Conseguimos recolher evidências e demonstrar que cumprimos com o RGPD?

As nossas Frameworks de avaliação e de conformidade com RGPD foram elaboradas a partir dos 39 artigos do RGPD que exigem evidências de medidas técnicas ou organizacionais para demonstrar a conformidade. Na Controlgal mapeámos 55 atividades, que contêm 330 controlos a nível organizacional e processual que, se implementados, permitem a conformidade RGPD e podem produzir as evidências que ajudarão a demonstrar o cumprimento contínuo com obrigações de conformidade ao RGPD.

A nossa Metodologia de Implementação para a Conformidade ao RGPD

Fase 1 - Diagnóstico | Análise da maturidade em Proteção de Dados Pessoais

Esta atividade visa obter o conhecimento e a compreensão de alto nível da organização, saber o que tenho e onde estou como base do processo de compliance.

Pretende-se assegurar o acesso das versões atualizadas da documentação, formulários automatizados e não automatizados usados pela organização, bem como a informação das categorias e naturezas dos dados pessoais que são processados e tratados pela organização ou tratados por subcontratantes em nome desta, de fluxos de dados pessoais para terceiros e informação relevante dos repositórios de informação.

Pretende-se ainda observar as práticas técnicas e organizativas da organização na sua atividade quotidiana e compará-las com práticas de referência.

Pretende-se finalmente comparar todos os elementos assim recolhidos com as exigências de privacidade e segurança de dados pessoais conforme estabelecido no RGPD.

Principais atividades:

  1. Ação de formação presencial (2 H) aos dirigentes e responsáveis por manusear dados pessoais. O tempo adstrito a cada tema variará conforme a maior ou menor interação dos participantes.
  2. Identificação de áreas departamentais e colaboradores que manuseiam dados pessoais;
  3. Identificação de arquivos, repositórios, físicos e digitais, estruturados e não estruturados com dados pessoais;
  4. Mapeamento de medidas técnicas e organizacionais existentes;
  5. Inventariação e mapeamento exaustivo de dados pessoais, operações de tratamento, fluxos, naturezas, categorias, repositórios, tecnologias TI, documentos, informações, formulários automatizados e não automatizados, relações contratuais com terceiros, entre outros;
  6. Caracterização do ambiente TI envolvente, politicas, procedimentos internos de segurança da informação e sua adequação aos riscos de privacidade de dados pessoais;
  7. Levantamento dos procedimentos e politicas internas que regulem as varias fases de operações de tratamento de dados, como a recolha, comunicação, arquivo e eliminação; e
  8. Levantamento dos mecanismos de autenticação e proteção de dados físicos e digitais existentes, que visem assegurar a confidencialidade, integridade, disponibilidade dos dados pessoais, bem como a prevenção de acessos não autorizados.
  9. Análise da efetividade do sistema para o exercício direitos dos titulares de dados;
  10. Análise da efetividade do sistema de gestão da segurança da informação;
  11. Análise de políticas e procedimentos implementados;
  12. Análise e avaliação das operações de tratamento;
  13. Análise de entidades subcontratadas, responsabilidades e contratos;
  14. Auditoria a páginas web (políticas de privacidade, cookies), nas várias secções da página web, redes sociais, blogs, fóruns ou links para outras páginas ou aplicações;
  15. Avaliação de desconformidades em 3 dimensões (passado, presente e futuro); e
  16. Elaboração da matriz de riscos e pontos críticos em 2 dimensões (Impacto e probabilidade de acontecer);
  17. Elaboração do Plano de Transformação para a conformidade normativa, com indicação das atividades a executar e objetivos a atingir;
  18. Identificação das necessidades de investimentos, oportunidades de simplificação e otimização dos processos decorrentes da aplicação das tecnologias de informação disponíveis na organização, bem como das práticas analisadas;
  19. Será apresentado um cronograma para a transformação, atribuindo prioridades com base no mapeamento dos riscos existentes: nível de risco e nível de esforço para redução de risco e/ou cumprimento do RGPD;
  20. Proposta de medidas técnicas, organizativas e de segurança a adotar;
  21. Definição clara de responsabilidades (organigrama de quem faz o quê) e envolvimento forte de todos os elementos da organização, colocando a privacidade e a proteção de dados na agenda da organização, para que entre na cultura da mesma.

Como fazemos

Usamos uma framework como ferramenta de produtividade, para análise e avaliação dos pontos críticos, nível dos riscos e mapeamento dos requisitos de conformidade, analisando mais de 330 controlos pragmáticos e temos como padrão as boas práticas de Segurança de Informação (ISO 27001).

Com base no relatório de encerramento – Plano de Transformação – entregue nesta fase, o cliente terá toda a informação necessária para iniciar a fase de implementação de forma autónoma, ou podendo ainda decidir se pretende apoio da Controlgal na execução.

Fase 2 - Implementação | Plano de Transformação

  • Depois concluído a fase de Diagnóstico, dar-se-á o inicio da fase de implementação do Plano Transformação que vai garantir a gestão da conformidade com o RGPD.

    Nesta etapa, os nossos consultores apoiam e acompanham a equipa do cliente na execução da implementação dos processos e sistemas estabelecidos no Plano de Transformação.

    As entidades têm a responsabilidade de conseguir provar que cumprem com o regulamento, acautelando os registos probatórios, as evidências do cumprimento do RGPD.

    Principais atividades:

    1. Politicas internas e externas de privacidade, manuais e documentos;
    2. Implementação operacional, quer ao nível organizacional, processual e tecnologias: Definição do plano de ação com as atividades a executar, estimativa de qual o tempo necessário e os recursos necessários a envolver para a sua concretização; As novas obrigações que incidem sobre o responsável pelas operações de tratamento; Desenvolvimento e execução do PIA (pessoas, processos e tecnologias); Processos para assegurar o exercício de Direitos de acesso, retificação, cancelamento e oposição (direitos “ARCO’); Processos para assegurar os novos direitos específicos do titular dos dados, sobretudo o direito ao esquecimento, de portabilidade e segurança dos dados; Plano de resposta a violações de dados pessoais; Redação de textos para cumprimento das obrigações de informação e obtenção do consentimento.
    3. Normativas Internas;
    4. Formação mobilizadora dos recursos humanos (presencial – todos os colaboradores);Revisão dos contratos com subcontratados ou como sub-responsável para garantir que parceiros e fornecedores estejam em conformidade; e
    5. Apoio na nomeação do Encarregado de Proteção de Dados (DPO) e/ ou Ponto de Contato Institucional.

Fase 3 - Serviço DPO | Manutenção | Aconselhamento | Reação a notificações e incidentes

  • Temos as qualificações especificas, independência e livres de qualquer situação de conflito de interesses, para fazermos o acompanhamento, monitorizamos periodicamente a sua organização e garantimos que a organização dispõe daquilo que é exigido em termos de “accountability” (auditorias regulares, evidências, ferramentas e formação).

    Nomear um E.P.D. pode não ser obrigatório, mas é um instrumento de salvaguarda para a organização.

    Principais atividades:

    1. Gestor para a Proteção de Dados, apoia a organização na receção e resposta atempada aos pedidos externos de exercício dos direitos;
    2. O âmbito do serviço do Encarregado de Proteção de Dados (DPO), materializa-se no exercício da função conforme o artigo 37º (Designação), 38º (Posição), 39º (Funções) e considerando 97 (Independência) do RGPD).

    eventuais necessidades

Responsabilidade, Governança e Evidência

Abordagem Estruturada para a Gestão da Privacidade e  Conformidade RGPD

Ao iniciar a conformidade com o RGPD, geralmente uma ampla variedade de abordagens são promovidas, como o início de um inventário de dados, uma estrutura de governança ou a realização de avaliações de impacto de proteção de dados.

A abordagem estruturada:

i) Funciona para qualquer organização, independentemente do tamanho, setor ou indústria;

ii) Incorpora responsabilidade de gestão de privacidade em toda a organização;

iii) Trabalha com recursos disponíveis;

iv) Permite a demonstração da conformidade do RGPD;

v) Documenta e  justifica recursos para aprimorar os esforços de conformidade RGPD.

O desafio com as abordagens tradicionais é que nem todas as organizações têm os recursos ou processos de negócio para começar a sua gestão de privacidade.

A nossa abordagem é baseada no conceito da Gestão de Privacidade Estruturada.  Esta metodologia de abordagem de Gestão de Privacidade Estruturada é baseada em três elementos: Responsabilidade, Governança e Evidência.  Esta metodologia irá ajudar a implementar um sistema de Gestão de Privacidade em toda a organização, incorporando medidas técnicas e organizacionais, de modo que se possa demonstrar uma capacidade contínua de conformidade com o RGPD.  Esta abordagem escala para todas as organizações, independente da sua dimensão, resultando na capacidade de demonstrar responsabilidade e conformidade com base em evidências.

Tem dúvidas?

Pretende mais informações sobre este serviço de conformidade RGPD?

Preencha o formulário com os seus dados e as suas questões e entraremos em contacto consigo para lhe darmos todas as informações pretendidas.