15 PASSOS PARA IMPLEMENTAR

O REGULAMENTO GERAL
DE PROTEÇÃO DE DADOS
IDC DIGITAL & IT EXECUTIVE REPORTTS
CONFORMIDADE COM
REGULAMENTO GERAL DE
PROTEÇÃO DE DADOS (RPGD)
PORQUÊ
• Conformidade com RPGD;
• Aproveite a atualização RPGD
para alinhar as práticas atuais da
organização;
• Atribua aos utilizadores um maior
controlo sobre os dados pessoais.
COMO
• Avaliar o grau de prontidão RPGD e
realizar uma análise de lacunas;
• Identificar e comprometer os
stakeholders;
• Planeie uma implementação gradual
e ajustamento das práticas atuais;
• Desenvolva um documento de início
de projeto, um plano de projeto e
orçamento.
2
O QUE É
• O RPGD entra em vigor a 25 de
Maio de 2018;
• O RPGD introduz uma definição de
dados pessoais para ser utilizada na
União Europeia;
• O RPGD amplia a proteção dos
dados pessoais na medida em que
inclui obrigações legais para os
processadores de dados.
QUEM
• Participação ativa dos executivos de
topo no comité de direção;
• Executivos de segurança e de
negócio;
• Envolvimento de todos os
departamentos: TI, e departamentos
relevante, incluindo clínico, RH, legal,
comunicações e financeiro.
SUMÁRIO EXECUTIVO
A 25 de Maio de 2018, o Regulamento Geral de Proteção de Dados (RGPD) vai entrar em vigor em todos os Estados
membros da União europeia. O RGPD, adoptado em 27 de Abril de 2016, é um novo regulamento através do qual
a Comissão Europeia pretende fortalecer e unificar a proteção de dados dos cidadãos, cujos dados são geridos
por organizações no interior do espaço europeu, assim como dados correspondentes a cidadãos europeus a nível
mundial.

Organizações que processam dados pessoais na União Europeia necessitam de rever as politicas, procedimentos
e práticas existentes para assegurar a conformidade com o novo regulamento que visa reforçar os direitos de
privacidade dos cidadãos europeus. Apesar dos princípios subjacentes à proteção de dados não terem mudado
substancialmente relativamente à Data Protection Directive (Directive 95/46/EC) para o novo regulamento, existem
novos requisitos importantes. É importante salientar que as consequências do incumprimento foram alteradas
substancialmente, resultando num aumento do risco para o negócio através de penalidades que podem ascender
a 20 milhões de euros ou 4% das receitas totais (aquele que for maior).

Em simultâneo, as organizações têm vindo a aumentar a colaboração e a partilha de dados entre as organizações
e os seus clientes, parceiros e fornecedores com o objetivo de assegurar as necessidades dos programas de
transformação digital. Nos últimos anos, a adopção crescente das tecnologias da 3ª Plataforma de TI — que a
IDC define como a convergência da computação móvel, cloud computing, big data e analítica e social media —
disponibilizou novas oportunidades de transformar digitalmente os modelos de negócio. A adopção do RGPD
foi alinhado com a necessidade de preservar o valor dos dados pessoais e dos investimentos relacionados em
soluções que disponibilizam uma referência para a recolha e gestão colaborativa de informação, como sejam
sistemas de gestão de capital humano, sistemas de gestão da cadeia de abastecimento e sistemas de gestão de
relacionamento com clientes.

Este estudo da IDC disponibiliza orientações para a adopção do regulamento RPGD e procura auxiliá-las a definir
uma estratégia de gestão de informação em conformidade, incluindo mecanismos de governação de dados e
a respetiva arquitetura tecnológica que possibilita a sua implementação. Disponibiliza ainda orientações sobre
os papéis e responsabilidades dos diferentes ‘stakeholders’. A adopção do RGPD deve estar alinhada com os
processos integrados, aspetos organizacionais e politicas de governação.

3
PORQUE RAZÃO A
CONFORMIDADE COM
O RGPD É IMPORTANTE?
A legislação geral da União europeia relativa à segurança e conformidade de dados é definida pelo novo
Regulamento Geral de Proteção de Dados (RGPD) e as organizações devem estar em conformidade com a
nova legislação até 25 de Maio de 2018. O artigo 58 do RGPD fornece poderes de investigação, de correção, de
autorização e de assessoria às autoridades de supervisão de cada um dos Estados membros. Estes poderes
incluem várias opções — incluindo a capacidade de proibição do processamento — que podem resultar em
custos significativos para as organizações, em particular quando as atividades são reativas e não planeadas. Mais
explicitamente, em várias circunstâncias, as autoridades de supervisão podem emitir multas até 20 milhões de
euros ou no caso das empresas, até 4% das receitas anuais do ano anterior, aplicando-se a que for mais elevada.

A cláusula de “extraterritorialidade” estipula que o âmbito do RGPD extravasa as fronteiras da União Europeia.
O RGPD não se refere apenas aos cidadãos europeus mas aos “sujeitos dos dados”; tal inclui todos os que estão
ou estiveram na União Europeia, mesmo que a sua visita tenha sido de natureza transitória. Separadamente,
o âmbito inclui “processamento de dados pessoais no âmbito das atividades de uma organização controlador
ou processador na União Europeia, independentemente do processamento ser realizado na União Europeia”.
Muitas das organizações internacionais tem vindo a assumir que é mais fácil assumir que todos os titulares dos
dados estão sob a égide do RGPD devido ao facto de que uma das componentes refere que o foco está nos
dados dos cidadãos da União Europeia, independentemente da sua localização geográfica. Assim, por exemplo,
BPO e call centers, independentemente da sua localização, estão abrangidos pelo novo regulamento. Apesar da
conformidade com o RPGD ser obrigatória, a adopção é importante pelas seguintes razões:

• Simplifica e alinha os requisitos de proteção de dados nos diferentes Estados membro da União Europeia,
permitindo uma conformidade mais eficiente e efetiva.

• Auxilia as organizações a resolverem as preocupações com segurança e proteção de dados. Segundo um

estudo da IDC, a segurança e a proteção de dados lideram as preocupações de negócio das organizações
europeias.

• Suporta as organizações na sua jornada de transformação digital para oferecer produtos e serviços integrados
e personalizados. O desenvolvimento destes modelos operacionais de colaboração deve ser suportado por
uma estratégia consistente de gestão de informação que possibilite a integração dos dados pessoais através
de fornecedores, processos e sistemas de TI. O RGPD regula o modo como esta integração pode ocorrer com
segurança.

• Concede aos indivíduos um maior controlo sobre os dados pessoais detidos pelas organizações, o que
promove a concorrência centrada nos clientes e implica arquiteturas mais flexíveis que podem suportar as
iniciativas futuras de transformação digital.

Num sentido mais amplo, uma abordagem mais estratégica à segurança e conformidade pode impulsionar
práticas eficientes e eficazes que, por sua vez, reduzam custos e possibilitem novas oportunidades de valor dos
projetos de transformação digital. As organizações vão procurar ser agnósticas relativamente à regulamentação
das suas atividades; isto é, as organizações vão aplicar os níveis apropriados de proteção para satisfazer toda a
regulamentação que possibilite a redução do risco da organização.

4
O QUE É A CONFORMIDADE
COM O RGPD?
PRINCÍPIOS RPGD: DEFINIÇÃO DE DADOS PESSOAIS E UMA NOVA BASE PARA
O PROCESSAMENTO LEGAL

À semelhança do que acontecia com a Data Protection Directive (95/46/EC) que ainda se encontra em vigor,
o RPGD define duas categorias principais de dados no seu âmbito: dados pessoais e área de dados pessoais
sensíveis (designadas como Categorias Especiais). No âmbito do RGPD, os dados sensíveis são ampliados para
incluir dados biométricos e genéticos.

O RGPD diz respeito à proteção de dados pessoais ou relacionados com os titulares dos dados na União Europeia.
A definição de dados pessoais, de acordo com o RGPD, é “qualquer informação relacionada com uma pessoa física
identificada ou identificável”. A identificação pode ser direta ou indireta e inclui identificadores como “um nome,
número de identificação, dados de localização, identidade online, um ou mais fatores específicos à identidade
física, psicológica, genética, mental, cultural ou social dos titulares “ (ver Artigo 4 [1]). O perfil também está
incluído e, tal inclui a “avaliação o desempenho pessoal, a situação económica, a saúde, as preferências pessoais,
interesses, confiança, comportamento, localização ou movimentos “ (ver Artigo 4 [4]).

Referência RGPD: Definições, Artigo 4

Categorias especiais de dados pessoais podem ser processadas em algumas circunstâncias (em geral, o
processamento destes dados é proibido, salvo em condições especificas que, obviamente, vão exigir medidas
adicionais). As categorias especiais de dados são definidas como:

Dados que revelem a origem racial ou étnica, as opiniões políticas, convicções religiosas ou filosóficas ou
afiliação sindical e o processamento de dados genéticos, biométricos com o objetivo de identificar uma pessoa
singular, e dados relativos à vida sexual ou orientação sexual.

Outras definições de dados genéticos, dados biométricos e dados relativos à saúde são ainda referenciadas (Artigo
4, para 13–15).

Conforme mencionado anteriormente, existem exceções que permitem o processamento desses dados com
consentimento explícito, conforme definido nos Artigos 7 e 8 e de acordo com as circunstâncias definidas no
Artigo 9.

Referência RGPD: (princípios), Artigo 5 (princípios relacionados com o processamento de dados pessoais) e
Artigo 9 (processamento de categorias particulares de dados pessoais)

5
DIREITOS DOS TITULARES DOS DADOS: PRIVACIDADE, CONSENTIMENTO E
PORTABILIDADE DOS DADOS

Diferentes áreas do novo regulamento relativas a direitos pessoais — privacidade, portabilidade dos dados e
consentimento — são importantes e relevantes para as organizações.

Privacidade e consentimento estão relacionados com a proteção da informação e com a partilha com os
‘stakeholders’ relevantes com o consentimento dos titulares. Os titulares dos dados devem ter a certeza de que as
organizações tem acesso à informação relevante quando necessitam dela para tomar decisões de processamento
e, em simultâneo, ter confiança que a segurança dos dados pessoais é gerida em conformidade com a legislação
e as melhores práticas vigentes. Quando os dados e os processos são digitalizados os dados, a partilha e a
integração dos dados torna-se gerivel; transformam-se em ferramentas cruciais da transformação digital.

Os principais objetivos do RGPD estão relacionados com conferir aos titulares dos dados o controlo dos seus
dados pessoais e simplificar o ambiente regulamentar nos negócios internacionais através da unificação da
regulamentação no interior da União Europeia (não obstante, podem continuar a existir algumas variações entre
os estados membro).

Referência RGPD: (direitos gerais dos titulares dos dados), Artigo 12 (informação transparente, comunicação
e modalidades para o exercício dos direitos dos titulares dos dados), secções 2 e 3; Artigo 13 (obrigação de
informar), secções 1 e 2; Artigo 14 (obrigação de informar), secções1 e 2; Artigo 16 (direito de retificar); Artigo
17 (direito de apagar [“direito ao esquecimento”]); Artigo 18 (direito de restringir o processamento); Artigo 19
(obrigação de notificação relativa à retificação ou eliminação dos dados pessoais ou restrição do processamento);
Artigo 20 (direito à portabilidade dos dados); Artigo 21 (direito de objecção); e Artigo 22 (tomada de decisão
individual automatizada, incluindo perfil)

RESPONSABILIDADE DOS FORNECEDORES DE SERVIÇOS

O fornecedor de serviços como processador de dados possuem certas responsabilidades assim que o RGPD for
implementado. Muitas das políticas e dos documentos de conformidade devem ser desenvolvidos e atualizados
regularmente para que os fornecedores de serviços cumpram os requisitos de conformidade. As políticas
de proteção de dados ou a adopção da segurança/privacidade por design são ampliadas aos fornecedores e
processadores de dados. No decorrer do projeto de conformidade RGPD, as organizações devem rever as politicas
existentes e desenvolver novas politicas onde existirem lacunas.

Referência RGPD: Artigo 24 (responsabilidade do controlador e políticas de proteção de dados), secções 1 e

2; Artigo 25, secções 1 (proteção de dados através do design) e 2 (proteção de dados por defeito); Artigo 28
(processador), secções 1, 2 e 3 (processador de dados); Artigo 30 (registo das atividades de processamento);
Artigo 30 (registo das atividades de processamento), secções 1 e 2; Artigo 32, secções 1, 2 e 4 (segurança no
processamento); Artigo 33 (notificação de uma brecha de segurança à autoridade de supervisão), secções 2 e 5;
Artigo 34 (comunicação de uma brecha de dados pessoais ao titular dos dados); Artigo 35 (avaliação do impacto
da proteção de dados), secção 1; Artigo 36 (consulta prévia), secção 1; e Artigo 37 (nomeação do Data Protection
Officer)

6
ORIENTAÇÕES DE IMPLEMENTAÇÃO DO RPGD

Governação e Gestão da Segurança de TI

O RPGD vai obrigar a alterações na gestão. A fase de implementação vai envolver diferentes funções, desde
os responsáveis de TI até aos responsáveis legais e administradores. As funções devem ser endereçadas para
permitir que a estrutura organizacional funcione sem sobreposições de funções e tarefas. Por outro lado, os
colaboradores devem estar envolvidos para assegurar a colaboração de todos os ‘stakeholders’.

As organizações e os seus fornecedores de serviços necessitam de ampliar o impacto do RGPD a toda a

organização. Frameworks como COBIT 5 ou as normas de segurança ISO são um bom começo:

• COBIT 5 é a framework da ISACA lançada em 2012 para apoiar as Organizações na governança e gestão das
Tecnologias e Informação. O facto de se tratar de uma framework focada na criação de valor e que alinha
com as principais boas práticas de negócio e TI faz com que seja uma ferramenta essencial para integrar os
diferentes temas relevantes no contexto do RGPD, como sendo a governança, gestão, risco, conformidade,
privacidade e segurança da informação.

• ISO/IEC 27001:2013 (ISO 27001) é a norma internacional que descreve as melhores práticas de um sistema de
gestão de segurança da informação (ISMS, Information Security Management System). A certificação ISO 27001
demonstra que uma organização segue as melhores práticas internacionais de segurança de informação.

• A ISO 27001 tem uma perspetiva de risco da segurança com um foco na gestão e suporte. A experiência de
algumas organizações demonstra que as organizações que implementam a norma ISO tem o trabalho mais
facilitado na implementação do RGPD. É visto como um primeiro passo e um ponto de partida mais prático

Existem mais duas implicações práticas relativas à governação e implementação:

Primeiro, o fornecedor de serviços pode necessitar de nomear um Data Protection Officer (Artigo 37) porque
é um organismo público ou processa dados pessoais ou dados sensíveis em larga escala. Os reguladores
também consideram a possibilidade de nomear um Data Protection Officer (DPO) como uma boa prática,
independentemente da necessidade.

Segundo, as empresas devem executar avaliações de impacto em colaboração com fornecedores (Artigo 35).

Referência RGPD: (implementação); Artigo 24, secção 1 (responsabilidade); Artigo 24, secção 2 (políticas de
proteção de dados); Artigo 25, secções 1 (proteção de dados por design) e 2 (proteção de dados por defeito);
Artigo 28, secções 1, 2 e 3 (processador de dados); Artigo 30 (registo das atividades de processamento); Artigo
32, secções 1, 2, 3 e 4 (segurança do processamento); Artigo 33, secções 1, 2, 3 e 5; Artigo 34 (comunicação de
uma brecha de dados pessoais ao titular dos dados); Artigo 35 (avaliação do impacto da proteção de dados),
secção 1; Artigo 36 (consulta prévia), secção 1; e Artigo 37 (nomeação do Data Protection Officer)

Fatores de custo
A implementação do RGPD vai requerer investimentos dedicados, que não estão incluídos no orçamento ordinário
de muitas organizações. Em muitos dos casos, os principais investimentos estão relacionados com software,
como seja um índice mestre de dados ou repositório, na qual os metadados da localização dos dados pessoais
é armazenada. Muitas das restrições administrativas e de governação são idênticas em todas as organizações e
a colaboração entre organizações do mesmo sector é recomendável para mitigar os riscos, partilhar despesas e
harmonizar práticas de segurança. Tal pode ser efetuado a nível nacional, regional ou local.

7
Os principais custos de implementação de um projeto de conformidade RGPD incluem:

Sensibilidade dos dados. Ambientes de alto risco, como a saúde e o legal, são regulados de um modo mais estrito
no âmbito do RGPD e, na maior parte dos casos, estão vinculados por outras obrigações, como seja a realização
de avaliações do impacto da proteção de dados.

Complexidade da organização. É importante saber se o projeto está enraizado numa pequena empresa local ou
numa grande empresa multinacional. Quanto maior for a organização, maior a complexidade e, normalmente,
mais custosa é a implementação do RGPD — em particular a implementação de serviços de indexação de dados
através de aplicações e equipamentos.
Começar do zero ou com base nas iniciativas de segurança em curso. As organizações que carecem de
programas internos de conformidade de privacidade e segurança vão ter que desenvolver e manter novos
procedimentos e politicas. Para criar a base de conhecimento necessária, gerir este tipo de estrutura complexa
interna e criar as politicas de governação para suportar esta estrutura pode ser uma tarefa gigantesca - e onerosa
-, em particular para as organizações que não possuem estas capacidades.

Investimentos TI. Alguns elementos RGPD vão impulsionar novos investimentos de TI. Por exemplo,
consentimento, relatórios de dados e portabilidade dos dados devem ser incorporados na maioria das aplicações
ou como serviço partilhado entre aplicações. As TI possuem o potencial de impulsionar a eficiência de custos e as
organizações devem aproveitar esta oportunidade.

A IDC realizou um estudo sobre RPGD na Europa Ocidental no qual foram identificadas as prioridades de
investimento (ver Figura 1).

Figura 1
PRIORIDADES DE INVESTIMENTO RGPD

0 10 20 30 40 50 60 70

Identificar aplicações que utilizam dados relevantes para RGPD

Mapeamento e descoberta dos dados — avaliar e classificar os dados

Estabelecer um processo de documentação

Rever e melhorar a gestão de identidades e de acessos

Comunicação interna e formação de colaboradores

Rever e atualizar tecnologias e processos de backup

Realizar análise do fluxo de dados

Minimização dos dados e limitação do consentimento/propósito

Desenvolver uma avaliação de risco e uma equipa de conformidade

Anonimização dos dados para casos de utilização big data e analítica e para testes de software

Implementação de relatórios de incidentes

Implementar processos de controlo e de revisão; criar um conselho de governação

Contratar ou nomear um Data Protection Officer

Fonte: IDC, 2017

8
QUEM SÃO OS PRINCIPAIS
‘STAKEHOLDERS’?
O amplo impacto da implementação RGPD no interior das organizações requer o envolvimento de responsáveis
de todos os departamentos da organização e serviços de consultoria (ver Tabela 2).

Como referido anteriormente, a utilização de uma framework como a COBIT 5 pode ser um instrumento para
definição de funções, responsabilidades e relações entre os diferentes stakeholders do negócio e de TI. Nota para
o facto de a COBIT 5 identificar a Estrutura Organizacional “Privacy Officer”, podendo ser considerada como um
bom ponto de partida para a definição das responsabilidades do “Data Protection Officer”:

• “Privacy Officer” - Pessoa responsável pela monitorização dos riscos e impacto no negócio de leis de
privacidade, e pela orientação e coordenação da implementação de políticas e atividades que garantam que as
diretrizes de privacidade serão cumpridas.

Tabela 2
PRINCIPAIS ‘STAKEHOLDERS’

Função Responsabilidade Exemplo de Estrutura Organizacional COBIT 5

CIO • Alinhar sistemas de TI e arquitetura corporativa CIO
com os requisitos RGPD.

• Definir uma equipa de TI para gestão das

alterações técnicas.

• Alinhar a estratégia de TI com os novos
requisitos regulamentares.
Responsável legal • Desenvolva politicas legais que os Compliance
colaboradores internos vão ter que aplicar assim
que o RPGD entre em vigor.

• Suporte os executivos de negócio e os

profissionais de TI na compreensão dos
requisitos RGPD para que os processos e
sistemas de TI são desenhados em conformidade
em o RGPD.
Profissionais de TI • Disponibilizar uma imagem clara dos processos Head of Architecture; Head of Development;
existentes, sublinhando o que funciona e o que Head of IT Operations; Head of IT
necessita de melhoria em termos de proteção de Administration; Service Manager; CISO;
dados. Information Security Manager; Business
Continuity Manager; Privacy Officer
• Verificar que a conformidade com o RGPD não
vai afetar negativamente o valor das atividades
de transformação digital.

9
 Função Responsabilidade Exemplo de Estrutura Organizacional COBIT 5
Executivos de • Desenhar e executar um plano de gestão Business Executive
negócio estratégico para implementar o RGPD. Business Process Owner
Avalie qual o impacto no processo regular de
trabalho da organização.

• Identifique os colaboradores internos

e especialistas externos que tem que ser
envolvidos na fase de implementação e aqueles
que serão afetados indiretamente.

• Lidere o processo de implementação através da

nomeação de um gestor de projetos. (Pode ser
o Data Protection Officer, mas a IDC recomenda
que seja um profissional de gestão de projetos
com as competências necessárias e uma área de
responsabilidade).

• Nomeie e defina as responsabilidades do novo

Data Protection Officer.
Source: IDC, 2017

COMO É QUE A MINHA ORGANIZAÇÃO PODE APROVEITAR A CONFORMIDADE

RGPD?
Desenhar um projeto de conformidade RPGD
Implementar o regulamento RGPD é uma tarefa árdua. Muitas organizações e fornecedores referem que pode durar,
aproximadamente, dois a quatro meses para preparar o projeto, um a dois meses para avaliações e início e um
ano para implementar. A Figura 1 disponibiliza um calendário para planeamento de tarefas e atividades, mas cada
organização deve planear baseada no seu estado de preparação e segurança.

A Tabela 3 disponibiliza um plano mais detalhado.

Tabela 3
DESCRIÇÃO DO PLANO DE PROJETO

Tarefas Nome Descrição

Step 1 Avalie a conformidade com o RGPD Auditoria das atividades principais da
organização relativamente aos requisitos de
proteção de dados e de conformidade.
Step 2 Nomear um Data Protection Officer (DPO) Tenha em consideração nomear um DPO
como uma boa prática, em particular em
empresas públicas e todas aquelas em que o
processamento de dados pessoais e sensíveis
em grande escala.
Step 3 Analisar os gaps existentes Faça um plano preliminar das atividades e defina
objetivos globais estratégicos baseado nas
conclusões da avaliação e dos riscos associados.

10
 Tarefas Nome Descrição
Step 4 Criar um comité de direção e inicie a criação de Crie uma forte presença do negócio, das TI, legal
um projeto e da gestão de topo. Escreva o PID para calcular
o conteúdo do projeto, organização, tarefas e
qualidade pretendida.
Step 5 Estabelecer o cronograma do projeto e o Crie um grupo em conformidade com o PID.
orçamento inicial Desenhe um orçamento preliminar e obtenha a
aprovação do comité de direção.
Step 6 Proceder à revisão das politicas de privacidade Reveja as políticas de privacidade e edite-as em
atuais. conformidade, incluindo:

• Direito ao esquecimento

• Transferência de dados internacional.

• Período pelo qual os dados são armazenados

• Direito a aceder, retificar e apagar os dados.

• Direito de retirar o consentimento a qualquer

momento.

• Direito de apresentar queixas

Step 7 Ajustar as políticas de armazenamento de dados Determine como os dados são armazenados
e quais as políticas. Contemple o ciclo de vida,
desde a recolha de dados, arquivo, utilização,
transferência e processamento até à eliminação.
Step 8 Rever os procedimentos: novos direitos dos Reveja políticas e procedimentos em redor dos
indivíduos direitos dos utilizadores:

• Direito ao esquecimento

• Direitos de portabilidade dos dados

• Consentimento dos utilizadores

• Direito a aceder, retificar e apagar os dados.

• Direito de apresentar queixas

Step 9 Realizar uma avaliação do risco das TI e Avalie o risco de:
equipamentos
• Avalie equipamentos e aplicações com dados
pessoais.

• Assegure que existem as salvaguardas

apropriadas para proteger a confidencialidade, a
integridade e a disponibilidade das aplicações.

• Identifique lacunas existentes no controlo de

segurança da informação existente ou proposto
de uma determinada aplicação ou equipamento.
Planeie para mitigar os riscos identificados.

11
 Tarefas Nome Descrição
Step 10 Rever o processo de consentimento, da sua Certifique-se que os mecanismos de controlo
obtenção e registo de consentimento estão implementados a nível
de políticas mas também mapeado com as
aplicações e equipamentos necessários.
Step 11 Avaliar o inventário de dados Identifique e liste a localização dos dados
pessoais. Frequentemente, esta é uma tarefa
árdua, na medida em que os dados estão
armazenados em diferentes sistemas e
equipamentos administrativos. As organizações
estão mais bem preparadas para gerir/
tornar seguros dados pessoais quando tem
conhecimento de quais os dados recolhidos,
onde estão armazenados, quem partilha e qual
o período de retenção / armazenamento.
Step 12 Avaliar a proteção de dados nos principais Dialogue com fornecedores que disponibilizam
fornecedores aplicações ou equipamentos que armazenam
dados pessoais. Certifique-se que os
fornecedores estão em conformidade com
RGPD a nível das políticas, mas certifique-se
que as aplicações atuais estão alteradas e em
conformidade com o novo regulamento.
Step 13 Formação das equipas e campanhas de Eduque as equipas sobre o novo regulamento
sensibilização e como responder aos direitos dos utilizadores.
Lance uma campanha de informação
relativamente a:

• Segurança das passwords.

• Segurança de email.

• Segurança dos dados pessoais.

• Bom comportamento digital.

Step 14 Aquisição/implementação de capacidades de Implemente funcionalidades de índice
indexação de dados de armazenamento de dados para que o
conhecimento do local onde os dados são
armazenados não seja um processo manual.
Certifique-se de que o índice monitoriza e
atualiza quando aplicações e equipamentos
são desativados ou quando novas aplicações
são implementadas. Tenha em consideração
armazenar dados no exterior dos equipamentos
para que a troca seja mais fácil.
Step 15 Avaliação, testes e ENTREGA OPERACIONAL Avalie, teste e avance da fase de projeto para a
fase operacional.
Fonte: IDC, 2017

12
Papéis e responsabilidades
A conformidade regulamentar, por necessidade, inclui vários departamentos da organização e fornecedores. É
obrigatório uma equipa diversificada e suporte da gestão de topo. A estrutura e a organização da equipa vai-
se alterando à medida que os projetos de conformidade vão avançando, por forma a que o gestor de projetos
tenha condições para identificar a necessidade de novos recursos e inclui-los como recursos ad hoc ou como
parte integrante da equipa. Em qualquer dos casos, os participantes devem conhecer as suas responsabilidades
e disponibilizar aquilo que é esperado. Deste modo, a secção sobre o projeto de conformidade RGPD (ver abaixo)
inclui um plano de projeto, a descrição das tarefas e a matriz de responsabilidades.

A seguintes funções podem estar envolvidas num projeto de conformidade RPGD:

• CIO

• Data Protection Officer

• Comité de direção

• Gestor de projetos

• Equipa de projetos

• Segurança, incluindo segurança física e de TI

• Assessor legal

• Departamento financeiro

• Departamento de RP/comunicação

• Departamento de marketing

• Recursos humanos (RH)

• Fornecedores

A Tabela 4 apresenta um modelo RACI de alto nível para assegurar que os ‘stakeholders’ do projeto compreendem
os seus papéis e responsabilidades. O gestor de projeto deve criar uma matriz RACI mais granular para incluir
tarefas detalhadas, como seja o plano de projeto e criação de orçamento, ou simples, como seja quem escreve os
resumos dos workshops e dos meetings.

RACI é um acrónimo de:

• Responsible: Esta é a pessoa que realiza o trabalho para concretizar a tarefa. Esta pessoa tem a
responsabilidade de concretizar o trabalho ou tomar a decisão. Como regra, é uma única pessoa. Exemplos
incluem analistas de negócio, gestor de projetos, consultor de segurança TI.

• Accountable: Esta é a pessoa responsável pela conclusão correta e complete da tarefa. Esta deve ser uma
pessoa e muitas vezes é o executivo ou patrocinador do projeto.

13
 • Consulted: Estas pessoas disponibilizam informação para o projeto e existe comunicação bidirecional.
Normalmente, são um conjunto de pessoas, a maior parte das vezes especialistas nos assuntos.

• Informed: Estas pessoas são mantidas informadas sobre o progresso do projeto e existe comunicação
unidirecional. São pessoas afetas pelos resultados das tarefas que devem ser mantidas ao corrente.

Tabela 4
MATRIZ DE AVALIAÇÃO DE RESPONSABILIDADES RGPD

Tarefas Função/ Gestor Equipa Consul- Comité Data Assessor Depar- Comuni- Forne- CIO HR
Atividade de de tores de Protection Jurídico tamento cação cedores
projetos Projetos de Direção Officer Finan-
Segurança ceiro

Avalie o grau de
conformidade
1 RGPD com RA R C I R C
ferramenta de
avaliação IDC

Análise
3 RA R C I R C C C
de lacunas

Crie um comité
de direção e um
4 R C A I C I I
documento de
início de projeto

Estabeleça o
cronograma do
5 R C C A I C R C I I
grupo de projeto e
o orçamento inicial

Reveja e edite as
6 atuais políticas de R R R A C I R
privacidade

Ajuste as políticas
de limitação do
7 A R R I R
armazenamento de
dados

14
Tarefas Função/ Gestor Equipa Consul- Comité Data Assessor Depar- Comuni- Forne- CIO HR
Atividade de de tores de Protection Jurídico tamento cação cedores
projetos Projetos de Seg- Direção Officer Finan-
urança ceiro

Procedimentos
de revisão: novos
8 A R I R I I C
direitos dos
indivíduos

Realize uma
avaliação do risco
9 dos sistemas e R R R I R A
equipamentos
de TI

Reveja o
modo como o
10 consentimento é A R I R I I C
solicitado, obtido e
registado

Avaliação do
11 inventário de A R C I R A
dados

Avaliação da
proteção de dados
12 R R R I R A
dos principais
fornecedores

Formação dos
colaboradores
13 A R I C I R R I
e campanha de
consciencialização

Aquisição/
implementação de
14 R R C C I R C C A
funcionalidades de
índice de dados

Avaliação, teste
15 A R C I C I I I C
e entrega

Definições: R = responsible, A = accountable, C = consultado, I = informado

15
ORIENTAÇÕES ESSENCIAIS
As organizações obrigadas a cumprir o RGPD até Maio de 2018 devem seguir os seguintes passos:

• Identifique as diferenças entre a regulamentação existente e a nova legislação para avaliar as principais áreas
de foco que vão requerer tempo e investimento.

• Envolva especialistas, como a IDC, para auxiliar com as tarefas principais, como a avaliação do grau de
preparação e dos principais fornecedores.

• Envolva os fabricantes de software e os fornecedores para determinar a sua capacidade para suportar a
mudança.

• Crie uma equipa, composta por responsáveis de TI, responsáveis de negócio e especialistas legais para
trabalhar com regularidade na implementação do RGPD.

• Lance um programa formal de conformidade com o RGPD (e não um projeto). Se quiser aproveitar a
oportunidade designe-o como Programa de Transformação da Informação e proceda ao seu alinhamento com
uma perspetiva mais ampla de transformação digital do negócio.

• Obtenha o suporte e compromisso de todos os interessados para integrar os novos requisitos no negócio
Informe os colaboradores acerca da regulamentação e do impacto desta na sua função através da realização de
‘workshops’ e do envio de ‘newsletters’ regulares.

• Interaja com a autoridade local de supervisão para uma melhor compreensão da sua visão das mudanças e
para recolher toda a informação que possa obter para suportar uma melhor abordagem ao risco.

• Finalmente, deixe claro que Maio de 2018 é um ponto de partida e não a linha de chegada.

16
ESTUDOS RELACIONADOS
10 mitos sobre o regulamento geral de proteção de dados, Outubro 2017

GDPR Countdown: How to Make a Mobile Strategy Compliant, Novembro 2016

IDC PlanScape: EU General Data Protection Regulation (GDPR) Compliance for IT Security in Healthcare, Março 2017

IDC PlanScape: General Data Protection Regulation Compliance for Marketers, Maio 2017

10 Myths Regarding GDPR: Sifting Fact from Fiction, Junho 2017

The Impact of GDPR on Cloud Services Providers — Part 1: General Considerations for Contracts and Liability, Junho 2017

The Impact of GDPR on Cloud Service Providers — Part 2: Security, Data Transfer, and Other Considerations, Junho 2017

10 Software and Cloud Services Providers to Consider for Your GDPR Compliance Needs, Agosto 2017

An Overview of Incoming EU Privacy and Data Security Legislation, Agosto 2017

17
Sobre a IDC
A International Data Corporation (IDC) é a empresa líder mundial na área de “market intelligence”, serviços de
consultoria e organização de eventos para os mercados das Tecnologias de Informação, Telecomunicações e
Electrónica de Consumo. A IDC ajuda os profissionais de Tecnologias de Informação, decisores empresariais e
investidores a tomarem decisões sobre tecnologia e estratégias de negócio baseadas em factos.
Mais de 1000
analistas da IDC fornecem conhecimento profundo sobre oportunidades, tendências tecnológicas e evolução
dos mercados a nível global, regional e local em mais de 110 países. Há 50 anos que a IDC fornece informação
estratégica para ajudar os seus clientes a atingirem os objectivos de negócio.


IDC Portugal
Centro Empresarial Torres de Lisboa
Rua Tomás da Fonseca, Torre G
1600-209 Lisboa
Portugal
Tel:+351 21 723 06 22
Fax:+351 21 723 06 75

http://www.idc.com
https://www.facebook.com/IDC.Portugal

Informação sobre Direitos de Autor

Divulgação Pública de Informação e Dados da IDC — Qualquer informação da IDC a ser utilizada em publicidade,
notas de imprensa ou materiais promocionais requer a aprovação prévia por escrito do respectivo Vice-presidente
ou Diretor-geral Nacional da IDC. Um rascunho do documento proposto deve acompanhar tal pedido. A IDC
reserva-se, por qualquer razão, o direito de negar a aprovação de utilização externa.

Direitos de autor 2017 IDC. A reprodução sem autorização prévia é totalmente proibida.

18
IDC Portugal

Centro Empresarial Torres de Lisboa

Rua Tomás da Fonseca, Torre G
1600-209 Lisboa
Portugal
Tel:+351 21 723 06 22
portugal@idc.com

http://www.idc.com
https://www.facebook.com/IDC.Portugal