Como dá resposta às necessidades impostas pelo RGPD?
Ter uma gestão de dados pessoais de forma manual e por vezes em folhas de cálculo, representa um esforço enorme na garantia de atualização que o RGPD obriga, na demonstração de responsabilidade e das evidências, e até na resposta imediata às solicitações dos titulares dos dados e/ou da autoridade de controlo.
Perante esta realidade, o nosso SGPD - Sistema de Gestão de Proteção de Dados proporciona uma visão mais ampla, capacitando a sua organização para fazer mais com os ativos (dados pessoais) e fazê-lo de forma mais responsável, mensurável e totalmente controlada, através das evidências registadas para estar compliance com o RGPD.
Temos apoiado instituições dos mais variados contextos e de vários core-business e pela experiência, sabemos que “one size fits all” não é solução.
Este sistema (também integrável no SGI), permite centralizar toda a gestão de dados pessoais de forma a ser mais fácil demonstrar a responsabilidade (accountability) que o regulamento nos exige.
① REGISTO DE ATIVIDADES DE TRATAMENTO (RAT)
Ainda gere os RAT em folhas de cálculo?
Potencie uma gestão perfeita das Atividades de Tratamento
Usufrua de pesquisas, filtros, exportações e dashboards
Envolva os processors e controllers
Saiba qual o fluxo dos dados pessoais em todo o seu negócio
Aprecie o nível de risco sobre o tratamento dos dados e dos respetivos ativos
Conforme o art.º 30 do RGPD, cada responsável pelo tratamento e, sendo caso disso, o seu representante devem conservar um registo das atividades de tratamento (RAT) sob a sua responsabilidade. É certo que esta obrigação não se aplica a instituições com menos de 250 trabalhadores, a não ser que:
o tratamento efetuado seja suscetível de implicar um risco para os direitos e liberdades do titular dos dados
que o tratamento não seja ocasional
ou caso tratem categorias especiais de dados.
Não obstante, é desejável que que todas as instituições mantenham estes registos sempre atualizados.Assim, com este módulo, conseguirá gerir:
Responsáveis pelo tratamento dos dados e/ou do seu representante
Responsáveis conjunto pelo tratamento dos dados, se existirem
DPO/EPD (encarregado da proteção de dados), caso exista
Finalidades do tratamento dos dados (objetivo/propósito do processamento)
Categorias dos titulares dos dados, Categorias de dados pessoais
Categorias de destinatários a quem os dados pessoais foram ou serão divulgados
Transmissão de dados para países terceiros ou organizações internacionais
Medidas de salvaguarda no envio para países terceiros
Período de conservação dos dados
Descrição geral das medidas técnicas e organizativas de Segurança adotadas
etc.
O software permite ainda que cada SUBCONTRATANTE e/ou o representante deste, conserve um registo de todas as categorias de atividades de tratamento realizadas em nome do responsável pelo tratamento.
Nestes casos o software permite ainda gerir:
Subcontratantes (Processors)
Responsável pelo tratamento em nome do qual o subcontratante atua e/ou do representante do responsável pelo tratamento
Categorias de dados pessoais efetuados em nome do responsável pelo tratamento
Transferências de dados para países terceiros ou organizações internacionais, se aplicável
Medidas de salvaguarda no envio para países terceiros
Arquivo digital e encriptado na nossa plataforma dos contratos/agreements com subcontratantes
É possível exportar um RAT para ser disponibilizado, a pedido, à autoridade de controlo (CNPD).
O Registo de atividades de tratamento é um processo vivo e por isso, o nosso software mantém todas as versões, permitindo identificar qual era a relação de atividades de tratamento existentes, em determinada data.
② AVALIAÇÕES DE IMPACTO SOBRE A PROTEÇÃO DE DADOS
Uma AIPD descreve o tratamento, avalia a necessidade e proporcionalidade desse tratamento e ajuda a gerir os riscos (decorrentes do tratamento dos dados pessoais) para os direitos e liberdades das pessoas singulares, para determinar as medidas necessárias para fazer face a esses riscos.
Com esta gestão no nosso software, simplificamos o processo aos responsáveis pelo tratamento, não apenas para cumprir os requisitos do RGPD, mas também para demonstrar que foram tomadas medidas adequadas que assegurem a conformidade, quer seja no início de qualquer projeto importante que envolva o uso de dados pessoais, quer esteja a fazer alterações significativas nos seus processos.
Em consonância com a abordagem baseada no risco, não é obrigatório realizar uma AIPD para todas as operações de tratamento. Deve fazê-lo sempre que as operações de tratamento dos dados, possam resultar num elevado risco para os direitos e liberdades das pessoas singulares, onde o responsável pelo seu tratamento deverá abrir uma AIPD para determinar a natureza, âmbito e contexto, assim como avaliar o risco, tomando as medidas a implementar de forma a comprovar que o tratamento de dados pessoais está em conformidade.
Assim, conseguirá gerir:
Gerir todas as AIPDs (Novos, abertos, fechados)
Abrir AIPDs antes do tratamento (pré) e/ou durante alterações nos processos.
Especificar a informação de quem faz a avaliação (identificação e cargo do controller, do DPO, etc.)
Registar a necessidade da AIPD
Descrever o fluxo de informações (operações de tratamento previstas, finalidades, contexto, objetivos)
Auscultação e pedidos de parecer às partes interessadas
Avaliar a necessidade e proporcionalidade
Identificar a privacidade e riscos relacionados
Identificar as medidas para reduzir riscos
Fecho com validação de resultados
Integrar os resultados no plano do projeto
Em algumas situações, o responsável pelo tratamento considera que uma operação não é suscetível de implicar um elevado risco e como tal, nestes casos deve justificar e documentar as razões que o levam a não realizar uma AIPD e incluir e registar no nosso software os pareceres/recomendações do DPO.
Exportações para folhas de cálculo e para PDF são possiveis, mediante uma série fantástica de filtros de forma a chegar rapidamente à informação de que necessita.
③ INVENTÁRIO DE DADOS PESSOAIS
A gestão de um inventário de dados pessoais é altamente recomendada, porque, além de ser fácil de o fazer com o nosso software, os mapas de fluxo de dados (Data mapping) fazem parte da documentação do art.º. 30.º e são ainda um passo essencial para concluir uma avaliação de impacto na proteção de dados (AIPD).
Desta forma, poderá obter um inventário de dados pessoais a qualquer momento sobre qualquer período, com a indicação dos fluxos dos dados pessoais sobre os vários ativos.
Fazemos uma análise de dados alinhada com os objetivos estratégicos do negócio para identificar data-breaches, avaliando o risco dos dados pessoais com o mindset na proteção e privacidade de forma a garantir total compliance.
É ainda neste processo de mapeamento que se define, para cada dado pessoal ou categoria de dados pessoais, quais as bases legais de processamento entre outros requisitos que o RGPD nos exige.
Com um clique, teremos resposta às dúvidas sobre:
Onde andam os dados pessoais na minha instituição?
Porque processamos determinados dados?
Que categorias de dados pessoais estão a ser processadas?
Quais os detalhes sobre as transferências de dados para outros países?
Qual o período de retenção dos dados?
Quais as medidas técnicas e organizativas de salvaguarda de dados pessoais que temos em vigor?
Qual o nível médio de risco atual?
Além das pesquisas, é possível exportar um IDP para PDF de forma a manter um inventário em ficheiro a ser usado conforme for oportuno.
④ EXERCÍCIO DE DIREITOS PELOS TITULARES DOS DADOS
Geramos um formulário automático para integrar no seu website institucional
Todos os pedidos registados online vão diretamente para a plataforma
Esses pedidos são automatizados e atribuídos aos responsáveis delegados de forma imediata
Monitorize via linha do tempo e nenhum pedido irá expirar
Com o nosso dashboard mantenha um acompanhamento de forma gráfica, em tempo real
Esta funcionalidade permite centralizar os exercicios de direitos (de forma manual ou automática) pela possibildiade de preenchimento online na plataforma sendo o seu responsável imediatamente notificado. Assim, nenhum pedido é esquecido graças à automatização implementada no nosso software.
Ao dar seguimento ao pedido, poderá o responsável registar todas as ações necessárias, todas as comunicações entre as partes interessadas assim como, solicitar pedidos de parecer especializados sobre o processo. Estas comunicações, pedidos de parecer e anexos ficam sempre associados permitindo, de forma imediata, demonstrar conformidade.
O responsável conseguirá acompanhar todo o processo pelo dashboard, visualizando o estado de todos os pedidos, graficamente pela sua tipologia, assim como uma timeline de alerta sobre os prazos a expirar brevemente.
Assim, é possível gerir:
Gestão dos exercícios de direitos pelos titulares
Registados internamente ou externamente (online)
Análise dos exercícios de direitos registados (Direito de Acesso, retificação, esquecimento, apagamento, limitação de tratamento, portabilidade, oposição e informação)
Delegação automática aos responsáveis com notificações instantâneas
Pontos de situação dos pedidos (Por iniciar / em tratamento / Fechados / a expirar,...)
Gestão de alertas e muito mais...
⑤ GESTÃO DE VIOLAÇÃO DE DADOS
O RGPD introduz o requisito de que seja notificada a violação de dados pessoais à autoridade de controlo nacional (ou, no caso de uma violação transfronteiriça, à autoridade principal) e, em certos casos, de comunicar a violação às pessoas singulares cujos dados pessoais tenham sido afetados pela violação.
Esta funcionalidade permite gerir a informação requerida em caso de incidente de violação de dados e preparar a adequada notificação à autoridade de controlo.
Assim, será possível gerir:
Natureza da violação de dados pessoais
Categoria e quantidade de titulares afetados
Número aproximado de registos de dados pessoais em causa
Identificação do DPO, caso exista, (nome e contactos)
Consequências prováveis (efeitos)
Medidas adotadas ou propostas pelo responsável pelo tratamento e/ou medidas para atenuar os seus eventuais efeitos negativos
Repositório de evidências (gravadas de forma encriptada) e com controlo de acessos.
A notificação da violação de dados fica centralizada na Gestão de Interações com a Autoridade de Controlo.
É possivel comunicar estes registos à autoridade de controlo, para verificação do cumprimento do RGPD (art.º 33.º)
⑥ INTERAÇÕES COM AUTORIDADE DE CONTROLO
Se uma Avaliação de Impacto sobre Proteção de Dados (AIPD) realizada, indicar que o tratamento de dados pessoais resulta num elevado risco na ausência de medidas tomadas, o RGPD permite (e considera boa prática) que seja realizada pelo responsável pelo tratamento uma consulta prévia à autoridade de controlo.
Neste módulo, é possível controlar de forma ágil a realização das consultas prévias, as autorizações e notificações que sejam necessárias gerir.
Assim, as operações permitidas são, mas não se limitam a:
Definição de responsabilidades (entre o responsável pelo tratamento/ responsáveis conjuntos/eventuais subcontratantes)
Finalidades e meios de tratamento
Medidas e garantias previstas
Contactos do Encarregado de proteção e dados
AIDP referente ao tratamento
Informações necessárias/solicitadas pela autoridade de controlo
Repositório de evidências (gravadas de forma encriptada) e com controlo de acessos
Gestão de alertas sobre os prazos a decorrer
Entre outras potencialidades…
Resumidamente:
A nossa plataforma na cloud, permite-lhe facilmente:
Envolver os responsáveis a colaborar em todos os processos RGPD
Controlar eficazmente os RAT-Registos de atividades de tratamento
Gerir eficientemente as AIPD - Avaliações de Impacto sobre Proteção de Dados
Usufruir do DPO dashboard com indicadores e níveis de risco
Obter o Inventário de dados pessoais
Visualizar o mapeamento dos dados pelos vários ativos (Data mapping)
Total gestão das interações com a Autoridade de Controlo
Integrar automaticamente no seu site, o nosso webform para o Exercicio de direitos pelos titulares dos dados
Registar e controlar as violações de dados interagindo com a autoridade de controlo
Receber alertas e acompanhe os pedidos de parecer
Este SGPD é 100% integrável no nosso Sistema de Gestão da Segurança da Informação (SGSI) ISO 27001.
