Análise
Nesta primeira fase, procedemos a um levantamento exaustivo sobre os dados pessoais e as formas de tratamento efetuadas pela organização. Analisamos, entre outros, os seguintes aspetos:
- Análise e verificação dos dados pessoais tratados pela organização, as formas de recolha, tratamento, segurança física e lógica, transmissão a terceiros, interconexões de bases de dados, fluxos transfronteiriços, etc.
- Cumprimento das regras relativas à recolha de dados pessoais junto dos respetivos titulares – compliance dos “ARCO rights”;
- Análise e verificação de cláusulas e wordings de proteção de dados, nomeadamente em contratos de trabalho e de prestação de serviços, contratos com terceiros e/ou fornecedores, contratos de seguro.
- Análise e verificação de histórico de relacionamento com a CNPD.
- Verificação do Website, Apps e redes sociais.
Relatório
Finda a fase de análise é elaborado um relatório que reflete detalhadamente o modo como a organização procede ao tratamento dos dados pessoais e o grau de conformidade com a Legislação relativa à proteção de dados. Este documento é apresentado aos decisores da organização, contendo as desconformidades detetadas e as medidas corretivas necessárias.
Juntamente com o Relatório é entregue o mapeamento de tratamento de dados que constitui o registo de tratamento de dados, nos termos do art.º 30 do Regulamento Geral de Proteção de Dados (RGPD).
Correcção e Prevenção
Nesta fase procedemos à regularização das deficiências detetadas, o que poderá incluir a necessidade de:
- Redação de wording relativo a proteção de dados pessoais a inserir em contratos, ou em outros suportes, incluindo websites;
- Redação de cláusulas/declarações de sigilo;
- Definição de Políticas de Privacidade;
- Definição da Política de Segurança de Informação;
- Definição de procedimentos e de boas práticas de acordo com o Princípio da Privacy by Design and by Default;
- Elaboração de Check-list de compliance destinada a parceiros sobre o cumprimento das instruções definidas nos termos do art.º 28 do RGPD, relativas à recolha dos dados a tratar, tipo de cláusulas, etc.;
- Definição do procedimento de exercício de direitos dos titulares;
- Definição do procedimento de gestão e notificação de incidentes de segurança;
- Validação das funções do responsável pela proteção de dados na organização, ou do Encarregado de Proteção de Dados, se vier a ser nomeado.
Abordagem de questões como:
- Enquadramento Legal:
- A nível nacional;
- A nível comunitário;
- Entidade Reguladora;
- Privacidade;
- Proteção de Dados;
- Direitos dos Titulares dos Dados;
- Deveres dos Responsáveis pelo Tratamento dos Dados;
- Casos especiais:
- Videovigilância;
- Dados Sensíveis;
- Fluxos transfronteiriços de dados;
Abordagem de questões como:
- Enquadramento Legal;
- Tratamento de dados no âmbito da contratação de trabalho temporário;
- Gestão de Trabalhadores e processamento de remunerações;
- Controlo de assiduidade e sistemas biométricos;
- Sanções disciplinares;
- Medicina no trabalho;
- Realização de testes de alcoolémia e consumo de droga;
- Monitoring, controlo de chamadas telefónicas, e-mail e internet;
- Videovigilância;
- Gravação de chamadas;
- Geolocalização;
- Linhas de Ética.
Inclui a abordagem das matérias basilares do Regulamento e das novidades face à anterior legislação.