Proteção de Dados em Ação

Tempo de leitura: 8 minutos

Noticias & blog Blog Proteção de Dados em Ação

Proteção de Dados em Ação

Pascal Dijkens, Risk & Compliance Director

Pascal Dijkens

Risk & Compliance Director, Van Ameyde

Tempo de leitura:8 minutos
Um projeto abrangente de dois anos assegurou a conformidade da Van Ameyde com as normas ISO de Gestão de Segurança da Informação e o Regulamento Geral de Proteção de Dados (RGPD). O processamento em grande escala de dados sensíveis para fornecedores de seguros e gestores de risco empresarial significa que a Van Ameyde é o que se designa por Processador ao abrigo do RGPD. Mas o setor estará inteiramente consciente das suas próprias obrigações relativamente à sua rede de fornecedores?

Dia 25 de maio de 2018, o Regulamento Geral de Proteção de Dados (RGPD) entra em vigor, substituindo a Diretiva 95/46/CE da UE. O facto de se tratar de um regulamento em vez de uma diretiva significa que o RGPD tem efeito direto. Isto beneficia organizações que operam em vários estados-membros, como a Van Ameyde e muitos dos nossos clientes. Afinal, em comparação com as diretivas, que são transpostas para a legislação nacional, os regulamentos proporcionam muito menos possibilidades de desvios locais.

Apesar desta vantagem, a implementação do RGPD revelou-se um processo moroso para nós, na Van Ameyde. Demos início ao nosso programa de implementação abrangente há mais de dois anos, após uma ampla auditoria em toda a organização.

Sem pretender enumerar uma lista exaustiva, gostaria de dar uma ideia de alguns aspetos do novo Regulamento do ponto de vista de um processador.

Segurança e administração de dados

Na sequência da auditoria, iniciámos diversas atualizações no nosso sistema de segurança e administração de dados logo em 2016. Por motivos de segurança, não podemos listar detalhadamente as medidas tomadas. Contudo, em termos gerais, as nossas medidas de segurança e administração de dados incluem:

  • encriptação de dados pessoais
  • medidas de segurança de referência relacionadas com infraestrutura e acesso, incluindo autenticação de dois níveis e políticas rigorosas de palavra-passe
  • monitorização e comunicação de violações de dados
  • políticas de classificação de dados, maior limitação no acesso a informações altamente sensíveis, como dados clínicos (a serem acedidos apenas por pessoal com autorização de segurança adicional) e dados relacionados com investigações de fraude.

No processo de introdução de medidas, a nossa empresa interna de desenvolvimento de TI (Zero)70 recebeu a certificação ISO 27001:2013, para além da nossa acreditação anual ISAE3402 tipo II já existente. Os nossos clientes podem ter a certeza de que os nossos protocolos e práticas de gestão de dados e segurança de dados estão em total conformidade com o RGPD. Aderimos estritamente aos princípios do RGPD, como legalidade, justiça, transparência e limitação de propósitos. Além disso, minimizamos a recolha e processamento de dados ao estritamente relevante para o tratamento de reclamações e implementámos medidas no sentido de observarmos os direitos das pessoas a quem os dados dizem respeito.

Bastará dizer que, no âmbito do processo de conformidade com o RGPD, a Van Ameyde realizou uma Avaliação de Impacto da Proteção de Dados (AIPD) para identificar os elevados riscos relativos ao direito à privacidade. Foram formuladas medidas para enfrentar esses riscos.

Controladores e processadores

Os controladores são entidades que “possuem” os dados dos seus clientes. Quando o processamento de dados tão pessoais é abrangido por atividades de outsourcing, os controladores enfrentam dois desafios:

  • Cumprir o prazo do RGPD para os seus próprios sistemas e práticas de gestão de dados
  • Garantir que as suas redes de fornecedores, isto é, os “Processadores”, também estão em conformidade – por meio de Acordos de Processamento de Dados

Ao abrigo do novo Regulamento, os Processadores também são responsáveis, com responsabilidades como:

  • a nomeação de um Responsável pela Proteção de Dados (RPD)
  • manter registos dos dados processados para os seus clientes

Efetivamente, a Van Ameyde opera em toda a Europa, pelo que nomeámos e formámos RPD dedicados em todos os países onde a Van Ameyde tem escritórios.

Acordo de Protecessamento de Dados: obrigatório

Ao abrigo do RGPD, os Controladores são obrigados a implementar Acordos de Processamento de Dados (APD) com os seus Processadores. Estamos a resolver este problema notificando os clientes e disponibilizando-lhes um modelo de APD. Se ainda não recebeu e deseja, não hesite em nos contactar.

Direitos das pessoas a quem os dados dizem respeito

Ao abrigo do RGPD, as pessoas a quem os dados dizem respeito são os indivíduos cujos dados pessoais são processados. Em termos de gestão de reclamações, as pessoas a quem os dados dizem respeito podem ser detentores de apólices, terceiros e, por exemplo, testemunhas. Na primeira notificação, os sinistrados são explicitamente informados dos seus direitos. Estes direitos incluem os direitos de:

  • acesso
  • retificação
  • apagamento (o “Direito a ser esquecido”)
  • restrição de processamento
  • portabilidade dos dados (o direito dos indivíduos de transferirem os seus dados pessoais para outras organizações)

No entanto, deve notar-se que quaisquer alterações apenas são processadas após verificações minuciosas acerca da legitimidade e relevância. Além disso, no contexto do tratamento de reclamações existem limitações ao direito a ser esquecido. Bastará dizer que as partes responsáveis não podem remover os seus dados ou alterá-los para evitar a recuperação…

Links úteis

Se pretende mais detalhes acerca dos artigos do RGPD, este website é extremamente útil: https://gdpr-info.eu/

O Deloitte’s GDPR top ten também é altamente informativo.

Quote
Afhankelijk van de levensverwachting van het slachtoffer zal het verlaagde discontopercentage leiden tot aanzienlijke verhoging van de vergoeding voor toekomstschade.

Pascal Dijkens

Rodrigo d’Orey

Share This