O RGPD já chegou e traz imensas alterações ao modo como as empresas precisam de lidar com os dados pessoais dos seus clientes e demais stakeholders. A portabilidade dos dados, o direito ao esquecimento e a obrigatoriedade (ou não) da existência de um encarregado geral de proteção de dados são algumas das principais alterações que a legislação traz. No entanto, uma das maiores preocupações das empresas relaciona-se com as multas avultadas que a lei contempla para os infratores. O novo RGPD aposta fortemente na fiscalização e na penalização, através da aplicação de multas elevadas para os infratores. Nos casos de violações de menor gravidade poderá atingir 10 milhões de euros ou 2% do volume mundial de negócios do grupo onde a empresa se insere e nos casos mais graves podem atingir os 20 milhões de euros ou 4% do volume de negócios mundial. Assim, é essencial saber como evitar as multas do RGPD e é sobre isto que vamos falar no artigo de hoje!
Deverá haver um plano de ação estratégico para a implementação e avaliação constante do RGPD. Todas as áreas da empresa deverão estar envolvidas e neste plano deve constar a identificação, avaliação e categorização dos dados privados que a empresa tem armazenados.
O aconselhamento de profissionais é essencial para que o RGPD seja implementado de forma correta. O consultor jurídico identificará os passos já implementados e os que faltam para cumprir o RGPD. O levantamento de necessidades é muito útil caso precise de recorrer a um parceiro para fazer as alterações necessárias.
A empresa necessita de verificar se é obrigatório nomear um Encarregado de Proteção de Dados. Em caso de necessidade, este profissional é responsável pelas obrigações que constam no RGPD. O novo regulamento exige que seja designado um DPO se um destes casos se verificar:
Os processos devem ser criados ou adaptados, para que os dados sejam protegidos. A metodologia a utilizar deve ser privacy by design, para facilitar a monitorização de comunicação dos eventos relacionados com os dados pessoais.
A política de privacidade dos dados deve ser atualizada de acordo com as novas exigências da legislação. Deve ser definida uma escala de classificação e de tratamento dos dados pessoais. O departamento jurídico da empresa deve estar envolvido neste processo e nesta política devem constar todas as informações relacionadas com o tratamento real dos dados, incluindo a sua finalidade.
A empresa deve implementar processos que permitam detetar, reportar e resolver problemas de violação de dados pessoais, mantendo sempre presente a questão da segurança. Neste caso, aconselha-se a utilização de serviços de recovery as a service.
Os procedimentos de atendimento a clientes devem ser preparados para receber todos os pedidos em conformidade com a nova lei, sejam eles online ou offline. É essencial garantir que a segurança dos dados dos cidadãos não fica comprometida e que o cidadão conhece o objetivo do armazenamento dos dados por parte da empresa.
Todos os fornecedores e parceiros envolvidos no processamento de dados devem cumprir os requisitos do novo RGPD. Por exemplo, ao comprar uma base de dados deverá assegurar-se que a entidade subcontratada também cumpre a nova lei.
A empresa deve criar um programa interno de comunicação, para que envolva todas as áreas nesta mudança. O responsável pelo cumprimento do RGPD deve informar e sensibilizar os colaboradores sobre a privacidade dos dados e os riscos que o não cumprimento da lei traz para a empresa.
A empresa deve garantir que os dados altamente sensíveis estão encriptados ou mascarados, para que não haja o risco de serem perdidos e a empresa ser vítima das pesadas multas que constam no novo regulamento. O Datapeeers oferece uma variedade de técnicas scrambling sofisticadas para proteger dados sensíveis, substituindo-os de forma irreversível por dados fictícios mas realistas.
Sobre o autor