Está preparado para as novas regras de proteção de dados?

 O Regulamento Geral da Proteção de Dados entra em vigor a 25 de maio e abrange todas as organizações. A três meses das novas regras, saiba o que tem de fazer para evitar as multas.
 Dados, Segurança

Novas regras para a proteção dos dados privados vão entrar em vigor a 25 de maio. Saiba o que tem de fazer.

Há um elefante na sala. E vamos ter de falar sobre ele. Chama-se Regulamento Geral de Proteção de Dados (RGPD) e, a partir de 25 de maio, poderá resultar em multas pesadas para as entidades que não cumpram a nova legislação: coimas até 20 milhões de euros ou 4% do volume de negócios anual da empresa. Mas este não é um artigo normal, nem uma tentativa de incutir medo.  Ao longo das próximas linhas, tentaremos desmistificar o que muda realmente, bem como dar algumas orientações sobre o que as organizações devem fazer nos meses que se seguem .

Hoje em dia, o que as organizações têm de fazer em matéria de dados é pedir um parecer à Comissão Nacional de Proteção de Dados (CNPD), que autoriza ou não a recolha, tratamento e armazenamento desses mesmos dados — e só em ocasiões específicas.  “As organizações pedem uma autorização e fazem pouco mais” , reconhece Cláudia Martins, advogada da Macedo Vitorino & Associados, especializada nesta matéria. “Mas vai deixar de ser assim.  O ónus vai passar para as organizações. Vamos passar a um modelo de autorregulação” , sublinha à Advocatus. Por outras palavras, cai sob as organizações a responsabilidade de interpretar e cumprir o novo regulamento. Mais: terão de conseguir provar que o cumprem, que estão em compliance. E que gerem a questão internamente, de forma contínua.

“Numa lógica de processo de negócio, as organizações não estavam preocupadas com isto e neste momento têm de se preocupar. Têm de nomear um individuo para tratar do assunto, ou um grupo de pessoas” , resume Daniel Reis, advogado da PLMJ. “O que quer dizer autorregulação? Quer dizer olhar aos tratamentos de dados. Compreender como é que a privacidade das pessoas é afetada”, acrescenta o entendido. Há ainda uma nova função “que não existia”. Essa função é a do Encarregado de Proteção de Dados, ou DPO, que algumas organizações vão ser obrigadas a nomear. Será o responsável máximo por garantir que a empresa cumpre o RGPD.

 

Como é a Preparação? Caso a caso…

Muitas organizações ainda não começaram a olhar para as novas regras, reconhecem os peritos na área. O problema não vem de neste momento. Em março de 2017, um estudo da KPMG dava alguns números: 65% das organizações inquiridas “consideram ter um grau de consciência médio ou alto sobre as obrigações e impacto do RGPD”, enquanto 85% “ainda não começaram a implementar medidas efetivas para garantir a conformidade”. À Advocatus, João Costa Quinta, advogado da DLA Piper ABBC, arrisca um número:  só um terço das organizações portuguesas estará “mais ou menos ciente” das inovações que aí vêm .

A boa notícia é que, a três meses da entrada em vigor do regulamento, ainda é possível alisar terreno para estar tudo pronto a 25 de maio.  Ao menos para a generalidade das companhias. A notícia menos boa é que não há uma solução do tipo pronto-a-vestir. “Não há um modelo one-fits-all”, reconhece Daniel Reis, da PLMJ. Por isso, deixa algumas questões a que as organizações devem responder para completar a primeira fase do processo de preparação: “Como estão organizadas? Onde é que estão os dados? Estão dentro da empresa? Estão num fornecedor? Estão na cloud? Onde estão os pontos de perigo? Há três processos de tratamento de dados, ou há 53? É fundamental olhar para dentro da organização para encontrar formas de começar a criar um sistema de compliance”, recomenda o advogado.

Por outras palavras,  o primeiro passo é fazer um diagnóstico. Saber que dados estão na posse da empresa, que podem ser tão diversos como os endereços de e-mail inscritos numa newsletter como os dados privados dos trabalhadores que a empresa transmite ao fisco e à Proteção Social  — mais os dados dos clientes, dos visitantes do website e por aí em diante. O que muda? Em suma, é preciso minimizar o perigo para o titular dos dados, que tem de dar autorização expressa para a organização os poder tratar e guardar. “As opções pré-preenchidas deixam de ser possíveis. Terá de ser a própria pessoa a preencher”, nota a advogada Cláudia Martins. O titular dos dados também tem de saber o fim que será dado a esses dados e a empresa só os poderá utilizar nesse sentido. Tem de ser tão fácil aceitar como revogar a permissão.

 

Como Cumprir o RGPD? Passo a passo…

1 – Diagnóstico

Ler o regulamento. Identificar os dados que existem na empresa e o tratamento que é criado. Que tipos de dados existem? Para que finalidade? E qual o prazo de conservação? Compreender quais os fluxos de dados existentes. Há fornecedores com acesso aos mesmos?

2 – Revisão

Rever se há consentimento dos titulares para utilização e tratamento dos dados que já existem. Verificar os documentos de consentimento. Rever políticas de privacidade e termos de utilização, assim como contratos com fornecedores e outras entidades subcontratantes. Dispor toda a documentação em cumprimento com o RGPD.

3 – DPO

Compreender se a empresa cumpre os requisitos para ter de nomear um Encarregado de Proteção de Dados (DPO). Nomear um DPO caso seja necessário e envolvê-lo no processo de preparação.

4 – Implementação

Identificar as medidas a adotar. Avaliar se é preciso substituir sistemas informáticos. Adquirir os sistemas necessários. Desenhar um plano de implementação. Executar as novas medidas e avaliar se tudo ficou em conformidade.

5 – Compliance

Formação aos empregados. Garantir a contínua conformidade com o RGPD. Business as usual a partir de 25 de maio.

As organizações não estavam preocupadas com isto e neste momento têm de se preocupar. Têm de nomear um individuo para tratar do assunto, ou um grupo de pessoas.

 

Vão haver custos? É preferível preparar-se…

Dos três técnicos qualificados com quem a Advocatus falou,  nenhum pôde avançar com um valor médio de investimento que a preparação para o regulamento poderá acarretar . Como não há uma solução para todos, os custos podem variar muito. Algumas organizações podem estar muito perto do total cumprimento, enquanto outras podem ter de atualizar toda a infraestrutura informática, ou repensar totalmente os processos de tratamento de dados privados. Porém, no caso das organizações mais longe do compliance, o investimento necessário será, naturalmente, superior. “Alguns milhares de euros vão ter de ser gastos pelas organizações. É difícil dar um número fixo”, admite o entendido João Costa Quinta. Mas lembra: “Todo o custo é pouco comparativamente com o quadro sancionatório.”

Resumindo, nos próximos três meses,  as organizações portuguesas vão ter ler o regulamento, efetuar um diagnóstico interno, encontrar medidas para tapar as lacunas, implementá-las na empresa e, por fim, criar um processo de gestão de dados contínuo , em concordância com o RGPD. Em todo este processo, os advogados garantem que podem ajudar, mas indicam que qualquer solução tem de abranger duas vertentes: a parte estratégia e a parte jurídica. Ambas terão de conviver e falar a mesma língua, o que poderá ser um desafio.

A Advocatus  sondou algumas organizações portuguesas  para compreender se já se debruçaram sobre este assunto. Gonçalo Rebelo de Almeida, administrador do grupo Vila Galé, mostra:  “Desde há um ano que temos vindo a preparar-nos para as alterações que a nova legislação implicará . Desde logo, foi criado um grupo de trabalho multidisciplinar com representação de departamentos como jurídico, informático, qualidade e proteção, marketing e outros, com o objetivo de adaptar a política de proteção de dados e de privacidade às exigências do novo regulamento.”

O grupo hoteleiro  já está mesmo a implementar medidas, como “reconfigurar os processos de negócio”, tais como os pedidos de reservas, “para diminuir o volume de dados solicitados aos clientes” . A empresa vai ainda encriptar alguns dados aos proteger, bem como reavaliar contratos com fornecedores que lidem com os dados dos clientes do grupo. Outras medidas abrangem o reforço dos “processos de recolha de consentimento junto dos clientes”, assim como a contratação dum DPO. “Acreditamos que a empresa estará devidamente preparada para cumprir a nova lei quando esta entrar em vigor”, conclui o gestor.

Miguel Sousa, diretor de Sistemas de Informação do Super Bock Group, indica que a empresa encara o RGPD “como  um enorme desafio mas, simultaneamente, uma grande possibilidade” . As medidas que estão a ser alinhavadas abrangem a “implementação dum conjunto de alterações ao nível dos processos de gestão de informação, de adoção e ajuste de múltiplas tecnologias relacionadas, com impactos em aspetos culturais da própria organização”, refere. Em consonância com o diretor, o RGPD encontra-se “no topo das prioridades” da “agenda tecnológica” do grupo cervejeiro, que reconhece que “os dados serão o combustível que irá alimentar a nova economia”.

 

Quais os Requisitos para nomear um DPO?

Em consonância com o RGPD, é obrigatória a figura do Encarregado de Proteção de Dados (DPO) nas seguintes organizações:

  1. Organizações que tratem dados sensíveis em grande escala como atividade principal.
  2. Organismos públicos, exceto tribunais no exercício da a a a sua função jurisdicional.
  3. Organizações que façam “controlo regular e sistemático” dos titulares dos dados.

Enquanto não houver uma primeira sanção pesada para uma organização, vamos cair aqui nalgum marasmo. Depois, voltará uma nova fúria de preocupação.

 

Quem vai fiscalizar?

Se as organizações vão ter de cumprir, quem vai fiscalizar?  Em teoria, será a CNPD. Mas ninguém parece saber ao certo, até porque há legislação própria que vai ser criada nos Estados-membros e que, em Portugal, ainda é desconhecida . “O Governo nomeou um grupo de trabalho que preparou um anteprojeto. O que me afirmaram é que já está na Presidência do Conselho de Ministros, mas não sei o que está lá. Alguma coisa vai sair daí”, aponta Daniel Reis. Dúvidas que também são reconhecidas por Cláudia Martins: “Ainda não sabemos muito bem se será a CNPD ou uma outra entidade que, entretanto, possa ser criada e que vá substituir ou complementar a CNPD. Ainda não há qualquer novidade em relação a este aspeto. E continuamos à espera.” João Costa Quinta reconhece as dúvidas, mas dá um passo em frente: “Se não for a CNPD, o que é que ficará cá a fazer?” Para o entendido, o que poderá acontecer é uma “reconfiguração” da comissão, ou a criação duma Autoridade Nacional de Proteção de Dados.

Há também dúvidas sobre o grau de preparação da própria CNPD no que toca ao novo regulamento. A Advocatus enviou um conjunto de questões à comissão. Mesmo após diversas insistências, a CNPD não deu qualquer tipo de resposta.  “Eu não acho que a própria CNPD vá estar preparada” a 25 de maio, reconhece Daniel Reis, notando que a entidade necessitará de meios para ser capaz de “fiscalizar o mercado todo” . Confrontada sobre um possível atraso da própria comissão, a advogada Cláudia Martins indica: “Acho que a própria CNPD foi colocada um bocadinho de parte nas inovações que podem ser trazidas.” Porquê? “Quando foi criado o grupo de trabalho que está a preparar a legislação, a CNPD não só não foi ouvida como não tem qualquer papel a esse nível. Na minha opinião, pode ser um erro.”Hoje em dia, a comissão conta com um espaço próprio no website dedicado ao RGPD e lançou, há algum tempo, um documento com dez medidas que resumem as novas regras.

Certo é que, no mercado, a “ideia geral” é a de que vai haver complacência nos primeiros tempos após a entrada em vigor. Uma ideia que os especialistas rejeitam. “Acho que não vai haver complacência. A autoridade de supervisão terá de se adaptar gradualmente. Mas não no sentido de fechar os olhos. Vai pesquisar saber se as organizações fizeram alguma coisa”, diz Cláudia Martins. João Costa Quinta vê a questão de outra forma: “Mais do que complacência, haverá ineficiência.” E alerta:  “Enquanto não houver uma primeira sanção pesada para uma organização, vamos cair aqui nalgum marasmo. Depois, voltará uma nova fúria de preocupação.”  Posto isto, mal por mal, o melhor é começar a preparar a a a a sua empresa para o novo regulamento.

Fonte: Eco.pt

António Almeida

António Almeida

Licenciado em engenharia Informático e Telecomunicações, mestre em Sistemas e Tecnologias de Informação e doutorando em Informática é um apaixonado por todo o tipo de tecnologia. Apostava na troca de informações e acaba de criar uma rede de informáticos especialistas interessados em tecnologia.

PRÓXIMOS ARTIGOS:

Inscreva-se e Receba Grátis:

  • Últimas Notícias sobre Tecnologia
  • Promoções de produtos e serviços
  • Ofertas e Sorteios de equipamentos
Avaliar Artigo:
[5 Estrelas]

DEIXAR COMENTÁRIO:

Leave a Comment

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

AVISO:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de carácter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.

Categorias:

PROBLEMAS INFORMÁTICOS?
Escolha aqui um serviço!

Este site utiliza cookies para melhorar a sua experiência. Ao continuar a navegar estará a aceitar a sua utilização. Pode consultar mais informação no Centro de Privacidade.