Em vigor desde Maio de 2016, em implementação desde Maio de 2018 - o Regulamento Geral sobre a Protecção de Dados (RGPD) da UE ainda deixa muitas empresas a pensar: Seremos afectados? E, em caso afirmativo: como é que alcançamos a segurança jurídica? E o que podemos fazer para garantir a conformidade com a protecção de dados?
Loading...
Desde Maio de 2018, as empresas que lidam com dados pessoais - e são muitas - têm de estar preparadas para pagar uma multa pesada. As sanções por violação de dados podem ser significativas. E isto é sempre assim se não cumprirem integralmente os requisitos do novo RGPD. Além disso, a nova versão da Lei Federal Alemã de Protecção de Dados (BDSG) complementa e fundamenta o RGPD. No entanto, nesta matéria, a incerteza prevalece em todo o lado:
- O que são "dados pessoais"?
- Somos nós uma "entidade responsável" de acordo com o GDPR?
- Quem é um "titular de dados"processamento automatizado" de dados pessoais?
- Temos que nomear um oficial de protecção de dados?
Que medidas tem de ser implementadas
A lista de questões de conformidade com a protecção de dados que têm de ser abordadas é longa.
É verdade que a definição dos termos utilizados no regulamento pode ser encontrada nas listas de perguntas frequentes. No entanto, isso não garante necessariamente clareza no que respeita ao significado concreto para cada empresa. O mais tardar quando se aguarda a implementação e o cumprimento das medidas e deveres necessários (porque exigidos) por parte dos trabalhadores, tem de haver respostas correctas a estas questões, por exemplo:
- O que são "medidas técnico-organizacionais"?
- Quando são necessárias?
- E a "proporcionalidade"?
- E os muitos "controlos" requeridos pelo GDPR, tais como "acesso ou controlos de divulgação"?
- Como pode ser garantida a conformidade da protecção de dados?
Protecção de dados vs. segurança de informação
de qualquer forma, o passo certo para uma empresa afectada é a definição de um sistema de gestão da protecção de dados - adaptada às suas necessidades individuais, se necessário já com vista a uma certificação acreditada.
O que é frequentemente confundido aqui: A protecção de dados e a segurança da informação são dois pares de sapatos, mesmo que existam sobreposições (por exemplo, várias medidas de controlo). Por exemplo, as empresas que dispõem de um sistema de gestão da segurança da informação (SGSI) totalmente abrangente, em conformidade com a norma ISO 27001, abrangem, até certo ponto, o tema da protecção de dados.
Mas, mesmo aqui, continua a haver um delta que pode ser descoberto e fechado com ou sem um SGSI, utilizando uma análise de lacunas.
"A diferença fundamental entre os dois temas: A segurança da informação protege os dados de uma empresa contra a utilização indevida por terceiros; a protecção de dados visa proteger os dados pessoais."
Em Agosto de 2019, com a ISO 27701, foi publicada uma nova norma que formula requisitos para a protecção de dados na gestão da segurança da informação. A ISO 27701 especifica, assim, um sistema de gestão da protecção de dados baseado na ISO 27001, na ISO 27002 (orientação para medidas de segurança da informação) e na ISO 29100 (quadro para a protecção de dados). A ISO 27701 é um suplemento à ISO 27001. A certificação de acordo com a nova norma, por si só, não é possível
Loading...
Gestão da privacidade de dados com a ISO 27701
Protecção de dados no contexto da segurança de informação - um tópico excitante? Mais conhecimento de peritos acerca da norma ISO 27701 no nosso White Paper gratuito.
Conformidade com a protecção de dados - benefícios
você recebe
- Informação de confiança acerca das áreas para acção
- Conhecimento acerca de potencial escondido
- Maior segurança de acção e segurança jurídica no tratamento de dados após a aplicação de medidas adequadas
no lado seguro - com uma auditoria de protecção de dados DQS
As empresas que se esforçam por garantir a conformidade em matéria de protecção de dados devem, por conseguinte, fazer duas coisas: familiarizar-se o mais rapidamente possível com o tema, ou familiarizar os seus responsáveis pela conformidade, e solicitar a um organismo independente, como a DQS, que determine o status quo sob a forma de uma análise das lacunas.
O foco de uma auditoria de protecção de dados é uma auto-avaliação com revisão de documentos. A empresa é então verificada no local para determinar se está em conformidade com os aspectos essenciais da protecção de dados. Um relatório mostra se há necessidade de acção e, em caso afirmativo, qual a acção necessária.
Loading...
Análise de lacunas de protecção de dados DQS
Qual o volume de trabalho necessário para uma análise de lacunas? Descubra-o gratuitamente e sem compromisso
Newsletter DQS
Mantenha-se informado e subscreva a nossa newsletter!
Autor
Gert Krueger
Especialista e gestor de projecto para segurança da informação, BSI-KritisV e proteção de dados na DQS. Além disso, auditor de longa data para gestão de qualidade e ambiental.
Loading...