21

passos para adaptar

a sua empresa ao RGPD
Checklist completa de ações a desenvolver
para respeitar a nova legislação

Até ao dia 25 de maio de Para simplificar a adaptação da sua

2018, as empresas têm que
se preparar para implementar
as medidas previstas no
Regulamento Geral de
Proteção de Dados (RGPD).
empresa à nova legislação, preparamos
uma lista das principais ações a
implementar.
Confira a lista e verifique se na sua
empresa já está tudo preparado.

Perceber o impacto Implementar medidas de

do RGPD
O novo Regulamento terá impacto em
toda a organização. Por essa razão, é
importante consciencializar a gestão de
topo para a sua transversalidade.
proteção e privacidade
Rever ou adotar medidas técnicas e
organizativas destinadas à proteção e
privacidade de dados pessoais (ex. política
de secretária limpa, implementação de
cifragem de dados, etc.).

Preparar um plano
de comunicação Detetar incidentes
Face à abrangência desta legislação,
de violação de dados
deverá ser elaborado um plano de
Garantir a existência de processos que
comunicação interno e externo sobre o
permitem detetar incidentes de violação de
tema. O plano interno deverá explicar
dados pessoais e respetiva comunicação à
aos colaboradores os procedimentos a
entidade reguladora e aos titulares
adotar para cumprir a legislação. O plano
(quando aplicável).
externo terá como principal objetivo
gerar confiança nos clientes acerca de
uma utilização adequada dos seus
dados. Preparar workflows de resposta
aos direitos dos titulares

Avaliar a necessidade de Desenhar processos que permitam

responder às solicitações dos titulares dos
designação de um Data
dados, no âmbito dos direitos que estão
Protection Officer (DPO)
consagrados no RGPD, nomeadamente o
direito à informação, o direito ao
A obrigatoriedade de designação de
esquecimento, entre outros.
um DPO, ou seja, de um Encarregado
de Proteção de Dados, não se aplica
a todas as empresas. Por isso, é
importante conferir se a sua empresa Validar conformidade dos
está enquadrada nessa obrigatoriedade. sistemas com o RGPD
Em caso positivo, antes de selecionar o
Conferir se as aplicações informáticas
responsável, é aconselhável conhecer
utilizadas na empresa para o processamento
bem as obrigações inerentes à função,
de dados pessoais estão em conformidade
de forma a selecionar o perfil mais
com o RGPD. Caso não estejam, é
adequado.
importante proceder à sua atualização.

Listar os processos
impactados pelo RGPD Salvaguardar conformidade das
entidades subcontratantes
Efetuar um levantamento de
Nos casos em que se recorre a
necessidades de adaptação de
subcontratantes para realizar atividades que
processos ao RGPD em cada um dos
envolvem dados pessoais, é fundamental
departamentos da sua organização.
garantir que essa relação consta de um
O ideal será promover uma auditoria
contrato escrito. É ainda importante que
interna para avaliar o impacto
nesse documento estejam patentes
operacional do RGPD em cada área
instruções sobre a forma como o tratamento
da empresa.
dos dados deve ser efetuado.

Definir um plano de
Validar conformidade dos
implementação
fornecedores com o RGPD
Estruturar um plano de implementação
Exigir aos fornecedores que processam e
das ações identificadas e operacionalizar
armazenam dados pessoais a garantia de
a sua implementação nas diferentes
cumprimento das regras do RGPD.
áreas da empresa, de forma a assegurar
que respeita todas as diretrizes do
Regulamento.
Avaliação de Impacto de
Proteção de dados (PIA)
Formação
Incluir, nas metodologias de trabalho, a
realização de PIAs (Avaliações de Impacto
de Proteção de Dados) nas situações em
Proporcionar formação sobre segurança
que as mesmas são obrigatórias, mas
e privacidade de dados pessoais a todos
também quando se considerem úteis.
os colaboradores que têm contacto
direto com dados pessoais.

Monitorização
Atualizar política de
segurança e privacidade
Monitorizar continuamente a aplicação do
plano definido e implementar medidas de
Rever os textos relativos à privacidade e
controlo nas diversas estruturas da
segurança dos dados, como por
organização.
exemplo, a política de privacidade e a
política de utilização de cookies no
website; os contratos e outros
documentos, adaptando-os às novas
Auditoria
exigências do RGPD.
Realização de Auditoria externa, por forma a
garantir o cumprimento de todas as normas
Adaptar processos de recolha previstas no Regulamento.
e tratamento de dados

Implementar os conceitos de “Privacy by

design” e “Privacy by default”, levando-os à
Solicitar certificação
prática nos vários processos da organização
que envolvam recolha e tratamento de
Submeter um pedido de certificação à
dados pessoais. Estes conceitos remetem
Comissão Nacional de Proteção de Dados
para a necessidade de obtenção de
(CNPD) ou outro organismo avalizado para
consentimento prévio à utilização dos
o efeito, quando o mesmo estiver disponível.
dados.

Divulgar certificação
Identificar os dados pessoais
que estão na posse da organização
Depois de obter a certificação, é importante
Inventariar e catalogar os dados pessoais
divulgar essa conformidade com o RGPD, na
recolhidos e/ou guardados pela organização.
medida em que irá contribuir para aumentar a
confiança dos seus clientes, posicionando-se
como uma organização que respeita na
Nesse documento deverá ser muito íntegra os direitos dos titulares dos dados.
fácil identificar informação como:

_Dados pessoais existentes

_Tipos de dados
Se ainda tem dúvidas, inscreva-se no
_Finalidades de tratamento evento e saiba como estar preparado
_Local onde são guardados para a nova legislação.
_Período em que serão utilizados
_Pessoa/entidade que os forneceu
_Pessoas que têm acesso aos dados
Evento

RGPD
ESTÁ PREPARADO?
Listar procedimentos de
recolha e tratamento de Porto - 6 fevereiro
Lisboa - 8 fevereiro
dados pessoais
Inscreva-se
Identificar as formas de recolha e de aqui
tratamento de dados pessoais, assim
como o fundamento para o seu
tratamento (consentimento, execução de
contratos, interesses vitais do titular,
etc.). Após essa identificação, é
importante documentar a informação,
para que a mesma seja de fácil acesso.