Ozona Consulting · ISO 20000, ISO 270001, ISO 22301 consultancy

Implementação e conformidade com o regulamento europeu de proteção de dados

O cumprimento do Regulamento Geral de Proteção de Dados (RGPD) é obrigatório e visa harmonizar as regras relativas à liberdade de circulação dos dados pessoais nos diferentes Estados-Membros da União Europeia, enquanto promove a proteção das pessoas singulares.

 

Atualmente, o panorama das cyber ameaças, do hacking ou da fuga de informação, é muito mais grave do que a maioria das pessoas reconhece. Cada vez mais, o esforço das organizações se centra em reduzir o risco de eventuais violações que comprometam a sua atividade ou de alguma forma impactem no seu negócio. Nada de novo até aqui, senão o facto de essas violações, no que concerne a dados pessoais, necessitarem de ser detectadas e devidamente comunicadas, e de no limite poderem causar enormes perdas financeiras ou de reputação.

 

E se por um lado as organizações estão sujeitas a ações conscientes com o objectivo de comprometer a sua informação, por outro reconhecemos que de dentro da própria organização, quer por ações voluntárias ou involuntárias, tal informação é comprometida e neste capítulo, o comportamento da organização é facilmente afectado pelo comportamento de um único colaborador ou grupo colaboradores. Neste particular, as organizações enfrentam um desafio bem maior que o da conformidade, nomeadamente a alteração da consciência interna e da sua atitude perante a privacidade.

 

As organizações terão de assumir que estar conforme o Regulamento é um objectivo a priorizar, mas que o mesmo não significa estar seguro. Trata-se apenas de reduzir a probabilidade da materialização das ameaças, tratando riscos de forma sistemática. E o que podemos ir fazendo é apostar nos investimentos tecnológicos corretos, adaptar os procedimentos ou os processos de negócio, consciencializar a organização e monitorizar em intervalos regulares.

COMPROMISSO COM O CUMPRIMENTO

Demonstrar o compromisso contínuo para com o cumprimento do Regulamento (não apenas com intenções, mas com ações concretas)

EVITAR PENALIZAÇÕES

Reduzir o risco de perdas financeiras e danos reputacionais, nomeadamente os que decorrem de reclamações e multas.

FORMALIZAR PROCESSOS

Implementar políticas e procedimentos, adequando-os às exigências do tratamento de dados pessoais, atualizando sempre que necessário os processos de negócio

FORMAR

Consciencializar todos os intervenientes nos fluxos de tratamento dos dados pessoais, estabelecendo canais próprios com os titulares de dados pessoais, e demonstrar que os produtos e serviços da organização, respeitam e estão em conformidade com o Regulamento

GERIR RISCOS

Manter uma visão clara e atual dos riscos que podem afetar os dados pessoais, para facilitar eventuais respostas ou até para endereçar novos projetos e iniciativas internas

GERIR INCIDENTES

Identificar e reportar os incidentes que comprometam ou possam vir a comprometer a segurança dos dados pessoais

COMO GARANTIR ESTES OBJETIVOS

Em função do tipo de negócio ou dimensão das empresas, do volume de subcontratação a que recorrem, poderá tornar-se bem mais complicado identificar fluxos de dados pessoais, e os riscos a que estão expostos. Para tratar esses riscos mais específicos, pode ser essencial contar com a ajuda de profissionais especializados e nesse sentido necessitar de complementar as suas equipas recorrendo a:

  • Apoio jurídico especializado em privacidade de dados
  • Apoio em especializado em Gestão da Segurança da Informação

APOIO JURIDICO

  • Um apoio jurídico com experiência terá as ferramentas para informar e aconselhar as organizações e os trabalhadores a respeito das suas obrigações decorrentes do Regulamento. Ajuda a definir os passos necessários para assegurar o cumprimento do RGPD.
  • O controlo da conformidade de ações a implementar pela organização para cumprir o RGPD, incluindo a repartição de responsabilidades, deverá passar pelo crivo do apoio jurídico.

APOIO EM SEGURANÇA DA INFORMAÇÃO

  • Um apoio especializado em sistemas de gestão de segurança de informação, é essencial, pois poderá rapidamente avaliar a situação de qualquer organização, independentemente da sua natureza ou dimensão, e identificar as ações a desenvolver.
  • De acordo com o Regulamento, podem ser usados códigos de conduta e certificações para demonstrar a conformidade com o Regulamento, pese embora as mesmas não constituam mecanismos de isenção das responsabilidades.
  • Enquanto não surgem novos standards ou selos ou marcas de proteção de dados de privacidade a implementação de um Sistema de Gestão de Segurança de informação (ISO 27001) é neste momento, não a única, mas talvez a abordagem que melhores garantias pode oferecer, de um caminho seguro e eficiente na direção da conformidade com o RGPD.
  • Não é um requisito para a conformidade com o Regulamento, mas certamente uma enorme vantagem para quem a ambiciona.
  • Para além de ser um standard internacionalmente reconhecido, pode ser adaptado para reforçar o controlo da organização sobre o tratamento dos dados pessoais, em todas as fases do ciclo de vida dos mesmos.
  • Um Sistema de Gestão de Segurança da Informação (ISO 27001), certificado por um organismo de certificação independente, representa o investimento efectuado pela Organização, e demonstra o compromisso da mesma para com os objectivos do mesmo, e nesse sentido, poderá em alguns casos atenuar em casos de violação do Regulamento.

INFORMAÇÃO ADICIONAL

METODOLOGIA

 

 

 

 

 

 

 

 

 

 

 

 

 

 

SERVIÇOS OZONA

A Ozona Consulting apresenta os seguintes serviços, nesta área:

  • Assessment inicial – Avaliação inicial de conformidade e maturidade com os requisitos RGPD e ISO27001. Relatório de assessment muito completo com descrição de planos de ação
  • Formalização de documentação – Documentação de toda a informação necessária para garantir a conformidade com o RGPD (por exemplo, políticas, planos e procedimentos)
  • Implementação – Definição e implementação de processos; Sistemas de gestão; Análise de riscos;
  • PIA (Privacy Impact Analyse) – Definir e descrever o contexto de processar os dados pessoais sobre consideração e os seus stakeholders; Identificar controlos existentes ou planeados; avaliar os riscos de privacidade para garantir que serão corretamente tratados; Validar a forma como será planeada a conformidade com os princípios de privacidade e tratamento dos respetivos riscos; melhoria continua
  • Auditoria interna – Auditoria de processos; Auditoria de ferramentas; Auditoria de registos
  • Formação – Worksops e ações de sensibilização

MODELO DE GESTÃO OZONA

A Ozona Consulting desenvolveu um modelo de gestão de acordo com os requisitos do RGPD e das normas internacionais ISO 27000 e com base nas boas práticas que inclui como principais componentes:

  • Modelo de assessment e auditoria interna baseado na ISO 15504.
  • Base documental comum para a definição do sistema de gestão, disponível em quatro idiomas, atualizada conforme as respectivas normas e tendo em conta os requisitos do RGPD.
  • Metodologia específica de implementação deste tipo de projetos com ferramentas online de seguimento de projeto.
  • Solução Ozona ISO 27001 Starter, com todos os elementos requeridos para a implementação efetiva dum sistema de gestão, criada a partir da experiência ganha em projetos reais de certificação em auditorias com AENOR, SGS, Bureau Veritas, EQA, APCER e BSI.
  • Apoio jurídico especializado de profissionais com experiência nacional e internacional em projetos de Data Privacy Governance.

EQUIPA OZONA

A Ozona Consulting formou uma equipa internacional com as seguintes características nesta área:

  • Competências ao nível da implementação e manutenção de Sistemas de Gestão, incluindo a Segurança da Informação, e as competências de Data Privacy Governance onde garantimos serviços jurídicos especializados para o posicionar de forma continuada em conformidade com a legislação.
  • Garantia da envolvência em todos os nossos projetos RGPD, profissionais de excelência, quer na vertente jurídica, quer na vertente mais técnica.

Contamos na nossa equipa com:

  • editores internacionais presentes no comité de segurança da informação,
  • juristas especialistas na proteção de dados pessoais com experiência profissional a nível europeu
  • consultores seniores especializados em sistemas de gestão, gestão de risco, RGPD & Compliance
  • auditores internos em segurança da informação e proteção de dados
  • formadores oficiais em Risk & Compliance

Solicite mais informação

[inbound_forms id=”2431″ name=”GPDR”]

Se preferir, para solicitar mais informação, por favor contacte-nos através do endereço de e-mail: consultores.lisboa@ozonaconsulting.com