. É devidamente registada e emitidos os respectivos certificados de frequência de formação profissional.

A formação de colaboradores para conformidade ao RGPD ajuda a cumprir as 35 horas de formação profissional obrigatória

As ações de formação de qualificação no domínio das medidas técnicas e organizativas em “Segurança da Informação” e “Proteção de Dados” , tem-se revelado como um dos pilares na garantia da sustentabilidade e continuidade dos negócios.

A Controlgal Consulting como entidade certificada pela DGERT concebe e organiza ações de formação  nos domínios do RGDP, Proteção de Dados e Segurança da Informação, com o objetivo  de melhoria dos níveis de segurança atuais de uma forma eficiente e eficaz, através da definição de programas adequados para minimizar os riscos de segurança.

RGPD: como preparar a certificação do nosso sistema de Proteção de Dados?

O Artigo 42º do Regulamento sobre Proteção de Dados (RGPD) preconiza que os Estados Membros, as Autoridades de Controlo, o Comité e a Comissão encorajarão o estabelecimento de mecanismos de certificação de proteção de dados, bem como selos e marcas de proteção de dados, para efeitos de comprovação da conformidade das operações de tratamento de Responsáveis pelo tratamento e Subcontratantes com o RGPD e que deverão ser tidas em conta as necessidades específicas das micro, pequenas e médias empresas, com o objetivo de demonstrar o cumprimento do RGPD nas operações de processamento de dados pessoais por parte de controladores e processadores (Responsáveis pelo Tratamento e Subcontratantes).

Tanto o Autoridade de Controlo nacional (CNPD) quanto Autoridade Europeia para a Proteção de Dados (AEPD) ainda não explicaram os detalhes sobre a aplicação deste artigo, nem existe qualquer indicação.

Então quais são as ações de padronização para cumprir o artigo 42º do Regulamento da UE 679/2016 (RGPD)?

Ninguém sabe o que vai acontecer, mas o melhor é estar preparado para poder demonstrar o compromisso com o RGPD.

Um sistema de gestão de conformidade ao RGPD poderá ser suportado pela implementação da norma ISO/IEC 27001 – Sistema de Gestão de Segurança da Informação (SGSI), que não sendo um requisito do RGPD tem, no entanto, sido referenciado por vários especialistas como a melhor abordagem ao RGPD, pois oferece a garantia de continuidade e consolidação de um Sistema de Gestão de Segurança da Informação (SGSI). Para apoiar a implantação do SGSI pode ser utilizado o padrão ISO/IEC 27002, que fornece um guia completo de controles a serem estabelecidos. Este processo pode ser utilizado em qualquer tipo de organização, pública ou privada, de pequeno ou grande porte, com ou sem fins lucrativos e não apenas em empresas de tecnologia.

Também de forma a operacionalizar um conjunto de princípios fundamentais para a gestão da privacidade, que o RGPD preconiza, as normas ISO/IEC DIS 27552 e ISO/IEC 29151 funcionam como uma extensão certificável com requisitos adicionais para o ISO/IEC 27001, devendo ser utilizadas no Sistema de Gestão para a Proteção de Dados (SGPD),  funcionando neste sistema de conformidade ao RGPD como uma lista de verificação de um conjunto de controles de privacidade e segurança para processamento de Dados pessoais.

Para alguns dos controles já fornecidos pela ISO / IEC 27002, a norma ISO / IEC 29151 “Tecnologia da Informação – Técnicas de Segurança – Código de Práticas para Proteção de Informações Pessoais Identificáveis” ou “Tecnologia da Informação – Técnicas de Segurança – Código de Práticas para a Proteção de Informações Pessoais” especifica mais instruções para implementação em Proteção de Dados pessoais.

Especificamente, as diretrizes baseadas na ISO / IEC 27002 levam em conta os requisitos para o processamento de dados pessoais que podem ser aplicáveis ​​no contexto do ambiente de risco de informações de uma organização.

A ISO / IEC 29151 define objetivos de controle e diretrizes para a implementação de controles para atender aos requisitos identificados por uma avaliação de risco e avaliação de impacto relacionada à proteção de “informações pessoais identificáveis” (PII). Aplica-se a todos os tipos e tamanhos de organizações que atuam com responsabilidades de controlador e / ou processador de dados pessoais (PII conforme definido na norma ISO / IEC 29100 que fornece uma estrutura para a proteção de informações pessoais identificáveis), incluindo empresas públicas e privadas. entidades e organizações sem fins lucrativos que lidam com dados pessoais.

Mas não termina aqui, também deverá ser utilizado a norma ISO / IEC 27552, que expande os controles do ISO / IEC 27001 para sistemas que sejam dedicados à proteção de dados pessoais. No entanto, deve salientar-se que determinados requisitos do RGPD não são diretamente abrangidos por esta norma (como o direito de ser informado, o direito de apagamento e o direito à portabilidade de dados).

Para uma abordagem definitiva à conformidade ao RGPD, todas estas normas poderão ser usadas pelas organizações como uma extensão da sua Declaração de Aplicabilidade e poderá levar a certificações de sistemas de gestão para conformidade ao RGPD com base nas verificações fornecidas pela ISO / IEC 27001, ISO/IEC 27002, ISO/IEC 27552 e ISO / IEC 29151.

Na expectativa de indicações das Autoridades de Controlo e dos Supervisores, já temos material para preparar a certificação do nosso Sistema de Gestão para Proteção de Dados (SGPD).

Deve salientar-se que a adoção da certificação – que não é obrigatória – não reduz a responsabilidade do responsável pelo tratamento ou do subcontratante (Controller ou Processor) pelo cumprimento do RGPD e não prejudica as obrigações e poderes das autoridades de supervisão. No entanto a implementação de um Sistema de Gestão para Proteção de Dados (SGPD) que siga as diretrizes de normas e padrões, pode apoiar significativamente o controlador e / ou o processador no cumprimento do novo paradigma criado pelo RGPD, ou seja, a responsabilidade dos envolvidos na cadeia de tratamento de dados pessoais,  com ênfase especial na avaliação de impacto na  privacidade by design e by default, e serão considerados como atos de diligência pelas partes interessadas para a adoção voluntária de um sistema de análise e verificação dos princípios, leis e regulamentos aplicáveis à Proteção de Dados pessoais.

RGPD e COBIT: implementando conformidade ao RGPD e os princípios do COBIT5

Para as empresas já com uma estrutura de governança sólida, a batalha de conformidade já está meia ganha. Para aqueles sem uma estrutura formal, o RGPD pode-se tornar um grande impulsionador para adotar uma governança TI.

Os frameworks de governança, e numa linguagem comum, são estruturas de boas práticas projetadas para serem adaptáveis para um ambiente específico em que operam e geralmente suportam o teste do tempo, isto é, são aplicáveis independentemente do ambiente externo em mudança e das mudanças em tecnologias, podendo assim ajudar a responder a requisitos regulamentares e de conformidade, fornecendo métodos repetitivos.

Estes frameworks de governança estão focados em fornecer valor, garantindo a entrega de benefícios, otimizando riscos e recursos.

Embora existam inúmeras estruturas no mercado aplicáveis na implementação de um processo de conformidade ao RGPD, destaca-se uma ferramenta apropriada e útil: COBIT.

Esta estrutura simplesmente conhecida como COBIT tem as suas origens baseadas na confidencialidade, integridade, disponibilidade e garantia de informação que corresponde exatamente com o requisito referido no considerando 49 do RGPD: “(…) disponibilidade, a autenticidade, a integridade e a confidencialidade dos dados pessoais (…)”

A mais recente versão COBIT 5 concentra-se nos princípios de governança e gestão TI e é sem dúvida uma ferramenta fundamental na adoção de boas práticas para a realização de benefícios, otimização de riscos e otimização de recursos, bem como, fornecer uma estrutura para governar e gerir o programa de implementação de conformidade ao RGPD.

Há que pensar RGPD como uma oportunidade. Embora manter a conformidade seja oneroso, é claramente a abordagem correta, porque a razão pela qual as empresas existem é para criar valor para as partes interessadas, e bem aplicado, o RGPD será um importante contributo para aumentar valor.

Prestamos serviços de contabilidade e processamento de salários. Também somos obrigados a implementar o RGPD?

A resposta é sim.

então também é obrigado a implementar o RGPD.  E como subcontratante (processador de dados) a sua responsabilidade é amplamente aumentada com o novo Regulamento Geral Proteção de Dados. Pela primeira vez, os processadores de dados têm responsabilidades significativas por direito próprio. Sob o RGPD, os processadores de dados estão sujeitos a contraordenações e outras penalidades muito gravosas.

Sempre que existam dados pessoais envolvidos em qualquer tratamento/processamento, existe uma obrigatoriedade de implementação de um sistema de conformidade ao RGPD porque neste caso, a empresa irá processar dados pessoais referente ao processamento de salários, cuja a responsabilidade do tratamento é da empresa que contrata esse serviço. Neste sentido, o regulamento menciona expressamente os seguintes sujeitos jurídicos:

  • Responsável pelo tratamento– pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro.
  • Subcontratante– uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes.

O responsável pelo tratamento dos dados da empresa que contrata os serviços de processamento de contabilidade e salários terá que o fazer através de um contrato escrito e só deverá recorrer apenas a subcontratantes que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas de uma forma que o tratamento satisfaça os requisitos do regulamento e assegure a defesa dos direitos do titular dos dados.

O processador (neste caso quem processa os salários) deve-se submeter a auditorias e inspeções, fornecer ao controlador todas as informações necessárias e informar imediatamente ao controlador, se ele for solicitado, a fazer algo que viole o RGPD ou outra lei de proteção de dados.

Estes contratos de subcontratação têm que ser obrigatoriamente escritos e há um conjunto de cláusulas obrigatórias a constar no mesmo a partir de 25.05.2018.

Em caso de incidente ou violação de dados, a responsabilidade é solidária e subsidiária entre o responsável pelo tratamento e o subcontratante.

Fale connosco e saiba como podemos ajudar.

RGPD, o DPO e o risco IT: reduzir o risco criando uma cultura de segurança e conformidade….

Embora seja uma dúvida que se tem colocado, nos termos do RGPD é claro que uma das competências do DPO está relacionada com gestão TI, infraestrutura de TI e auditorias de SI, e só um profissional experiente nestas matérias poderá estar em posição de desempenhar as funções de DPO, baseada obrigatoriamente numa ampla experiência nesta área de especialização.

 

Abordando o tema risco / TI, o considerando 77 e os artigos 39º-2 e 35º-2 exigem que o DPO forneça orientações sobre avaliações de risco, contramedidas e avaliações de impacto de proteção de dados. Assim, o DPO deve ter experiência significativa em avaliação de riscos de privacidade de dados, segurança da informação e mitigação, incluindo experiência prática significativa em avaliações de privacidade, certificações de privacidade e certificações de padrões de segurança de informação.

O artigo 32 do RGPD define os requisitos para a segurança do processamento. Em contraste com o quadro legal em vigor até 25 de maio de 2018, o sistema para determinar as condições técnicas e medidas organizacionais é agora explicitamente baseada numa avaliação dos riscos identificados. Uma avaliação e a adoção de medidas baseadas nos riscos não é novidade para as empresas, por exemplo, muitas já possuem um sistema de gestão de risco para mapear riscos de segurança da informação.

O n.º 1 do artigo 32.º do RGPD exige que o responsável pelo tratamento e o processador assegurem que são tomadas as salvaguardas para proteger os dados pessoais.

Em princípio, os processos relacionados ao risco são muito semelhantes. Um procedimento de risco de proteção de dados pode ser o seguinte:

  1. “Criar o contexto” ou “definir o âmbito”
  2. Identificar riscos
  3. Analisar riscos
  4. Avaliação de riscos
  5. Gestão de riscos
  6. Monitorização de riscos

Estes seis passos da gestão de risco podem ser implementados de forma muito diferente na prática, dependendo no âmbito e método utilizado. O RGPD não prescreve um método para análise de risco e serão métodos quantitativos, qualitativos ou mesmo formas mistas que devem ser usados para determinar as medidas para garantir um nível adequado de segurança da informação.

Esta é uma das etapas do processo Risk Assessment & Data Protection Impact Assessment relacionada com a segurança dos sistemas de informação e é um tema que em breve irei desenvolver com mais detalhe nas minhas ações de formação.

Neste artigo e no capítulo da segurança, destaco um dos focos do DPO, que deve estar voltado para o “elo mais fraco” na cadeia da proteção de dados: os colaboradores das organizações.

 

Um dos fatores com maior peso na proteção da infraestrutura e na segurança da informação passa por criar uma cultura de segurança na organização. E neste aspeto de alteração de comportamentos, o DPO tem igualmente um papel fundamental ao ser responsável pela formação dos colaboradores em boas práticas de modo que estes estejam cientes das responsabilidades na confidencialidade, integridade e segurança dos dados.

O estado da cibersegurança das organizações é tudo menos estático e as novas tecnologias alcançam todos os colaboradores. Por ausência ou desconhecimento de normativos internos ou por má aplicação dos mesmos, o erro humano representa uma percentagem muito significativa nos incidentes e nas violações de dados ocorridos nas organizações. A forma de endereçar este aspeto, é o DPO definir programas de sensibilização e formação para a generalidade dos colaboradores, de forma a adequar comportamentos, fomentar a consciência e aumentar o conhecimento de todos os colaboradores nas matérias relacionadas com proteção de dados pessoais.

Para terminar, um bom principio para todos: ligue-se a sítios com URL https://

O RGPD e as nossas escolas

No seguimento das sessões de formação de sensibilização e de consultoria na implementação do Sistema Gestão de Privacidade da Dados (SGPD), focando as obrigações e a forma de obter a conformidade ao Regulamento Geral de Proteção de Dados da UE (RGPD), que tenho ministrado em escolas, decidi neste artigo referir alguns dos novos desafios que se colocam aos estabelecimentos escolares.

O RGPD traz novos direitos para que os residentes europeus tenham controle sobre seus dados pessoais. O RGPD reúne o melhor destas leis individuais e cria uma única regulamentação pan-europeia que cria consistência para os indivíduos na proteção e controle de seus dados pessoais e pode ser facilmente implementada em toda a UE pelos fornecedores de serviços e bens. Além disso, é uma oportunidade para todas as organizações melhorarem a segurança da informação pela qual são responsáveis, seja informação empresarial, de negócio, dados pessoais ou de qualquer outra natureza administrativa/financeira e assim também aproveitar a oportunidade para tomar novas medidas para garantir a segurança de toda a informação. De referir que a digitalização de processos, da informação e dos negócios, a segurança passa a ter um nível de exigência sem precedentes.

Os nossos filhos são talvez a comunidade mais importante para a qual este novo regulamento ajuda a fornecer novas proteções. À medida que as crianças usam cada vez mais aplicativos online, e como nossas escolas estão usando novas tecnologias inovadoras online na sala de aula, essas novas proteções dos dados pessoais são bem-vindas.

O tratamento de dados pessoais dos nossos filhos tem que ser realizado de forma confiável. O fundamento dessa confiança é construído em torno dos princípios do RGPD.

Qualquer estabelecimento escolar que pretenda coletar e tratar dados dos alunos deve fornecer uma base jurídica para essa ação. Se o consentimento for usado como base legal para o processamento de dados, o consentimento deve ser fornecido por uma pessoa com responsabilidade parental se a criança tiver menos de 13 anos. De notar que o aviso de consentimento e privacidade deve ser escrito em linguagem simples que possa ser entendida por crianças e por quem tem a responsabilidade parental.

Para as escolas que usam serviços online na sala de aula, serviços de e-mail, redes sociais, colaboração de documentos e material didático online, será necessária uma atenção especial para garantir que os serviços utilizados sejam totalmente compatíveis com o RGPD.

Alguns passos importantes:

Sensibilizar

·        Certificar que os pessoais docentes e não docentes dentro da escola estão cientes das novas regras de proteção de dados pessoais ao abrigo do RGPD

·        Estar ciente das implicações ao nível da responsabilidade da gestão do estabelecimento escolar por não estar em conformidade com as obrigações do RGPD

·        Realizar ações de formação para que as pessoas entendam as mudanças dentro da escola

Nomear um Encarregado de Proteção de Dados (DPO), se necessário

O RGPD exige que as organizações nomeiem um Encarregado de Proteção de Dados (DPO) obrigatório somente em determinadas circunstâncias (artigo 37º).

Esta função pode ser desempenhada por um elemento interno da organização ou pode ser contratada a uma entidade externa.

Nas situações em que não seja mandatório nomear um DPO, na minha opinião, é sempre recomendável nomear um ponto de contato, alguém interno ou externo por subcontratação, que seja o responsável por informar e aconselhar a empresa sobre a conformidade da proteção de dados, aconselhar sobre a avaliação do impacto da proteção de dados, monitorizar a conformidade da proteção de dados, ministrar formação, realizar auditorias relacionadas com esta área e cooperar e atuar como ponto de contacto com os titulares dos dados e com as autoridades de controlo da proteção de dados.

Considere os dados que a escola possui e o que faz com esses dados

·        Realizar um mapeamento e inventariação dos dados pessoais que a escola atualmente possui, dos tratamentos e dos fluxos de dados pessoais para terceiros. É provável que isso implique uma auditoria completa de proteção de dados.

·        Rever a base jurídica para processar os dados pessoais que a escola possui. Por exemplo, a escola obteve o consentimento dos pais / funcionários ou o processamento necessário para que a escola cumpra suas obrigações legais?

Note que crianças menores de 16 anos não podem “consentir” o processamento de seus dados pessoais.

Rever procedimentos existentes

Rever como a escola procura, obtém e registra dados pessoais e o consentimento dos titulares dos dados.

Alguns pontos a considerar:

·        A escola possui sistemas adequados para corrigir ou apagar dados a pedido de um indivíduo?

·        Tem procedimento para responder a uma solicitação de acesso, oposição ou esquecimento?

·        Há políticas e procedimentos que permitam avaliar e gerir os riscos?

·        Existe procedimentos para tratamento de dados pessoais não automatizados?

·        Os sistemas garantem a confidencialidade, integridade e disponibilidade dos dados?

·        Consegue-se detetar qualquer violação de dados logo que ocorra e comunicá-la em 72 horas?

Por fim, não basta fazer, há que demonstrar:

·        Conseguimos recolher evidências e demonstrar que cumprimos com o RGPD?

O ponto de partida para esta missão é garantir que as escolas tenham as técnicas e as medidas organizacionais de que precisam para ser seguras e produtivas no nosso mundo digitalmente transformador e que cumpram as obrigações do novo regime do RGPD.

 

RGPD: Compreendendo o alcance – Passado, Presente e Futuro

“Who controls the past controls the future. Who controls the present controls the past.” George Orwell, 1984

Nos processos de implementação do Sistema de Gestão Privacidade de Dados(SGPD) para conformidade ao RGPD, tenho identificado que as empresas geralmente se concentram exclusivamente no conjunto de dados e nos tratamentos de dados pessoais que realizam atualmente. Nem sempre consideram as implicações de compartilhar ou receber dados pessoais de terceiros. E sistematicamente os dados do passado não são identificados como relevantes para o processo de conformidade RGPD. Só durante as discussões com a equipa do cliente descubro a existência de dados pessoais e tratamentos que não foram considerados. Ao lidar com dados pessoais, é preciso considerar os estados passados, presentes e futuros desses dados.

 

RGPD e a Classificação de Incidentes de Segurança

Para classificação de incidentes de segurança (Classe de incidente/tipo de incidente) de acordo com a taxonomia de Rede Nacional de CSIRTs:

– Código Malicioso: Infeção, Distribuição, C&C, Other

– Disponibilidade : DoS/DDoS, Sabotagem

– Recolha de Informação : Scan, Sniffing, Phishing

– Tentativa de Instrusão: Exploração de Vulnerabilidade, Tentativa de login

– Intrusão: Exploração de Vulnerabilidade, Compromisso de Conta

– Segurança da Informação: Acesso não autorizado, Modificação/Remoção não autorizada

– Fraude: Utilização indevida ou não autorizada de recursos, Utilização ilegítima de nome de terceiros

– Conteúdo Abusivo: SPAM, Direitos de autor, Pornografia infantil, racismo e apologia da violência

 

A sua organização já implementou o sistema Data Breach para reportar incidentes e violação de dados a partir de 25/05/2018?

RGPD: e o Tratamento de dados pessoais em contexto laboral

RGPD:   Tratamento de dados pessoais no contexto laboral

Os departamentos de RH, vendas, jurídico, financeiro, TI e Marketing são alguns dos departamentos cujas as práticas serão mais afetadas pelo RGPD, pois lidam com a maior parte dos dados pessoais pelos quais a organização é responsável pelo tratamento.

Destaco neste artigo o departamento RH, quer pela quantidade de tratamentos de dados pessoais sob sua responsabilidade, quer pela quantidade de mecanismos técnicos e processos organizativos que tem que implementar, através do seu Sistema Geral de Proteção de Dados (SGPD), de modo a estar em conformidade com o RGPD.

No contexto laboral o tratamento dos dados pessoais tem um impacto substancial uma vez que qualquer empresa que tenha trabalhadores a seu cargo, seja uma pequena ou média empresa, seja uma empresa vocacionada para o recrutamento ou trabalho temporário ou mesmo os grandes grupos empresariais, estão obrigados a estar em conformidade com as exigências do RGPD.

É uma área onde se colocam muitos desafios às organizações e alguns deles, são de grande complexidade técnica para a conformidade ao RGPD. São muitos os cenários que se colocam a um departamento RH no tema do tratamento de dados pessoais no contexto laboral. Alguns exemplos:

  • a seleção e o recrutamento de trabalhadores
  • a utilização de recursos de comunicação na empresa (telemóvel, email, internet,…)
  • a utilização de recursos de comunicação fora da empresa
  • o controlo de tempos de trabalho
  • a utilização de sistemas de monitorização de vídeo
  • a monitorização da atividade de trabalhadores nas redes sociais
  • a utilização de veículos automóveis
  • a divulgação de dados a terceiros
  • a transferência internacional de dados

Um dos desafios é a conformidade ao RGDP da aplicação informática de gestão RH.  Alguns dos módulos funcionais terão que ser alterados até 25.05.2018, como por exemplo no módulo referente às Atividades e Serviços de Segurança e Saúde no Trabalho, onde terá que haver uma separação lógica entre os dados referentes á saúde e os restantes dados pessoais ou para a aplicação do exercício do direito ao esquecimento, o modulo de controlo de assiduidades terá que ser adaptado.

Não sendo o consentimento do trabalhador um fundamento legitimo para tratamento de alguns dos seus dados, a entidade patronal como responsável pelo tratamento dos dados pessoais, terá que recorrer ao fundamento do interesse legítimo com frequência. No entanto, a entidade patronal terá que assegurar que o tratamento é estritamente necessário, proporcional e só deve coletar os dados que são tratados (princípio da minimização).

Tenho como referência as recomendações do GT29, transcrevo algumas das orientações e ideias do documento “Opinion 2/2017 on data processing at work” de 8.06.2017:

  • Todos os tratamentos de dados devem ser comunicados aos trabalhadores
  • Sempre que possível, os trabalhadores ou os seus representantes devem ser envolvidos na elaboração das políticas de tratamento de dados pessoais
  • No caso de dispositivos propriedade dos trabalhadores não é permitida a monitorização permanente das comunicações (BYOD)
  • Aplicar o princípio da proporcionalidade que exige que seja sempre escolhida pelo empregador a forma menos intrusiva de tratar os dados
  • O empregador não pode aceder a dados de saúde recolhidos por dispositivos oferecidos ou disponibilizados aos trabalhadores
  • Não se deve recorrer à utilização de tecnologias de reconhecimento facial para análise de ambiente de trabalho (não respeita o princípio da proporcionalidade)
  • A utilização de tecnologia GPS em veículos deverá permitir a sua desativação se o veículo puder ser utilizado para fins privados

Também para estar em conformidade com o RGPD é fundamental implementar várias medidas que cumpram os princípios da segurança e proteção de dados por “default” e por “design”: minimização de dados, pseudoanonimização, transparência e melhoria contínua de sistema e recursos de segurança, por isso não será demais lembrar algumas medidas a tomar em termos de sistemas de informação:

  • Fornecer pastas de rede e ser obrigatório uma política que limita o armazenamento de documentos em computadores portáteis, postos de trabalho, tablets e dispositivos móveis
  • Todos os dados importantes nos computadores portáteis, de secretária, tablets e dispositivos móveis, em redes de comunicação, nos smartphones ou em armazenamentos externos devem estar encriptados

E por último, uma questão: no seu departamento RH estão disponíveis trituradores de papel e há uma política aplicável à trituração de documentos que contenham dados pessoais dos candidatos e dos colaboradores?

 

#GDPR #RGPD #DataPrivacy #DataProtection #Conformidade #Regulamento #formação #Cibersegurança #Laboral

1 2