RGPD - Deve ou não ser implementado nas IPSS
Durante estes últimos meses, muito se tem dito e escrito sobre esta matéria. Empresas e entidades do setor social têm trabalhado no sentido de adequarem os seus comportamentos à luz desta norma. Apesar de estar atrasada a publicação da legislação nacional sobre esta matéria, as organizações estão cientes de que terão de trabalhar no sentido de evidenciarem as medidas que estão a tomar para salvaguarda de dados pessoais, como sejam, o nome e apelido, a data de nascimento, a morada, um número do cartão de identificação, o endereço de correio eletrónico (nomeapelido@empresa.pt), um endereço IP, cookies, dados de saúde, dados biométricos, dados genéticos, dados que caracterizem as opções políticas, religiosas e sexuais, entre outros.
Aliás, esta constitui uma das mudanças de paradigma registada: as organizações não têm mais de solicitar à CNPD (Comissão Nacional de Proteção de Dados) autorização para tratamento de dados pessoais, mas têm de evidenciar que recolhem e tratam esses dados segundo o disposto no Regulamento. Aqui inclui-se, por exemplo, a recolha e tratamento de imagens através das câmaras de videovigilância, os sistemas de controlo de assiduidade através de dispositivos biométricos, entre outros.
Uma das questões que tem sido levantada em alguns fóruns é saber se as IPSS não têm um regime de exceção? Não. Não têm. Terão de observar e implementar todas as disposições previstas no Regulamento, como qualquer outra organização. O setor de atividade onde atuam e a tipologia de população que assistem constituem, de per si um fator adicional de criticidade no que ao RGPD respeita.
Assim sendo, ficam aqui algumas sugestões para os passos a seguir com vista à implementação do RGPD:
• Definir uma estratégia de implementação - Saber quem somos e o que pretendemos fazer em matéria de RGPD;
• Envolver toda a organização - A direção e todos os departamentos / áreas / respostas deverão participar no trabalho a realizar;
• Designar um responsável pelo processo de implementação do RGPD - Poderá aqui ser nomeado o Encarregado de Proteção de Dados, por imposição legal ou por decisão da organização;
• Mapear Dados Pessoais - Este processo inclui, entre outros, identificar dados pessoais, fluxos de informação, fundamentos e finalidades do tratamento, pessoas envolvidas nas operações / fases de tratamento, medidas de segurança de informação, fluxos de dados transfronteiriços;
• Registar as operações - Criar ou atualizar um conjunto de processos / procedimentos que permitam verificar a correta implementação do RGPD;
• Sensibilização de toda a organização - Um dos graves problemas de qualquer implementação do RGPD é o desfasamento entre as medidas adotadas e a prática quotidiana. Para minimizar este risco, a formação a todos os trabalhadores da organização é fundamental.
Obviamente, o RGPD não termina aqui. É necessário realizar um acompanhamento e monitorização constantes que garantam a cada momento a conformidade da organização.
António Filipe Cruz | de Formação e Coordenador Pedagógico
F3M Information Systems, S.A.
CLIQUE AQUI e saiba mais sobre os serviços F3M que o apoiam no cumprimento do RGPD.
Voltar