Neste artigo tratamos de como configurar e iniciar o módulo de Proteção de Dados no GlobalSuite®, incluindo a definição de serviços e processos, registo de tratamentos, análise PIA, gestão de controlos, planos de adequação e auditorias, para assegurar o cumprimento do Regulamento Geral de Proteção de Dados.
Configuração RGPD
O GlobalSuite® dispõe de uma configuração por defeito, não sendo necessário este passo. Apenas para aquelas organizações que desejem personalizar a sua configuração e, através de utilizadores com privilégios para tal, poderão utilizar a funcionalidade que se detalha a seguir, a qual está acessível através da secção de Ajustes:
Secção de Ajustes
A secção de Ajustes oferece ao utilizador a possibilidade de configurar todos os aspetos relativos ao seu Sistema de Gestão de Proteção de Dados, podendo parametrizar aspetos como as permissões de acesso à ferramenta, a metodologia utilizada para a análise de Riscos sobre o tratamento de dados pessoais, bem como o catálogo a aplicar neste.
Catálogo de Serviços (Empresa)
O GlobalSuite® identifica serviços ou produtos da organização sobre os quais serão aplicadas as medidas estabelecidas pelo RGPD, e posteriormente estabelece as dependências com as diferentes áreas ou departamentos que compõem a organização.
Para definir estes catálogos de serviços ou produtos, deverá aceder a Início > Catálogo de Serviços e clicar em Novo para criar um registo, configurando de seguida a informação relativa à empresa e a cada serviço ou produto.
Implementação do RGPD (Regulamento Geral de Proteção de Dados)
Início - Processos de Negócio (Áreas organizacionais)
O GlobalSuite® permite à organização definir os serviços ou produtos que compõem a empresa, a qual foi registada na secção de “ Serviços ”. A partir disso, será possível desagregar essa organização nos processos, áreas, departamentos, divisões ou gerências através da opção de “ Processos ”.
Para a definição das áreas acedemos ao separador “Lista de Processos” clicando no botão “ Novo”.
Uma vez definidas as áreas-processos e empresa, na opção “ Árvore de Processos” é possível estabelecer a estrutura da organização, vinculando os serviços criados com as áreas organizacionais. Apenas será necessário arrastar as áreas da tabela direita para a hierarquia da tabela esquerda até conformar as dependências entre as diferentes áreas da organização.
Início - Funções e Responsabilidades
Será necessário criar novas Funções, para isso o GlobalSuite® permite configurar novos tipos de perfis, em Início> Gestão de Funções, pressionando o botão Configurar Funções e, posteriormente no novo separador, definir aqueles perfis requeridos pela organização com o botão. Após isso, será possível atribuir ou associar um colaborador a cada função como responsável pela mesma.
O RGPD requer a definição de certos perfis ou responsabilidades, como pode ser o DPO (Encarregado de Proteção de Dados), etc., que farão parte do tratamento e proteção dos dados geridos na organização.
Esta definição é realizada no menu de “ Competências e Funções ”, onde é possível atribuir aos colaboradores e funções uma série de “Competências” e “Funções e Obrigações”, tal como mostrado na figura.
Início - Gap Analysis
O GlobalSuite® permite avaliar o estado do cumprimento em relação a algumas normativas propostas pela Agência Espanhola de Proteção de Dados. Para isso, deveremos utilizar o menu Gap Analysis , selecionar o catálogo fornecido no seletor “Catálogos GAP” e acionar o botão.
Dentro do catálogo poderemos determinar o Estado de cada um dos requisitos do RGPD através da coluna “Estado Atual”. Além disso, podemos associar documentação, controlos e não conformidades de forma direta, previamente introduzidas na mesma ferramenta GlobalSuite®.
Uma vez completo o GAP Analysis, poderemos extrair gráficos do mesmo que permitam conformar um relatório do estado inicial do cumprimento através da opção. Alguns exemplos são os seguintes:
Início - Plano de Adequação
Para as Análises Gap realizadas anteriormente, é possível realizar planos de adequação que permitam estabelecer ações de cumprimento para alcançar o nosso nível de cumprimento objetivo. Para isso, deveremos utilizar o menu Plano de Adequação e selecionar o Gap Analysis requerido.
Para aqueles requisitos que não tenham sido implementados na organização, o GlobalSuite® permite estabelecer ações para alcançar o seu cumprimento e fazer um acompanhamento das mesmas a partir do menu “ Acompanhamento”.
Tratamento
Tratamentos - Responsáveis pelo Tratamento
Na opção de “ Responsáveis pelo Tratamento ”, podemos registar aqueles responsáveis pelo tratamento dos dados pessoais.
Para isso, basta clicar no botão “Novo” e registar todos aqueles relacionados com a nossa organização.
Como o RGPD exige realizar um acompanhamento/avaliação dos responsáveis pelo tratamento, o GlobalSuite® permite registar essa análise na opção de “ Responsáveis pelo Tratamento”.
Para avaliar um responsável pelo tratamento, é necessário selecioná-lo na tabela e clicar no botão “ Avaliar”. Uma vez acedida a opção, na opção de “ Tabela de Avaliações” poderemos registar os dados relacionados com o responsável requerido, tal como mostrado na imagem seguinte.
Nesta opção de “Encargo de Tratamento”, podemos registar os tratamentos dos quais a nossa empresa é responsável pela sua gestão.
Para isso, basta clicar no botão “ Novo” e registar todos aqueles relacionados com a nossa organização.
Tratamento - Registo de Atividades de Tratamentos
Uma vez definidas as áreas organizacionais, devem ser inventariados, para cada uma delas, os tratamentos de dados pessoais que são efetuados e os recursos técnicos que os suportam. Para inserir um novo tratamento, deve-se clicar no botão na tabela da opção “ Tratamentos ”.
Cada um dos tratamentos deve ser avaliado, com base numa série de dimensões, para determinar se deve ser realizado o PIA (Privacy Impact Assessment) ou não. As dimensões de avaliação são totalmente configuráveis na secção de Ajustes> Metodologia Elementos .
Análise PIA
Análise PIA - Inventário
Definidos os tratamentos, cada um deles estará localizado dentro de um processo – elemento em concreto, pelo que com a ajuda do Inventário serão adicionados os tratamentos à árvore de elementos segundo a hierarquia existente dentro da organização. Além disso, poderão ser indicadas que aplicações, servidores ou infraestruturas dão suporte a estes tratamentos.
Análise PIA – Análise de riscos
Para aqueles tratamentos que requerem realizar o PIA, o GlobalSuite® permite analisar, para cada tratamento de dados, as ameaças que o afetam e determinar o risco de exposição da empresa a cada uma delas dentro da opção de Análise de Riscos .
Análise PIA – Análise de Riscos (Ameaças)
Para configurar a lista de ameaças associadas a cada um dos tratamentos de dados pessoais, devemos ir ao Menu de Ajustes >“ Catálogos de Análise ”. Na tabela superior direita podemos modificar a lista de ameaças existente (se a empresa quiser adequá-la aos seus requisitos) e associá-la ao tratamento de dados pessoais.
Análise PIA – Avaliação de Riscos
No menu de “ Avaliação de Riscos ” poderemos ver um resumo dos resultados obtidos na análise de riscos. Com diferentes gráficos que nos mostram os resultados de forma visual e possibilitando o download desses gráficos para incluí-los em diferentes documentos.
Análise PIA – Avaliação de Riscos ( Mapa de Riscos)
O GlobalSuite® oferece-nos a possibilidade de mostrar a nossa análise de riscos, entre outras opções, a partir da representação de um “mapa de calor”. Todos estes dados poderão ser exportados através da opção “Download”.
Análise PIA – Gestão de controlos
Uma vez avaliadas as ameaças, será possível dispor e registar os diferentes controlos detetados e implementados que mitigarão essas ameaças.
A metodologia para o cálculo da efetividade ou da maturidade de cada controlo poderá ser definida dentro da secção de Ajustes> Metodologias Controlos do GlobalSuite®.
Análise PIA – Gestão de riscos
Uma vez avaliadas as ameaças, será necessário estabelecer os diferentes controlos que permitem mitigar os riscos detetados que estejam acima do nosso Nível de Risco Aceitável, o que vai conformar o Plano de Tratamento.
Para o nosso plano de tratamento, poderemos propor novos controlos através do botão “ Novo”, incluir os controlos que já implementámos através da opção “I ncluir Controlos Implementados” ou incluir novos controlos propostos segundo a configuração do Catálogo de Riscos definidos, através da seleção do separador “ Controlos propostos.”
Uma vez selecionada a ameaça (janela superior) e o controlo (janela inferior), associá-los-emos através da opção “ Associar”. Assim que associarmos um novo controlo a uma ameaça, este será incluído automaticamente no plano de tratamento.
É possível definir diferentes ações para cada um dos controlos, uma vez concluídas, será possível implementar o controlo, conforme mostrado no gráfico à esquerda.
Na opção de “ Acompanhamento do plano de tratamento”, poderemos ver os prazos definidos para a finalização de cada um deles, juntamente com o seu progresso derivado da completude das ações que tenham associadas. Se o Progresso do Controlo for 100%, indicará que o controlo é considerado implementado. Para que o controlo seja considerado implementado no GlobalSuite®, deveremos clicar em “ Implementar Controlos Implementados” (Serão implementados os controlos com um progresso de 100%).
Análise PIA – Compliance
Semelhante à opção de análise GAP, será possível utilizar o Compliance para tratar e atualizar a nível normativo de conformidade com o RGPD, bem como manter ativas diferentes versões ao longo da vida do nosso SG.
Planos
Planos – Formação e Capacitação
O GlobalSuite® permite à organização a gestão dos seus planos de Formação e Capacitação . Nestes, podemos incluir os diferentes participantes, se foram realizados, a documentação associada como repositório e as datas de realização.
Planos – Auditoria
O GlobalSuite®, como um dos requisitos para analisar a proteção efetuada na organização em relação aos dados pessoais, oferece a possibilidade de registar essas avaliações na opção de “ Auditoria ”.
Na aba “ Planeamento” podemos registar os dados relativos à auditoria a ser realizada.
Na aba “ Controlos”, dentro da opção de Auditoria , podem ser registados, para cada um dos requisitos do RGPD, os achados detetados e anotados de forma específica para cada um deles.
Por fim, a aba “ Relatório” permite documentar os resultados da auditoria, registando as Não Conformidades e Observações detetadas, bem como os responsáveis, pontos de melhoria, etc.
Destaca-se que, a partir da opção de relatório, podem ser geridas as “ Não Conformidades” como um registo dentro da ferramenta, na opção de “ Gestão”> Não Conformidades .
Scorecard
Scorecard– Métricas
O GlobalSuite® permite estabelecer métricas que recolham diferentes dados na ferramenta. Os dados de cada métrica serão representados dependendo da sua data e do seu valor. Será na etapa seguinte que, a partir da combinação das métricas, serão estabelecidos os indicadores.
Scorecard – Indicadores
A partir da combinação das métricas anteriormente estabelecidas, serão elaborados os indicadores. Para isso, devemos estabelecer a relação entre elas através de uma fórmula. Para utilizar os dados introduzidos nas métricas, os indicadores devem ter a mesma frequência de recolha. Estes indicadores poderão ser utilizados na extração de relatórios ( Secções> Relatórios ).
