A temática do Regulamento Geral de Proteção de Dados (RGPD) paira no ar há algum tempo, sendo neste momento um assunto que assusta qualquer organização, pelo ruído causado pelo anúncio de multas pesadas para os organismos que não o cumpram.

O Regulamento Geral de Proteção de Dados, vulgo RGPD, é o Regulamento (EU) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, publicado a 4 de maio de 2016.

Os “10 pontos a reter no primeiro contacto com o RGPD” é um artigo factual das conclusões vividas na primeira pessoa após um primeiro contacto com a temática por via da participação num Seminário, pelo que são pessoais e subjetivas.

1. Vai chegar com toda a certeza e tem data marcada!

Será aplicado já a partir de 25 de maio de 2018! (o “já” é uma ironia, porque tal como referiu um dos oradores do Seminário, foi publicado 2 anos antes da sua entrada em vigor, precisamente porque a mudança e o seu impacto para as organizações é grande, e o legislador quis dar 2 anos para as mesmas se preparem).

É um Regulamento em vez de uma Directiva (caso da anterior: Directiva 95/46/EC), o qual vem reforçar os direitos dos cidadãos, permitir aplicar regras semelhantes entre os diferentes Estados-Membros da União Europeia e atualizar a legislação aplicável à proteção de dados pessoais que foi aprovada há mais de 20 anos (ou seja, antes da utilização generalizada da Internet, dos Emails, das Redes Sociais, da digitalização dos negócios e das relações).

2. Tem uma abrangência global!

Vai ser aplicado a qualquer tipo de organização que lida (recolhe, gere, analisa, processa, distribui, divulga, guarda, etc.) com dados pessoais (em sentido lato) sensíveis ou confidenciais.

Por isso mesmo, na Sociedade da Informação e do Conhecimento que hoje domina – em que há partilha de dados entre empresas B2B (Business-to-Business), entre empresas e consumidores B2C (Business-to-Consumer) e entre a Administração Pública e as Empresas e Cidadãos, – nenhuma organização está imune.

Quem hoje, nas relações pessoais, profissionais ou institucionais, não envia emails com anexos de ficheiros de documentos, bases de dados/contactos, fotografias, entre outra tipologia de dados pessoas ou sensíveis? E quem não possui no Outlook do Microsoft Office guardados os dados dos seus contactos, pessoais e profissionais?

Assim, todas as organizações estarão abrangidas pelo RGPD, sejam empresas, organismos públicos, com natureza de fins lucrativos ou não.

3. O risco do “não cumprimento” mudou!

O não cumprimento do RGPD pode originar coimas verdadeiramente proibitivas, podendo chegar a um valor máximo de 20 Milhões de euros (sim leu bem…) ou se for superior, a 4% do Volume de Negócios mundial (por exemplo no caso de grupos empresariais ou multinacionais).

Que mais não seja, pelo risco de tão elevadas multas, tenho a certeza que o restante artigo vai ser lido com redobrada atenção!

4. Mudança de Paradigma, mudança do Ónus da Prova!

O “Princípio da Responsabilidade” (Accountability) presente e bem vincado no RGPD, implica que as organizações tenham de fazer prova de que possuem capacidade para cumprir o regulamento.

Ou seja, todos têm de implementar procedimentos e tecnologia que provem a qualquer momento e a qualquer entidade (a futura entidade fiscalizadora, empresa ou consumidor) que cumprem o RGPD – demonstração do cumprimento – através de evidências.

Traduzido em linguagem corrente: vai dar trabalho e custar dinheiro.

5. Alterações relevantes do RGPD?

Segundo os especialistas, as alterações mais relevantes introduzidas pelo RGPD são:

→  Âmbito territorial;

→ Consentimento: regras mais restritivas ao consentimento, aconselhando-se clara atenção à linguagem jurídica a utilizar;

→ Reforço dos direitos existentes dos titulares dos dados: uma das alterações tem a ver com a necessidade da definição de um prazo para a utilização dos dados pessoais;

→ Novos direitos dos titulares dos dados: o direito ao esquecimento, à portabilidade dos dados, entre vários outros;

→ Encarregado da proteção de dados: uma figura nova e importante à luz do RGPD;

→ Avaliações de impacto sobre a proteção de dados;

→ Notificações de violações de dados pessoais: por exemplo em caso de ataques informáticos por hackers, em caso de perda ou roubo de um computador portátil ou outros desastres que podem violar a proteção dos dados, que procedimentos estão previstos? Além claro, da obrigatoriedade da comunicação máxima em 72 horas à entidade nacional fiscalizadora do RGPD e aos visados;

→ Subcontratação: para entidades que possuem nas suas lógicas de negócio com base em subcontratantes, como garantir que estes cumprem o RGPD? É que a segurança e confidencialidade dos dados extende-se no trabalho em rede, em cooperação, sendo ambas as entidades (subcontratante e subcontratado) responsabilizadas;

→ One-stop-shop;

→ Sanções: coimas muito elevadas.

Note-se que existe um Grupo de Trabalho nomeado pelo Governo português que está a preparar legislação específica, que vai complementar (e esperamos nós, esclarecer, clarificar) o RGPD em breve.

6. Não há abordagens únicas à implementação do RGPD.

São os especialistas que o dizem. A abordagem deve ser casuística, ie, função de um primeiro diagnóstico acerca da utilização de dados pessoais ou sensíveis em cada caso.

Na prática significa dar os seguintes passos metodológicos:

I) Identificação dos dados, seu manuseamento, suportes de gravação e durante quanto tempo:

– Identificar todos os Dados Pessoais sensíveis ou confidenciais que existem na Organização: de colaboradores, clientes, fornecedores, subcontratados, parceiros, subscritores da newsletter, …;

– Rastrear onde estão esses dados: que servidores, portáteis, computadores desktops, tablets, smartphones, cloud, emails, papel (sim o papel, visto que também é um suporte físico de dados, todas as organizações ainda o têm, nem que seja no “arquivo morto”!);

– Identificar que tratamentos são feitos aos vários dados;

– Mas também quem os trata;

– E quanto tempo são retidos;

II) Analisar o nível de exposição ao risco, na lógica do RPGD: risco para o titular dos dados;

III) Definir um Plano de Ação que permita mitigar as ameaças e cumprir o RGPD. Soluções de Tecnologias de Informação e Comunicações (TIC) precisam-se! Mas também colocar em marcha formas de obtenção de consentimento de utilização dos dados junto dos titulares dos dados. Procedimentos precisam-se também! (a tecnologia por si só não resolve o cumprimento do RGPD);

IV) Continuidade: avaliar o sistema implementado, analisar resultados e implementar melhorias. É um sistema vivo e que necessita de atenção permanente.

7. Até onde vai / pode ir a implementação do RGPD?

A tudo o que tenha a ver com dados pessoais, sensíveis ou confidenciais tratados pelas organizações. Dados manuseados e conservados (sim, basta tê-los para estar abrangido).

Note-se que do RGPD conclui-se que:

– A privacidade é um direito fundamental;

– Os dados pessoais devem ser colectados para fins específicos, explicitos e legais;

– Impera a legalidade, a equidade e a transparência;

– O titular dos dados tem direito a aceder aos dados, entre vários outros direitos definidos no RGPD.

Para as empresas significa que, entre outras:

→ Têm de implementar medidas de segurança da informação: desde registar os pedidos de recolha de dados, informando os seus titulares do que com eles se vai fazer, onde são guardados e por quanto tempo; mas também a quem se dá acesso aos dados; e nalguns casos que mecanismos seguros de transmissão de dados (encriptação de dados);

→ Têm obrigação de integrarem a privacidade em todos os seus produtos e processos (por exemplo nos dados dos seus colaboradores, na mudança de instalações, na contratação de fornecedores, na subcontratação de terceiros, etc.).

O trabalho que vai dar dependerá do perfil de risco de cada organização e do tratamento de dados de proteção que vai ser dado.

8. Quem vai ser a entidade fiscalizadora do RGPD?

Ainda não se sabe, pois ainda não foi definida.

Contudo, os especialistas estão em crer que permanecerá na atual Comissão Nacional de Proteção de Dados (CNPD), até porque terminarão os atuais processos de notificação e autorização pela CNPD. Mas com poderes reforçados e uma equipa muito maior.

9. Quais serão os primeiros organismos alvos de fiscalização?

Sendo consultor na área da gestão empresarial (negócios, projetos de investimento) e depois de analisada a informação transmitida no Seminário, concluo que devido ao objetivo inequívoco de reforçar os direitos dos cidadãos, em que estes passam a dispor de mecanismos para controlar a sua própria informação e também a de denunciar abusos, as empresas de marketing que lidam com dados dos consumidores para ações comerciais, as mais intrusivas, serão o primeiro alvo. As empresas que utilizam a georeferenciação para efeitos de marketing, também estarão na linha da frente.

Mas que ninguém se deixe enganar, mais tarde ou mais cedo, chegará a todas as organizações, independentemente da sua dimensão, atividade, objeto social ou área de negócio. Pelo que segundo a regra da prudência, deve-se preparar a tempo.

10. Conselhos práticos.

Neste momento os melhores conselhos que me apraz dar são:

I) Coloque o assunto na “agenda do dia”, ie, preocupação e atenção nas próximas semanas e meses.

II) Frequente Seminários e Ações de Formação específicas para ficar a saber mais sobre a temática, obrigações, deveres e direitos, sanções, formas de abordar o seu caso.

III) Ainda não sabemos tudo. Mesmo em termos de legislação, o tal Grupo de Trabalho nomeado pelo Governo nacional emanará legislação nacional.

IV) Constitua um grupo de trabalho na sua empresa, que depois de informado e formado, deve definir um plano de ação adequado: lógica do risco, lógica do bom senso = Gestão do Risco, adaptada.

V) Oiça potenciais fornecedores de soluções. Elas já existem, mas é preciso cautela e bom senso.

Posto isto, 25 de maio de 2018 está já ai (faltam menos de 6 meses).

As PME podem e devem aproveitar a medida do Programa “Qualificação PME” para incluirem estes investimentos numa candidatura ao Portugal 2020 (40% de apoio a fundo perdido para as empresas da Região de Lisboa e 45% para as das restantes Regiões). Um novo Aviso de Abertura de Concurso está para muito breve.

Rui Fradinho
(Responsável pelo Dept. Gestão Empresarial da Multisector)