Esta abordagem posiciona o RGPD não apenas como um requisito regulamentar, mas como um ativo estratégico.
Começa por pedir à administração os Registos de Actividades de Processamento da empresa. Pensa nisto como um diário detalhado que lista a forma como a empresa utiliza os dados pessoais, desde os e-mails dos clientes aos registos dos empregados.
Isto parece técnico, mas não é.
É importante salientar que, se não conseguires aceder aos Registos de Actividades de Processamento da empresa, é um sinal claro de que a empresa não está em conformidade com o RGPD e, como membro do conselho de administração, cabe-te a ti garantir que são iniciados os esforços para cumprir.
Além disso, a falta de conformidade também assinala um risco acrescido de violações de dados, representando um risco comercial significativo, o que exige uma gestão proactiva do risco de violação de dados.
RGPD nas reuniões do Conselho de Administração
Demonstrarás diligência assegurando que a empresa tem registos das actividades de processamento, e o nível de detalhes ou a falta deles que te fornece é um grande indicador do estado de conformidade com o RGPD na empresa.
Os indicadores que se seguem devem ser motivo de preocupação para os membros da direção sobre o estado de conformidade com o RGPD na empresa:
- Não existem registos facilmente acessíveis das actividades de tratamento.
- Desinteresse da direção pelo RGPD.
Não há registos de actividades de processamento
Uma empresa não pode estar em conformidade com o RGPD sem um registo detalhado das actividades de processamento, e é pouco provável que esteja em conformidade com o RGPD sem esse registo.
É necessário um registo detalhado das actividades de processamento para garantir a implementação adequada de todos os outros requisitos do RGPD, pelo que a sua falta é um forte sinal para os membros do conselho de administração de que a empresa não está em conformidade com o RGPD.
Desinteresse da Direção pelo RGPD
A conformidade com o RGPD exige um esforço significativo por parte da empresa, afectando todos os processos empresariais que envolvem dados pessoais.
Os membros do conselho de administração devem ficar preocupados com a falta de interesse da direção, uma vez que esta indica tanto uma má compreensão dos requisitos de conformidade como uma deficiência na cultura de segurança.
Esta indiferença põe em risco as operações comerciais, a reputação e as partes interessadas cujos dados estão a ser tratados.
Como iniciar uma mudança positiva
Quando a importância óbvia de cumprir os requisitos legais do RGPD tiver sido estabelecida, os membros do conselho de administração devem incentivar a empresa a seguir os passos seguintes para começar a cumprir o RGPD:
- Certifica-te de que a empresa nomeia um funcionário dedicado para liderar os esforços do RGPD.
- Esta pessoa deve ser dotada dos recursos e da autoridade para agir.
- Procura formação e/ou aconselhamento externo para que o processo decorra sem problemas.
- Começa com uma auditoria completa ao RGPD e cria os registos das actividades de processamento.
- Considera vivamente a possibilidade de utilizar software especializado para cumprir o RGPD.
De seguida, vamos analisar como estes 5 passos podem iniciar uma mudança positiva.
Atribuição de responsabilidades
Alinhar os processos e sistemas de uma organização com um quadro regulamentar como o RGPD exige um funcionário dedicado. Não é necessário um cargo a tempo inteiro, mas alguém operacional deve ser responsável por esta tarefa.
Esta pessoa deve responder a uma função de liderança dentro da organização, para que os assuntos que afectam toda a organização possam ser considerados ao mais alto nível organizacional, quando necessário.
Atribuição de recursos
É essencial atribuir recursos suficientes à pessoa que assume a tarefa de conformidade com o RGPD. Se a organização pretende a mudança, tem de estar disposta a financiá-la e, de preferência, deve fazê-lo através da atribuição de tempo e de recursos financeiros.
Procura aconselhamento e formação
Para acelerar o processo e evitar o desperdício do precioso tempo de todos, deves garantir que o novo gestor de conformidade com o RGPD recebe formação sobre o tema. A organização beneficiará muito porque todos verão que o seu trabalho diário é afetado pela conformidade com o RGPD.
Lembra-te de que o RGPD afecta todos os processos e sistemas da organização, pelo que a qualidade dos conhecimentos do responsável pela conformidade com o RGPD terá efeitos em toda a organização.
Uma formação básica de sensibilização sobre o RGPD, a privacidade e a segurança informática será benéfica para garantir que todos na organização possam comunicar eficazmente sobre o tema. Além disso, reforça a cultura de segurança interna, reduzindo assim o risco de violações de dados.
Realiza uma auditoria ao RGPD
A primeira tarefa depois de definir a função do responsável pela conformidade com o RGPD é estabelecer uma base para a conformidade da organização com o RGPD. Isto será feito através da realização de uma auditoria, que deve fazer parte da criação dos registos das actividades de processamento.
Implementar software de conformidade com o RGPD
É muito provável que a tua empresa beneficie da utilização de um software de conformidade com o RGPD.
Utilizar o software do RGPD para criar a documentação, as tarefas e as tarefas contínuas de conformidade com o RGPD pode ajudar a empresa a atingir a conformidade mais rapidamente e com menos problemas.
Muitas organizações ignoram os benefícios do software de conformidade com o RGPD, concentrando-se antes no custo de uma subscrição adicional. Muitas vezes, não ponderam esta despesa em relação às poupanças de tempo significativas e à melhoria da qualidade que oferece. A adoção de um software de conformidade com o RGPD é altamente recomendada para as empresas que pretendem estar em conformidade com o RGPD, independentemente da sua dimensão.
Melhoria contínua
A conformidade com o RGPD é um processo contínuo que requer monitorização, avaliação e melhoria contínuas.
Como membro da direção, deves solicitar actualizações regulares nas reuniões da direção para te manteres informado sobre o estado desta tarefa em curso e identificares formas de apoiar os esforços de conformidade da organização. Além disso, as dificuldades em alcançar a conformidade com o RGPD podem indicar-te, enquanto membro do conselho de administração, que existem problemas mais amplos de controlo e gestão organizacionais.
O papel do membro do conselho de administração no RGPD
A conformidade com o RGPD está normalmente bloqueada pela falta de interesse da administração, pela atribuição de recursos e pelo apoio às pessoas encarregadas de garantir a conformidade com o RGPD.
Por conseguinte, é também aqui que os membros do conselho de administração podem fazer a diferença, dizendo à administração para dar prioridade à conformidade com o RGPD e afetar recursos. Caso contrário, a empresa e as suas partes interessadas serão postas em risco.
A conformidade com o RGPD fica muitas vezes parada devido ao desinteresse da administração, à insuficiente atribuição de recursos e à falta de apoio aos responsáveis pela aplicação das medidas de conformidade.
É precisamente aqui que os membros do conselho de administração podem efetuar mudanças, instando a administração a dar prioridade à conformidade com o RGPD e a atribuir os recursos necessários. Se não o fizerem, correm o risco de comprometer a empresa e as suas partes interessadas.