Agora que já abordámos todos os aspectos essenciais do RGPD, há ainda algumas questões que têm de ser consideradas a um nível mais global. Uma delas é a responsabilidade dos subcontratantes e dos responsáveis pelo tratamento. Todas as pessoas que processam dados pessoais devem cumprir os requisitos estabelecidos no RGPD e devem também ser capazes de demonstrar e provar que esses requisitos foram cumpridos. Se estiver familiarizado com as auditorias, saberá o que isso implica. Depois de ter explicado os meios para garantir o cumprimento das obrigações específicas, deve também demonstrar que segue efetivamente os procedimentos relevantes e que controla adequadamente a forma como os seus empregados os executam. Este é o tema desta publicação no blogue.
Uma grande parte do trabalho administrativo consiste em demonstrar que está familiarizado e compreende todos os aspectos do RGPD e que a sua organização cumpre os requisitos. A aplicação deve ser pragmática mas abrangente, especialmente nas pequenas empresas, organizações e associações. Pode encontrar muitas dicas sobre como o fazer nas publicações anteriores. No futuro, terá de manter a sua documentação actualizada.
Em primeiro lugar, é necessário garantir que a sua organização dispõe de conhecimentos especializados suficientes. Nas organizações com um responsável pela proteção de dados (RPD), a responsabilidade é confiada ao RPD e ao seu pessoal. Mesmo que não tenha um RPD, tem de estar bem informado e dar formação aos seus empregados.
Os registos das operações de tratamento de dados pessoais são essenciais para demonstrar a conformidade. É obrigado a manter estes registos ao abrigo do RGPD, que, ao mesmo tempo, constituem um ponto de partida ideal para documentar a forma de garantir a proteção de dados. Para cada operação de tratamento descrita, deve demonstrar que considerou a finalidade e a base jurídica da operação de tratamento, que ponderou o risco de uma violação de dados e que tomou todas as medidas de segurança adequadas. É claro que também é necessário desenvolver um procedimento adequado para garantir que esta informação permaneça completa. Cada operação de processamento adicional deve ser introduzida nos registos. O RPD tem um papel importante a desempenhar neste domínio. Presta assistência e controla se o procedimento é efectuado com precisão e em tempo útil.
No caso de grandes projectos, esta análise preliminar pode ser formalizada sob a forma de uma avaliação de impacto sobre a proteção de dados (AIPD). Trata-se de uma análise formal de uma operação de tratamento de dados que visa identificar todos os potenciais riscos para a privacidade, enumerar todas as medidas de proteção e determinar se a finalidade e a base jurídica da operação de tratamento cobrem os restantes riscos. Se uma operação de tratamento intensivo envolver categorias especiais de dados pessoais, deve ser apresentada uma AIPD à autoridade de proteção de dados (APD – na Bélgica, a Comissão de Proteção da Vida Privada).
Naturalmente, todas as medidas tomadas no domínio da segurança devem também ser devidamente documentadas. Ao realizar uma auditoria à proteção de dados, espera-se que seja capaz de demonstrar imediatamente quais os procedimentos aplicáveis, quando é que a versão mais recente está actualizada, os funcionários que aplicam cada procedimento e se esses funcionários foram notificados e sabem o que fazer. Se algum dos procedimentos incluir controlos periódicos, é importante estabelecer, de uma forma ou de outra, que esses controlos são efetivamente realizados. É preferível conservar os ficheiros de registo técnico e os relatórios de monitorização durante algum tempo. Se forem efectuados controlos manuais, é necessário criar um pequeno relatório ou manter um registo, por exemplo, para poder mostrar quando foram efectuados esses controlos e por quem. Além disso, todo o sistema de segurança deve ser avaliado periodicamente (pelo menos uma vez por ano) e ajustado para refletir as mudanças na organização, as ferramentas e técnicas utilizadas ou as soluções de segurança disponíveis.
Neste contexto, deve ser dada especial atenção ao registo de incidentes e violações de dados. Qualquer situação que entre em conflito com os procedimentos normais de segurança e qualquer descoberta que exponha a existência de um risco de violação de dados deve ser registada com precisão num registo de incidentes. É evidente que os elementos indicados neste registo devem ser objeto de uma investigação mais aprofundada para determinar a sua causa subjacente. Ao mesmo tempo, são planeadas acções com o objetivo de reduzir os riscos. Exemplos de medidas que podem ser tomadas incluem medidas técnicas de segurança adicionais, procedimentos e controlos adicionais ou modificados e novas formas de notificação ou registo. Isto tem de ser documentado para que possa provar a sua responsabilidade. Embora um sistema de monitorização complexo não seja necessariamente necessário para este fim, deve, pelo menos, ter vários registos bem organizados que contenham informações sobre todos os incidentes (incluindo a sua análise e soluções acordadas), bem como todos os itens de ação, o seu estado e a pessoa a quem foi atribuída a responsabilidade.
Deve ser dada especial atenção aos acordos contratuais com parceiros ou fornecedores. É necessário celebrar acordos de tratamento de dados com os subcontratantes para garantir que estes também cumprem adequadamente a legislação. É aconselhável manter registos dos subcontratantes a quem confiou as operações de tratamento de dados pessoais, especificando exatamente o que cada subcontratante teve de fazer e como chegou a acordo sobre isso. Esta pode ser associada a um contrato específico. Além disso, deve certificar-se de que a sua própria casa está em ordem se for um processador que actua por conta de um cliente. As operações de tratamento devem ser inscritas nos seus registos, embora, na qualidade de responsável pelo tratamento, não seja necessário introduzir tantos pormenores como o responsável pelo tratamento dos dados. Mais uma vez, é essencial que todos os acordos cruciais sejam incluídos num acordo de tratamento de dados.
Por último, deve poder demonstrar que está em condições de garantir os direitos das pessoas em causa. Deverá prever um acordo adequado sobre o procedimento a adotar em caso de perguntas de uma parte interessada. É melhor manter registos de todas as suas actividades neste contexto. Se mantiver registos de cada pedido recebido de um indivíduo, anotando a data e a hora em que foi recebido e todas as acções subsequentes tomadas, poderá verificar se reagiu a tempo e se respondeu adequadamente. Significa também que poderá sempre demonstrar que cumpre a legislação da melhor forma possível se for auditado pela DPA ou em caso de queixa. É fundamental manter um registo da linha de raciocínio seguida, sobretudo se não quiser ou não puder satisfazer o pedido.
Por conseguinte, o simples cumprimento da legislação não é suficiente. Além disso, é necessário documentar e poder provar o facto. Por último, é crucial que sejam tomadas medidas antes do início de todos os projectos futuros para minimizar os riscos potenciais. Este será o tema da próxima edição deste blogue.
Este artigo foi extraído de
Grupo Joos
.