O RGPD trata a proteção de dados como responsabilidade de toda a organização, não apenas da área jurídica. Damos-lhe os programas de sensibilização, as avaliações e a evidência de formação, mapeados aos artigos do regulamento e segmentados por público.
Solicitar uma demonstraçãoSegundo o relatório DBIR da Verizon, o fator humano intervém em cerca de 6 em cada 10 violações de segurança. Ao abrigo do RGPD, uma violação de dados pessoais é notificada à autoridade de controlo no prazo de 72 horas (artigo 33.º). Esse relógio só se cumpre se as pessoas souberem reconhecer um incidente e comunicá-lo a tempo dentro da organização.
O Regulamento (UE) 2016/679, aplicável desde 25 de maio de 2018, distribui a responsabilidade pelos dados por toda a organização. Três obrigações recaem diretamente sobre o seu programa de sensibilização.
O artigo 32.º obriga a aplicar medidas técnicas e organizativas adequadas para proteger os dados pessoais. Boa parte dessas medidas depende das pessoas: palavras-passe, acessos, e-mails suspeitos e tratamento cuidadoso da informação em cada posto.
O artigo 33.º fixa 72 horas para notificar uma violação de dados à autoridade de controlo. Para responder nesse prazo, alguém teve de reconhecer o incidente e comunicá-lo de imediato internamente. O incumprimento pode acarretar coimas até 20 milhões de euros ou 4% do volume de negócios anual mundial (artigo 83.º).
Entre as funções do encarregado da proteção de dados (artigo 39.º) está sensibilizar e formar o pessoal que participa nas operações de tratamento. A formação deixa de ser uma boa prática e passa a ser parte do que o RGPD espera que consiga demonstrar.
Não tem de montá-lo de raiz. O conteúdo mapeado ao RGPD já vem preparado e atribui-se por público em alguns cliques, cada nível com a sua linguagem e o seu foco.
O que são os dados pessoais e porque o envolvem, hábitos de proteção no dia a dia, como detetar e comunicar uma possível violação e tratamento seguro da informação. Aplicável a partir de qualquer posto.
Princípios do tratamento, direitos das pessoas, segurança do artigo 32.º e o relógio da notificação de 72 horas. O detalhe de que necessitam quem desenha processos e responde perante a autoridade de controlo.
Cada conteúdo está ligado aos artigos do regulamento que cobre. A partir da gestão de normas da plataforma verifica o grau de conformidade conforme a formação atribuída a cada pessoa. Se lhe forem aplicáveis outras normativas europeias, a mesma abordagem cobre marcos como o Regulamento da IA.
E cada peça deixa rastreabilidade: quem completou o quê, que resultado obteve e como evoluiu. É a evidência que transforma “formamos as pessoas” em algo verificável.
Acompanhamos há mais de 10 anos organizações de banca, saúde, infraestrutura crítica e setor público a reduzir o risco humano e a deixar evidência auditável de que o fazem. A diferença face a uma campanha genérica é a rastreabilidade: quem se formou, que resultado obteve, como respondeu a uma simulação de phishing ou ransomware e como melhorou ao longo do tempo. É a evidência que uma revisão do RGPD vai pedir.
Deixe-nos os seus dados e mostramos-lhe como cobrir cada obrigação do regulamento com conteúdo mapeado aos seus artigos, pronto para a sua organização.