O Regulamento Geral sobre a Proteção de Dados (RGPD) entrou plenamente em vigor em 25 de maio de 2018, com o propósito de dar aos cidadãos europeus o controlo dos seus dados pessoais e simplificar o enquadramento regulamentar dos negócios internacionais através da unificação da regulamentação na União Europeia.

artigo_ciber

Passado praticamente um ano, mais de 95 mil reclamações foram registadas por titulares de dados, e mais de 64 mil notificações de violações de dados pessoais foram registadas por organizações no âmbito do RGPD em todo o mundo. Globalmente foi atingindo um volume de mais de 56 milhões de euros para um total de perto de 100 multas registadas, sendo a multa sofrida pela Google França a mais relevante (50 M€). De notar que as operações irlandesas do Facebook estão sob investigação (no âmbito do RGPD) e, a própria anunciou que está preparada para receber uma multa até 4,5 mil milhões de euros, considerando também o impacto da investigação em curso da procuradoria-geral de Nova Iorque.

A Axians tem estado muito presente e ativa ajudando os seus clientes no caminho de promoção de um ambiente de conformidade, e como podemos avaliar este primeiro ano de atividade das organizações clientes no que respeita à conformidade com a lei europeia (considerando que à data de hoje, Portugal continua sem lei nacional)?

Estado Atual de Conformidade

Qual o nível de alinhamento ao nível da gestão de dados pessoais com os elementos essenciais de conformidade com o RGPD e quais os domínios em que existe um grau de desalinhamento mais expressivo? Quais os fluxos de dados pessoais existentes e quais os riscos associados? Estas foram as questões que procuramos responder em diferentes organizações clientes de diferentes dimensões e setores de atividade.

Após a avaliação das práticas atuais de gestão da proteção dados pessoais nestas organizações, encontramos um nível médio de adesão aos requisitos do RGPD de cerca de 30%.

Estas avaliações incidiram sobre 10 domínios de avaliação, chegando-se ao seguinte resultado médio por cada domínio de avaliação:

10-dominios

É notório algum esforço que as organizações fizeram no domínio da “Governança de Dados” através da determinação de funções e responsabilidades (e.g. nomeação da responsabilidade um DPO – Data Protection Officer / EPC – Encarregado de Proteção de Dados), bem como na elaboração das políticas e avisos de privacidade, e no domínio “Formação e Sensibilização” através de realização de ações de formação e sensibilização em grande parte dos seus colaboradores. Onde foram encontradas maiores carências foi no estabelecimento dos mecanismos de gestão e comunicação de Violações de Dados Pessoais (Gestão de Incidentes), bem como nas práticas de monitorização e melhoria continua da conformidade do RGPD (Monitorização / Melhoria), o que nos permite concluir que de uma forma geral será ainda necessário um esforço significativo ao nível de implementação das práticas necessárias para o aumento do nível de conformidade com o RGPD nas organizações avaliadas.

Para o total de atividades de tratamento de dados pessoais que foram inventariadas, em média 18% contem dados sensíveis (incluídos dados de categoria especial). Em média, 5% das atividades são necessárias a obtenção de consentimento do titular dos dados antes do tratamento poder ser legitimamente efetuado. A avaliação de riscos conclui que 17% dos riscos identificados tem a necessidade de serem mitigados através de medidas ou controlos efetivos.

TOP 10 Ameaças de Privacidade de Dados Pessoais

Em termos de ameaças de privacidade de dados pessoais encontramos os maiores níveis de risco nos seguintes tipos de ameaças:

(1) Retenção desnecessariamente prolongada de dados pessoais;
(2) Acesso não autorizado a dados pessoais;
(3) Recolha excessiva de dados pessoais;
(4) Processamento sem o conhecimento ou consentimento do titular dos dados pessoais;
(5) Relacionamento não autorizado de dados pessoais;
(6) Modificação não autorizada de dados pessoais;
(7) Perda, roubo ou remoção não autorizada de dados pessoais;
(8) Incumprimento dos direitos do titular dos dados pessoais;
(9) Informação insuficiente sobre o propósito do processamento de dados pessoais;
(10) Partilha ou alteração do propósito de processamento de dados pessoais com terceiros sem o consentimento do titular dos dados pessoais.

De uma forma geral, e passado mais de um ano após a entrada em pleno da lei RGPD, conseguimos tirar várias conclusões no contexto das organizações em Portugal e aprender que existe:

(1) falta de cultura de gestão de risco e segurança;
(2) baixo nível médio de maturidade nas medidas essenciais de segurança da informação;
(3) modelos atuais sustentados em gestão reativa ao invés de proativa;
(4) falta de capacidade e competências.

Percebemos também que rapidamente se ganham elevados níveis de conformidade com o RGPD, através de ações quick-wins com o desenvolvimento de:

(1) ORGANIZAÇÃO – funções e responsabilidades da privacidade de dados;
(2) POLÍTICA e avisos de privacidade;
(3) RESPOSTA – mecanismos de gestão da violação de dados pessoais;
(4) CONSENTIMENTO – mecanismos de gestão de consentimentos do tratamento de dados pessoais;
(5) DIREITOS – mecanismos de gestão dos direitos dos titulares de dados pessoais;
(6) FORMAÇÃO e Sensibilização da Privacidade e Proteção de Dados Pessoais.

O caminho para a conformidade

O caminho para a conformidade deve ter uma visão sustentada em 4 princípios orientadores que um programa de conformidade com o RGPD deve estar obrigatoriamente orientado, nomeadamente:

– Identificar e gerir lacunas de privacidade
– Minimizar o impacto de violações de dados
– Cumprir a legislação e regulamentação
– Manter a confiança na marca e clientes

O sucesso da operacionalização da conformidade efetiva com o RGPD requer um conjunto multidisciplinar de competências que devem ser asseguradas de forma Integrada, Sistemática e Competente, que se distribuem em 3 pilares fundamentais de capacidades: jurídico, processos e tecnologia.

Em termos de arquitetura, deve ser estabelecido um modelo de governação e gestão suportado nas boas práticas e normas internacionais de gestão da privacidade e de segurança da informação com o intuito de promover a integração de elementos que usualmente são desenhados e implementados de forma fragmentada. Desta forma aproveitamos a “oportunidade” do RGPD para integrar os modelos de gestão de segurança da informação (e.g. ISO/IEC 27001), ao mesmo tempo que é alavancada a capacidade de resposta à mudança e de suporte à estratégia do Negócio de cada organização, considerando também uma perspetiva de visão futura dos novos desafios regulamentares (ex. Lei n.º 46/2018 / Diretiva Europeia NIS – Security of Network and Information Systems – Segurança das Redes e dos Sistemas de Informação e o Regulamento Europeu da Privacidade e Comunicações Electrónicas – EU ePrivacy Regulation).

Resultados

Um modelo de gestão adequado para as práticas de proteção de dados, em alinhamento com o contexto e requisitos da cada organização e dos requisitos do Regulamento Geral sobre Proteção de Dados (RGPD), deve garantir que:

(1) Dados Pessoais estão efetivamente protegidos
A informação pessoal identificável de colaboradores, clientes, parceiros e fornecedores de cada organização é inventariada, controlada, monitorizada e processada de forma segura. Os riscos de privacidade devem ser geridos sob um nível aceitável.

(2) Alinhamento é efetivo com o RGPD
A revisão das práticas de gestão de dados pessoais irá contribuir para a determinação do caminho necessário para o cumprimento dos requisitos da legislação e regulamentação relativa à gestão da privacidade de dados, estabelecida na União Europeia, evitando coimas e outros prejuízos para a organização.

(3) A confiança e valor da marca de cada organização é mantida
Entregar qualidade e valor para os stakeholders de cada organização, de forma a garantir que a gestão da privacidade de dados entrega “real” valor e suporta a confiança e o valor da marca, bem como ir ao encontro dos requisitos de negócio.

 

 

Para saber mais sobre a nossa oferta, descarregue o documento.

Faça download aqui