Proteção de Dados Pessoais

A nossa abordagem

Temos uma visão holística da segurança da informação. O que significa?

Que zelamos pela proteção dos ativos valiosos das empresas, tais como os dados e as informações inerentes à atividade comercial, oferecendo formação em métodos e ferramentas para a organização da gestão de processos, a eliminação de informação obsoleta ou desnecessária e a criação de bases de dados válidas e utilizáveis em benefício do negócio.

Com o nosso apoio, as empresas conseguem afastar cenários de incumprimento das leis aplicáveis, aumentando a confiança junto dos clientes e melhorando a reputação, alcançando vantagem competitiva sustentada nas melhores práticas.

O que oferecemos

Uma equipa com profissionais especializados, combinando formação jurídica e tecnológica, experiente em projetos de implementação, auditoria e monitorização de sistemas de gestão de proteção de dados e segurança da informação.

Um serviço dedicado, contando com apoio presencial ao cliente nas diversas fases da implementação, oferecendo ainda formação e sensibilização acerca da proteção de dados.

Contacte-nos aqui para obter um orçamento detalhado.

Os nossos serviços

Consultoria	Implementação de políticas de privacidade Desenho e implementação de procedimentos, manuais de boas práticas e regulamentos internos Avaliações do impacto da proteção de dados Gestão de incidentes
Auditoria	Auditorias à conformidade (nas fases iniciais e de acompanhamento)
Formação	Formação intraempresa adaptada ao setor de atividade do negócio
Encarregado da Proteção de Dados (EPD)	Exercício das funções de Encarregado da Proteção de Dados externo Acompanhamento e apoio ao Encarregado da Proteção de Dados interno

No dia 25 de maio de 2018, entrou em aplicação direta o Regulamento Geral sobre a Proteção de Dados em todos os Estados-Membros da União Europeia, o que representou uma mudança de paradigma nesta matéria.

Qualquer entidade que recolha, registe, utilize, divulgue ou de outra forma trate dados pessoais deverá garantir a segurança destes dados.

Entende-se por dados pessoais qualquer informação que possa identificar uma pessoa singular, nomeadamente o nome, o número de identificação, os dados de localização, ou qualquer elemento físico, tal como a imagem, ou qualquer outra que permita tornar identificável uma pessoa singular.

A grande mudança que o regulamento trouxe foi o facto de terem de ser as próprias entidades a provar-se capazes de demonstrar que cumprem estas exigências legais.

Como cumprir o regulamento

1. Tratamento Lícito	O tratamento de dados pessoais só é possível caso haja uma base de licitude associada a essa operação, como sejam: a execução de um contrato no qual o titular dos dados é parte; o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito; o consentimento livre, específico, informado, explícito e inequívoco, para uma ou mais finalidades específicas; o interesse público ou o exercício da autoridade pública; a defesa de interesses vitais do titular dos dados; o interesse legítimo de um responsável pelo tratamento, tendo sempre em conta os interesses ou os direitos e as liberdades fundamentais do titular.
2. Direitos dos Titulares	Os titulares dos dados têm o direito de conhecer a identidade de quem trata os dados, bem como de que forma, para que finalidades e também o fundamento jurídico que suporta o tratamento. Os titulares dos dados têm ao dispor um conjunto de direitos que, em determinadas condições, poderão exercer. Após ser concedido o direito de acesso, os titulares devidamente informados, poderão solicitar a retificação, limitação, portabilidade, oposição ou mesmo o apagamento dos dados.
3. Cumprimento Demonstrável do Regulamento	Cada entidade terá de ser capaz de provar: que os dados que guarda são utilizados apenas para as finalidades determinadas no momento da recolha; que os dados que guarda estão atualizados, são armazenados de modo seguro e apenas acedidos por pessoas em funções necessárias para o cumprimento da finalidade dos dados; que, como entidade, dispõe de políticas internas, códigos de conduta e procedimentos para o tratamento dos dados; que monitoriza o tratamento dos dados de modo a garantir que todos os procedimentos indicados são seguidos.
4. Notificação em caso de violação da privacidade dos dados	Cada entidade que trate dados deverá conseguir provar que dispõe de um sistema de alerta à Comissão Nacional da Proteção de Dados (CNPD) num prazo máximo de 72 horas no caso de violação da privacidade dos dados que seja suscetível de resultar num risco para os direitos e liberdades dos titulares.
5. Segurança dos Dados	As entidades deverão ter a capacidade de garantir a confidencialidade, integridade e disponibilidade dos dados que tratam, implementando um sistema de gestão de segurança da informação. É necessário assegurar que é possível localizar os dados tratados e eliminar os que não estão em conformidade. Em determinados casos, é ainda necessário efetuar testes de segurança.
6. Encarregado da Proteção de Dados (EPD)	As entidades que tratam dados pessoais em larga escala, bem como dados sensíveis, deverão nomear um Encarregado da Proteção de Dados, que ficará responsável por controlar que a entidade age em conformidade com o RGPD.

Como atuamos

Agregando a componente jurídica à tecnológica, a nossa equipa especializada está vocacionada para direcionar qualquer negócio para a conformidade com o Regulamento Geral da Proteção de Dados (RGPD), prestando serviços de consultoria e formação sobre as melhores práticas a adotar face a esta nova realidade.

Deste modo, para os nossos clientes poderem garantir o cumprimento do RGPD, dividimos a nossa atuação em quatro momentos distintos:

1. Avaliação da situação atual do tratamento:

levantamento dos dados tratados;
levantamento dos consentimentos e demais requisitos tendo em conta o tipo de dados e as finalidades para que foram recolhidos;
levantamento das políticas de acesso aos dados pelos titulares;
levantamento dos sistemas de segurança utilizados;
verificação das políticas internas existentes;
elaboração de relatório detalhado indicando os passos a implementar para cumprimento do RGPD.

Este primeiro momento é fundamental para se poder enquadrar todos os deveres no âmbito do RGPD. Só tendo toda esta informação será possível elaborar com pormenor um relatório de impacto do cumprimento do RGPD.

2. Implementação de medidas operacionais a tomar para cumprir o RGPD:

redação das políticas internas no âmbito da privacidade: políticas de consentimento, políticas e prazos de conservação dos dados;
formação dos colaboradores sobre as melhores práticas a adotar;
mapeamento dos acessos aos dados pelos vários intervenientes;
definição dos poderes do titular dos dados: gestão do direito ao esquecimento e gestão do direito à portabilidade, entre outros.

O segundo momento é uma parte que combina vertentes teóricas e práticas no qual alertamos para as necessidades operacionais do negócio, informando sobre como suprir qualquer incumprimento do RGPD.

3. Implementação das medidas técnicas a adotar para cumprimento do RGPD:

Com base na avaliação dos riscos associados ao tratamento dos dados, são recomendadas medidas para alcançar a conformidade:

verificação da conformidade técnica dos processos utilizados no tratamento dos dados pessoais;
testes ao sistema de gestão de segurança de informação, lógico e físico;
elaboração de relatório de conformidade técnica.

Esta fase técnica é essencial para que a empresa esteja em conformidade com a nova realidade legislativa, garantido também a segurança tecnológica dos dados.

4. Auditoria e monitorização

É realizada uma auditoria final ao sistema de gestão de proteção de dados implementado:

apresentação do relatório de auditoria;
designação de Encarregado da Proteção de Dados interno ou em prestação de serviços, conforme a necessidade.

Esta última fase de auditoria e de planeamento da monotorização dos sistemas implementados é crucial para o sucesso na proteção dos dados tratados a longo prazo, acompanhando as exigências legais e a própria evolução da organização.