Como é que o RGPD impacta a segurança da sua empresa?

Como é que o RGPD impacta a segurança da sua empresa?

O RGPD – Regulamento Geral de Proteção de Dados – surgiu devido à necessidade de regular de forma mais séria a segurança dos dados dos cidadãos. Cada vez mais, disponibilizamos dados pessoais às empresas com as quais nos relacionamos e, devido às ameaças constantes de ataques cibernéticos, é fundamental garantir que os dados partilhados se mantêm seguros. O RGPD visa proteger as informações pessoais dos cidadãos e, um ano e meio depois da sua chegada, ainda existem muitas dúvidas quanto ao verdadeiro impacto que terá nas organizações. Por isso, preparamos este artigo no qual explicamos como é que o RGPD impacta a segurança da sua empresa!

Cuidado no tratamento dos dados pessoais

De acordo com a legislação, consideram‑se dados pessoais quaisquer informações relativas a uma pessoa individual identificada ou identificável através das mesmas (identificável «por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social»). Todos os dados que tenham estas características devem ser mantidos de forma segura, para não haver risco de perdas ou fugas. O Datapeers desempenha um papel importante nas empresas que pretendem garantir ao máximo a segurança da informação através do mascaramento de dados. O mascaramento de dados tem o principal objetivo de proteger os dados confidenciais contra acessos não autorizados. Na prática, as ferramentas de mascaramento de dados criam uma versão semelhante aos dados originais em termos de estrutura mas sem revelar a sua verdadeira informação. Na realidade, o seu formato original mantêm-se inalterado, mas os dados apresentados são fictícios. Ou seja, numa coluna de uma base de dados com informação bancária dos utilizadores de uma loja online, é possível mascarar os dados através da criação de novos números bancários em que os algarismos foram “misturados”, criando número fictícios, mas com o mesmo valor para o tratamento dos dados pretendido. Os dados mascarados podem ser utilizados em ambientes de teste e em auditorias, não comprometendo o resultado da análise, mas garantindo sempre a confidencialidade da informação.

Consentimento no tratamento de dados

O regulamento cria barreiras adicionais às práticas atuais de recolha e tratamento de dados em Portugal, introduzindo regras mais rígidas às empresas no que diz respeito ao consentimento para a recolha e tratamento de dados pessoais. As empresas têm que considerar a criação de um contrato com o titular dos dados, o cumprimento de obrigações jurídicas e a defesa de interesses vitais do titular dos dados. Com o novo regulamento um contacto de um cartão-de-visita, por exemplo, não poderá ser incluído em nenhuma base de dados sem o consentimento explícito do seu titular. Em termos práticos, a utilização de caixas previamente selecionadas, a ausência de respostas, a inatividade e o consentimento através de termos e condições deixarão de ser permitidos, pois nenhum dos meios apresentados é considerado um meio de demonstração do cumprimento dos requisitos de consentimento do novo regulamento.

Nomeação de um DPO

De acordo com o RGPD, o Data Protection Officer (DPO) pode ser qualquer pessoa que trabalhe na organização, desde que reúna algumas condições. O DPO precisa de ter conhecimentos especializados no domínio do direito e nas práticas de proteção de dados. Não é obrigatório que seja um advogado, mas este profissional tem que ter conhecimentos jurídicos aprofundados na área de proteção de dados e experiência neste setor. O DPO terá que ter a capacidade para aconselhar a Administração da empresa e os seus colaboradores a respeito das obrigações do Regulamento, assim como das outras disposições de proteção de dados em vigor na UE e noutros Estados-Membros. É importante que este profissional tenha aptidão para ensinar, comunicar as suas ideias e fazer-se entender junto de todos os colaboradores da empresa. O DPO precisa de conhecer ao pormenor tudo sobre a empresa, nomeadamente procedimentos de cada departamento. Ao DPO exige-se ainda o controlo da conformidade dos processos da empresa com o novo RGPD, através de auditorias. O regulamento permite que o DPO desempenhe outras funções além da responsabilidade com a proteção dos dados, mas aconselha-se que este profissional dedique a maior parte (ou mesmo a totalidade) do seu tempo às questões de proteção de dados e cumprimento da legislação.

Alterações à política de segurança da empresa

A política de privacidade dos dados deve ser atualizada de acordo com as novas exigências da legislação. Deve ser definida uma escala de classificação e de tratamento dos dados pessoais. O departamento jurídico da empresa deve estar envolvido neste processo e nesta política devem constar todas as informações relacionadas com o tratamento real dos dados, incluindo a sua finalidade.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *