registo de tratamento

Conferência 6 Meses de RGPD: Os desafios da Aplicação Prática

Partilhar

Na 4ª Feira dia 12 de Dezembro de 2018 a Católica Lisbon levou a cabo uma iniciativa alusiva aos 6 Meses de RGPD em Portugal, e aos desafios e oportunidades por este trazidos.

Estiveram presentes palestrantes de renome tais como Filipa Calvão (Presidente da CNPD), Emilie Barrau (Director Corporate Services Expert West and South of Europe da CGI), Luis Poças (Presidente da Comissão Técnica de Conduta de Mercado da APS), Joaquim Falcão de Lima (Diretor de Marketing Brisa), Susana Mendes (CRM Coordinator BMW) e Luis Silveira Rodrigues (Vice Presidente da DECO).

Filipa Calvão (CNPD)

Partilhou alguns números destes 6 meses, 147 violações comunicadas à CNPD, entre públicas e privadas, mas mencionou que deste numero ficou um conjunto alargadíssimo de queixas de titulares de dados, que foram encaminhados para o campo devido.

Alertou que a ignorância dos responsáveis de tratamento sobre assuntos como o CIA (Confidencialidade, Integridade e Acessibilidade) que já têm mais de 20 anos, pois já constavam na lei da protecção de dados pessoais 95/46, não é imputável à CNPD.

Sublinhou que não vale a pena os Responsáveis de Tratamento (Organizações) tentarem ocultar violações de dados, pois tudo se vem a saber, normalmente a Entidade de Controlo toma conhecimento ou pelos Titulares dos Dados ou pelos Media!

Relembrou ainda que as notificações devem ser feitas até 72 horas, mesmo que ainda não tenhamos todos os dados necessários. Em caso de risco elevado os Titulares dos Dados devem também ser notificados. Ressalvou que a não notificação leva a sanção e que as Organizações devem comprovar que adoptaram as medidas técnicas e organizativas necessárias, inclusivamente deu um exemplo de uma Organização Alemã que ao ter uma violação de dados pessoais, não teve coima pois comprovou que tinha investido um valor avultado em medidas técnicas que deveriam ter sido suficientes para mitigar este risco.

Emilie Barrau (CGI)

Partilhou o desafio constante que tem na gestão dos Subcontratantes e na dificuldade que teve na gestão Worlwide.

 

Joaquim Falcão de Lima (Brisa)

Partilhou a “aventura” que a Brisa escolheu seguir, ao iniciar um processo de Consentimento de novo para os clientes do Programa Viagens e Vantagens, que era perto de meio milhão.

A razão pela qual decidiram iniciar o processo de Consentimento para toda a base dados, centrou-se na depuração da BD e na tentativa de maior aproximação dos clientes.

Esta operação foi um sucesso, através de uma operação de marketing muito criativa e sustentada conseguiram manter 94% da BD

Susana Mendes (BMW)

Partilhou também um caso de sucesso análogo ao da Brisa, em que conseguiram manter 24% da base de dados.

 

Luis Poças (APS)

As conhecidas dificuldades do sector segurador nos ramos de Saúde, Vida e Acidentes Pessoais, que estão a impedir este setor de obter informações de saúde do Titular dos Dados para medir o risco das apólices.

Como esta dificuldade poderá ser ultrapassada?

Ou por via administrativa, através da CNPD, ou por Legislação, através da lei nacional ou em ultimo caso por via Judicial.

Em conclusão, foi unânime que o RGPD trouxe mudanças, dificuldades, oportunidades e melhorias de procedimentos e segurança interna nas organizações.

Para a RB Consulting foi importante estar presente neste evento, pois reforçamos as nossas certezas que a nossa Framework de trabalho RGPD (Metodologia) está perfeitamente alinhada com a Conformidade RGPD em Portugal, e adequasse perfeitamente às necessidades das PME’s no nosso país!

Saiba mais informações sobre a FRAMEWORK RB CONSULTING

Posted by rbadmin  |  0 Comment  |  in Comunicados, Comunicados em Destaque, RGPD, RGPD Destaque

Comportamentos Vs. Segurança dos Sistemas de Informação

Partilhar

 

Muito se tem falado nas ciberameaças no que diz respeito à segurança dos Sistemas de Informação das organizações, mas mais do que temer estes ataques organizados, devemos olhar para dentro das organizações e procurar implementar políticas de segurança de informação que mitiguem as falhas internas.

Segundo o estudo “Cost of Cybercrime”, da consultora Accenture, 81% das quebras de segurança nas empresas resultam de roubos de credenciais, na maioria dos casos resultantes de comportamentos menos adequados dos colaboradores, tais como deixar ligado o PC sem estar bloqueado nas ausências, partilhar passwords com os colegas, escreveu-las em locais visíveis, entre outros.

Embora supostamente seja senso comum que as passwords são como a escova de dentes, não se devem partilhar, podemos constatar que devemos sempre questionar se o nosso senso comum é igual ao dos nossos colegas, como podemos ver no vídeo em baixo, em que um membro do parlamento português afirma publicamente que é impossível trabalhar em equipa sem esta partilha.

https://dms.licdn.com/playback/C4D05AQFTTiNyoCT7RQ/08a960fded204fe983b1076b77a7950e/feedshare-mp4_3300-captions-thumbnails/1507940147251-drlcss?e=1544112000&v=beta&t=W1Jv6ViqzQ1aJhQ9aMwobJHitf298zVsDd2xuWapZxc

O RGPD menciona várias diretrizes neste sentido, por isso consideramos importante criar, escrever, testar e controlar os novos procedimentos!

Posted by rbadmin  |  0 Comment  |  in Comunicados, Comunicados em Destaque, RGPD, Segurança Destaques, Segurança Informática

Framework RGPD RB Consulting

Partilhar

A RB Consulting criou uma Framework de trabalho totalmente desenhada para as necessidades das Empresas Portuguesas.

Esta Framework contempla 2 níveis de serviço (TaylorMade e OneShot), dependendo da dimensão/necessidade da organização:

Esta Framework concentra-se num conjunto de controlos-chave e capacidades. Estes podem ser resumidos em seis pilares vitais:

RAP:

O RAP (Registo de Atividades de Processamento) está no centro da nossa Framework. Este baseia-se no Artº 30 do RGPD e é a fase mais demorada do programa de conformidade, onde são identificados todos tratamentos da organização que contém dados pessoais.

 

Matrizes:

A RB Consulting criou um conjunto de Matrizes baseadas no Regulamento, no European Board Data Protection (WP 29), na ICO e outros organismos especializados em RGPD e privacidade.

Estas matrizes baseadas em gestão de risco permitem as organizações decidir com bases mensuráveis todas as decisões necessárias para a Conformidade no RGPD.

 

Testes:

Após as tomadas de decisão baseadas no RAP e nas matrizes de risco, consideramos imprescindível analisá-las e testá-las se foram as mais corretas

 

Políticas:

As Políticas de Privacidade servem para dar a conhecer aos vários Stakeholders (utilizadores do site, colaboradores, clientes, fornecedores, parceiros, entre outros) que decisões as organizações tomaram e que procedimentos definiram baseada nos tratamentos de dados pessoais descritos no RAP.

 

Ações:

Aqui definimos as ações necessárias para mitigar os riscos encontrados nos tratamentos de dados pessoais

Sensibilização:

A Sensibilização para a mudança cultural da organização é constante durante a implementação do programa de conformidade.

Esta inicia com a equipa de implementação RGPD interna, administração e termina com todos os colaboradores que tratam dados pessoais dos vários Stakeholders.

Posted by rbadmin  |  0 Comment  |  in Comunicados, Comunicados em Destaque, RGPD, RGPD Destaque

RGPD – Prazos de Conservação dos Dados Pessoais

Partilhar

O Regime Geral de Protecção de Dados (RGPD) diz-nos que devemos guardar os dados pessoais durante o período necessário para as finalidades… Qual o tempo adequado?

Devemos analisar a Legislação direta (ex. código do trabalho), indireta (ex. prazos de impugnação) e Boas Práticas (ex. Regulamentos Internacionais).

A análise desta Legislação e Boas Práticas guia-nos para o correto tempo de retenção!

Tem duvidas? Contacte-nos!

 

Posted by rbadmin  |  0 Comment  |  in Comunicados, Comunicados em Destaque, RGPD, RGPD Destaque

RGPD – Princípios dos Tratamentos de Dados e suas Licitudes

Partilhar

Na nossa opinião o Regulamento tem como objetivo que as organizações continuem a tratar dados pessoais, mas com regras.

Estas regras estão bem descritas no regulamento e se as lermos podemos considerar senso comum:

  • Minimização dos dados – tratar apenas os que são necessários para o tratamento que pretendemos;
  • Limitação das Finalidades – definirmos bem a razão pela qual pretendemos fazer os tratamentos;
  • Responsabilidade – cumprir o definido;
  • Integridade e Confidencialidade – segurança;
  • Limitação da Conservação – definir prazos para apagamento;
  • Exatidão – manter os dados atualizados;
  • Licitude, Lealdade e Transparência – tratamentos lícitos, leais e transparentes para com o titular dos dados.

 

Todos os tratamentos de dados pessoais que fazemos, ao abrigo do artigo 6º do Regulamento, apenas poderão ser encaixados em 6 Licitudes:

  • Consentimento – pedir autorização ao titular dos dados, tem alguns “custos” de gestão desse consentimento e pode ser retirado pelo titular a qualquer momento;
  • Contrato – contratos de serviços, com colaboradores, diligências pré-contratuais, entre outros;
  • Obrigação Jurídica – estarmos “escudados” por leis que nos obrigam a esse tratamento;
  • Interesses Vitais – casos que o titular dos dados não consegue dar consentimento por motivos de saúde;
  • Interesse ou autoridade pública – organizações públicas ou “escudadas” de interesse público;
  • Interesses Legítimos – Interesse legítimo da nossa organização, poderá ser uma alternativa ao consentimento, mas exige uma gestão de risco deste tratamento em função dos direitos dos titulares dos dados.

Somos da opinião que a “moda” do pedido de consentimento nem sempre é a melhor opção!

Tem dúvidas? Pergunte-nos como!

Posted by rbadmin  |  0 Comment  |  in Comunicados, RGPD, RGPD Destaque

Exemplo de um registo de tratamento RGPD

Partilhar

Na pratica o que é que o Regulamento Geral de Protecção de Dados nos pede?

Na nossa opinião o ponto base para iniciar todo o processo é o Registo de Tratamento de Dados Pessoais (artigo 30 do regulamento), é por aí que devemos iniciar, assim como saber os vários ficheiros na rede onde os dados pessoais estão.

Deixamos em baixo um exemplo de um registo de tratamento de dados, um exemplo prático que todas as organizações têm que é o processamento de salários.

No final exempleficamos como fazer uma análise de risco do tratamento, sempre em relação ao Titular dos Dados.

Contacte-nos para saber como a RB Consulting poderá ajudar a sua organização a atingir a conformidade no RGPD.

https://www.rbconsulting.pt/wp-content/uploads/2018/06/Exemplo-do-registo-de-1-tratamento-de-dados-201805.pdf

Posted by rbadmin  |  0 Comment  |  in Comunicados, Comunicados em Destaque, RGPD, RGPD Destaque