Passados mais de três anos sobre a entrada em vigor deste Regulamento, interessa agora perguntar em que ponto é que as empresas estão na sua aplicação.
Por certo, se antes do dia 25 de maio de 2018 as organizações recorreram ao imprescindível apoio jurídico para adaptar a suas realidades às exigências legais, procederam à alteração e produção de documentos e informações de forma a cumprirem com o legalmente requerido, levanta-se a questão se está considerada a atualização da aplicação e da manutenção das ações previstas de forma a acompanharem o dinamismo das empresas.
Ou seja, este tema deve ser gerido como mais um dos riscos a que as organizações estão sujeitas.
Para tal, há não só que determinar quais as atividades de tratamento de dados que existem dentro da organização, mas também manter atualizado o registo dessas mesmas atividades.
Assim, deve-se não só definir as Avaliações de Impacto das já mencionadas atividades de tratamento de dados, mas também acautelar a sua exposição a novos paradigmas e atualizar a respetiva Matriz de Risco.
Por outras palavras, o dinamismo e constantes desafios a que as organizações estão sujeitas impõem a necessidade de uma monitorização contínua da avaliação de riscos e respetivos planos de tratamento.
O cumprimento do Regulamento Geral de Proteção de Dados não é exceção, pelo que recomendamos como metodologia o mapeamento das atividades de tratamento de dados; a avaliação do risco; a estimativa do impacto; e o processo de Gestão do Risco.
Em suma, se é fundamental nesta matéria o apoio jurídico especializado, não é menos importante complementar o mesmo com técnicas que só a Gestão de Risco fornece.
Assim, as organizações aumentam as suas linhas de defesa e garantem que não basta conhecer os riscos, há que estabelecer e aplicar, transversalmente a todas as atividades de tratamento de dados, os respetivos planos de tratamento de forma a se evitarem surpresas desagradáveis.