O Workflow Registo de atividades - RGPD tem como objetivo registar e controlar a atividades de gestão de dados pessoais enquadrados pela regulamentação de RGPD. Trata-se de um workflow muito útil para auxiliar os Encarregados de Proteção de Dados (EPD) na compilação das atividades, avaliação de impactos, tratamento de não conformidades ou pedidos ao EPD.
DICA Este tutorial explica o funcionamento nativo deste workflow, desenhado como template pela nossa equipa para partilha com os nossos clientes. É possível personalizar, acrescentando ou eliminando etapas, campos ou regras do processo.
Caso pretenda incluir este template/workflow no seu AGIR ou fazer pedido de alterações, pedimos que crie um ticket com as especificações do seu pedido, para que possamos integrar todo o processo e relatórios e começar já a trabalhar com este workflow.
Assumindo que já importou o workflow para o seu AGIR, preste atenção ao nosso tutorial para saber como pode utilizá-lo.
Aceder ao workflow Registo de Atividades - RGPD
Vá ao módulo de Workflows.
Escolha o workflow Registo de Atividades - RGPD.
Terá acesso à lista de atividades já criadas, onde é possível filtrar a pesquisa por nome do tipo de dados, licitude, responsável pelo tratamento, prazo de conservação, medidas técnicas de seguranças, etc...
DICA A informação apresentada nas listas de registos é personalizável. Consulte este artigo para saber como personalizar a lista de registos de workflows.
Ao passar o corsor pelo número de ações, é possível ver em que estado as mesmas se encontram.
Criar um novo registo
Para criar um novo registo no workflow, clique em Novo Workflow. O AGIR vai sugerir automaticamente um título para o seu registo (pode aceitar o título ou alterá-lo). Clique em OK.
O workflow descrito neste template encontra-se dividido em duas etapas e dispõe de um serviço automático de atualização dos registos. Cada etapa tem um separador com os dados relativos a cada uma delas.
- Registo da atividade
- Avaliação de impactos (etapa facultativa conforme tipo de dados)
O serviço automático notifica o responsável de tratamento e despoleta a revisão da atividade, tendo em conta a frequência de revisão definida nas propriedades da atividade.
ETAPA 1 - REGISTO DE ATIVIDADES
Na etapa de Registo, são preenchidos os dados da atividade, incluindo o tipo de dado, finalidade de tratamento, responsável pelo tratamento, prazo de conservação, licitude, medidas de segurança em vigor, periodicidade de revisão, etc...
Para além dos campos de formulário existem duas tabelas de preenchimento facultativo:
- Lista de transferências internacionais
- Lista de subcontratantes
O preenchimento é intuitivo e simples. Se for um Encarregado de Proteção de Dados ou um Responsável pelo Tratamento, não terá dificuldade em preencher os seus dados.
Dois campos são particularmente importantes:
- Periodicidade de revisão: Este campo determina a frequência de revisão do preenchimento da atividade. O AGIR analisará este campo e, com base na data da última revisão, calculará a data da próxima.
- Requer avaliação de impacto: De acordo com as suas políticas de proteção de dados e riscos associados, pode despoletar um processo formal de avaliação de impactos. Se selecionar Não, a segunda estapa do workflow não será despoletada. Se selecionar Sim, a segunda etapa do workflow será despoletada e entregue ao Responsável pelo Tratamento.
Para além de preencher os campos do formulário, pode ainda inserir documentos, contratos, consentimentos, documentos legais, pareceres, evidências, entre outros ficheiros como anexos.
Pode inserir documentos de qualquer natureza. Os documentos de formato PDF e imagem possuem uma pré-visualização embutida.
Os documentos podem estar associados ao registo da atividade como um todo, ou especificamente associados a uma tabela. Por exemplo, um contrato com um subcontratante pode estar ligado à respetiva linha na tabela de subcontratantes.
Após preencher todos os campo obrigatórios, clique em Submeter para avançar para a etapa seguinte.
Ao submeter, o processo será enviado para a Fase 2 - Avaliação de impactos, caso o campo Requer avaliação de impacto, tenha a indicação Sim. Será sugerido como próximo interveniente o Responsável pelo Tratamento e o Responsável pelo Tratamento Backup, identificado na fase de Registo.
Caso o campo Requer avaliação de impacto tenha a indicação Não, o workflow é enviado para o estado de Monitorização contínua. O registo está fechado e será reaberto automaticamente X dias antes da próxima revisão (geralmente 15 dias antes).
Consulte o nosso artigo de Introdução ao Módulo Workflows para saber todas as funcionalidades que tem ao seu dispor durante a criação de registos/workflows.
ETAPA 2 - AVALIAÇÃO DE IMPACTOS
O objetivo da etapa de Avaliação de impactos consiste análise das ameaças e riscos associados a esta atividade. Para isso é apresentada aos Responsáveis de Tratamento uma matriz de avaliação de ricos bidimensional: Probabilidade vs Gravidade, ambos numa escala de 1 a 5.
Probabilidade
Qual a probabilidade do risco se manifestar atualmente numa escala de:
- Muito baixa
- Baixa
- Média
- Alta
- Muito alta
Gravidade
Qual a gravidade/impacto caso o risco se manifeste, numa escala de:
- Muito baixa
- Baixa
- Média
- Grave
- Muio alta
Índice de Risco
O Índice de Risco resulta da multiplicação de ambas as grandezas num mínimo de 1 e máximo de 25.
| ≤ 4 | Não significativo | Não são necessárias ações - Podemos aceitar o risco |
| > 4 e ≤ 8 | Pouco significativo | São necessárias ações (deve Transferir ou Mitigar o risco) |
| > 8 e ≤ 16 | Significativo | São necessárias ações (deve Transferir, Mitigar ou Eliminar/Evitar o risco) |
| > 16 | Grave | São necessárias ações (Apenas eliminar/Evitar o risco) |
Para sua ajuda na avaliação do risco, é apresentado no campo Resultado da última avaliação, o índice de risco do último ciclo de avaliação.
Nota: Este campo estará vazio caso se trate da primeira avaliação da atividade.
Histórico de Avaliações
No separador Avaliação de Impacto - Histórico, pode ainda consultar o histórico de avaliações.
Nota: Este separador estará invisível caso se trate da primeira avaliação da atividade.
Criação de ações para mitigação de riscos
Conforme o índice de risco apurado, é definida a estratégia de atuação sobre o risco e as ações a implementar. Serão obrigatórias ações para riscos com índices superiores a 4.
As ações são criadas e distribuídas aos seus respetivos reponsáveis e enviadas por e-mail como tarefa.
Para criar as ações, clique na roda dentada do menu superior.
Aparecerá a lista das suas ações, que neste momento estará vazia. Para criar uma nova ação, clique em Nova Ação.
Planeie a nova ação, definindo o seu tipo, os responsáveis, a data de início e o seu prazo. Pode facultativamente preencher o custo, recursos, notas e adicionar anexos. No final, basta clicar em Guardar.
Após preeencher todos os campo obrigatórios, clique em Submeter no canto superior direito.
Ao submeter, o processo será enviado para a Monitorização contínua. Nesta fase as ações definidas anteriormente devem ser implementadas de acordo os prazos definidos. A monitorização será efetuada aquando da revisão da atividade.
Etapa automática
Esta etapa tem por objetivo acompanhar os resultados das ações definidas para eliminar/mitigar riscos e efetuar uma revisão das atividades.
Conforme a frequência definida no campo Periodicidade de revisão, de forma automática o AGIR altera o estado de cada atividade e envia o processo de novo para Registo sob a responsabilidade dos Responsáveis de Tratamento.
Este processo ocorrrerá X dias (normalmente 15 dias) antes da data de próxima revisão.
Após esta etapa, todo o processo se repete ciclicamente.
Ligações a outros workflows e outras funcionalidades
Este template comtempla ligações a outros workflows e outras funcionalidades que tornam este módulo ainda mais integrado:
- Criar uma Não conformidade relacionada com a atividade;
- Criar um pedido ao EPD (por ex: apagamento de dados, alteração de dados, pedido de esclarecimento etc)
- Cancelar a atividade atual. Esta funcionalidade deve ser utilizada quando o registo da atividade já não for relevante. Embora os registos sejam mantidos no AGIR, não necessitam de acompanhamento adicional.
Caso queira consultar artigos de outros workflows template disponíveis, clique aqui.
DICA Pode fazer a implementação autónoma deste workflow no seu AGIR. Para isso, basta fazer download do nosso template ao clicar aqui, e usar exatamente como proposto neste tutorial.
Após download do template, deve ir ao seu nome de utilizador > Agir Config > tab Workflows > Workflows > Importar para importar o template para o seu AGIR.
Outros tutoriais relevantes
Para além das regras específicas descritas acima, o AGIR inclui um conjunto de funcionalidades nativas que o ajudarão a enriquecer os seus processos e automatizar atividades.
Selecionamos um conjunto de tutoriais mais relevantes para este Workflow. Por favor consulte estes tutorais e se tiver dúvidas entre em contacto com a nossa equipa.
- Introdução ao módulos dos Workflow
- Permissões em Workflows - Explicação
- Links em Processos / Workflows - para que servem?
- Notificação de Workflows - para que serve e como funciona?
- Comentários no Módulo de Workflows
- Como funcionam as ações linkadas?
- Como consultar o histórico/timeline de um workflow?
- Exportação de Lista de Workflows para Excel
- Como personalizar a visão/listagem de workflows?
Was this article helpful?
That’s Great!
Thank you for your feedback
Sorry! We couldn't be helpful
Thank you for your feedback
Feedback sent
We appreciate your effort and will try to fix the article