A situação normal, tipicamente revelada em Auditorias de avaliação – Audit Checklist, evidencia a necessidade da maioria das organizações que recolhem e tratam dados pessoais em se prepararem de forma planeada e sistemática para alinharem as suas atividades em conformidade com os requisitos do RGPD.
A conformidade de uma organização com o RGPD / GDPR deverá ser visto como um projeto que segue as etapas fundamentais do modelo de Deming Plan-Do-Check-Act (PDCA).
Por estas razões, propomos a utilização desta metodologia devido à sua ampla aplicabilidade, fácil adaptabilidade aos requisitos de cada organização, bem como pelo seu caráter interativo e contínuo.
Tomando como base o típico modelo PDCA, a nossa abordagem para a realização de um projeto de preparação e conformidade ao RGPD e à proteção de dados de forma geral, estende-o ainda mais, incorporando as diretrizes dos standard ISO 27001 / 27002 e nas orientações do recente standard ISO/IEC ISO 27701:2019 Security Techniques, que se concentra no gestão da segurança das informações relativas à privacidade, nas melhores práticas publicadas em vários standards ISO e de várias outras diretrizes europeias (em particular do Working Party 29 e do European Data Protection Supervisor (EDPS) . Todas estas orientações e práticas estão de alguma forma refletidas nas etapas de cada fase.
Principais desafios, tarefas e resultados da fase de Análise e Diagnóstico:
Desafios | Serviços e Entregáveis | Descrição dos Serviços |
Avaliar o grau de conformidade das diferentes áreas da Organização com o RGPD | GDPR gap analysis | Realizar e entregar um relatório de Avaliação, evidenciando o atual estado da Organização relativamente ao RGPD, e um plano de atividades e recomendações para endereçar os gaps e os respetivos riscos ao nível Jurídico, Tecnológico e Segurança. |
Avaliar a situação atual relativa aos Dados pessoais na Organização – Quais, Quem, Onde, e Como são mantidos os Dados. | GDPR data flow audit e Mapa de Inventário (art 30) | Realizar e entregar um inventário de Dados Pessoais recolhidos, processados e guardados pela Organização e, respetivo mapeamento dos processos com os principais fluxos de dados. |
Avaliar plano de comunicação, de formação e “awareness” aos gestores e colaboradores chave sobre o RGPD. | Formação de RGPD – awareness | Realizar sessão de “Awareness” de introdução sobre princípios e responsabilidades fundamentais definidos no RGPD. Realizar e recomendar plano de comunicações orientado a todos os colaboradores da Organização. |
Avaliar a proteção de dados nos principais fornecedores – subcontratantes | Lista de fornecedores e Iniciativa de conformidade com o RGPD | Identificar os fornecedores que disponibilizam aplicações ou equipamentos que armazenam dados pessoais. Iniciar processo de inventariação dos fornecedores (em conformidade com RGPD). |
Avaliação dos riscos relativos ao RGPD da introdução de novos processos e sistemas de informação e necessidade de avaliações de Impacto (DPIA). | Avaliação de Riscos e modelo do Data protection impact assessment (DPIA) | Realizar e entregar uma avaliação preliminar dos riscos da proteção de dados pessoais associados aos principais processos ou sistemas de dados pessoais e o respetivas recomendações (se necessário). |
Avaliar e recomendar um plano de atividades para o projeto de conformidade ao RGPD. | Plano de adequação e preparação para o RGPD | Realizar e recomendar um plano de Adequação para uma transição para o RGPD, que deve incluir:
|
Contactos
- Sede: R. José Cardoso Pires, nº 3, Loja C1 , R/C - Quinta do Castelo 2690 - 416 Santa Iria Azóia
- marketing@trustyourdata.pt