GDPR: apenas 47% das empresas têm um plano estruturado

Faltam poucos meses para a entrada em vigor do novo Regulamento Europeu Geral de Protecção de Dados – vulgo GDPR, agendada para 25 de Maio do próximo ano. No entanto, e segundo o estudo “Working toward GDPR compliance” levado a cabo pelo SAS, a 340 executivos de diversas indústrias, apenas 56% das organizações estão a levar a cabo os devidos passos para o seu cumprimento – e apenas 45% têm um plano estruturado activo.

A explicação talvez resida no facto de a maioria das empresas não ter noção do impacto do GDPR no seu negócio – apenas 42% têm essa consciência, com a maior percentagem (56%) a pertencer aos sectores das telecomunicações, media e comunicação. Do lado contrário estão os serviços governamentais e de saúde – apenas com 26%.

Os dados recolhidos permitem perceber que existe uma discrepância entre a realidade das grandes organizações e a das pequenas empresas, uma vez que as segundas têm mais dificuldade não só a avaliar o impacto, mas também na forma de cumprir com o GDPR. O estudo também revelou que as empresas tendem a recorrer ao trabalho interno. Das 45% organizações que têm um processo estruturado activo apenas 24% recorreram a consultoria externa. Isto apesar de ser (quase) consensual – 71% – que o GDPR melhorará a governação de dados das organizações.

Outras vantagens consideradas, embora em menor grau, prendem-se com a melhoria das capacidades gerais de TI e da imagem da empresa. Por outro lado, convém não esquecer que o GDPR pode ser considerado como um catalisador para a digitalização, sendo benéfico tanto ao nível do Customer Intelligence como da gestão do risco (45% e 44% respectivamente). A estas razões juntam-se uma melhor detecção do risco. Ou seja, aufere vantagem competitiva face às organizações que não cumprem o GDPR e, simultaneamente, aumenta o nível de satisfação (e lealdade) dos clientes.

Já em relação aos desafios, 59% não está muito confiante de que as acções levadas a cabo levarão a empresa a cumprir com o Regulamento. Essa é, aliás, a grande dúvida demonstrada pelos dados recolhidos. A isto soma-se a dúvida sobre como encontrar os dados pessoais armazenados e sobre como gerir a portabilidade dos dados e o direito ao esquecimento (58%). O desafio menos preocupante (talvez porque depende por um lado da dimensão da organização e do devido tratamento de todas as outras questões) prende-se com a atribuição (ou não) da função de DPO.

Independentemente disto, o certo é que as empresas terão de cumprir o regulamento. E para o conseguir o estudo aconselha uma abordagem a 5 fases: acesso, identificação (das categorias críticas dos dados), governação, protecção, e auditoria dos dados.

Para mais informação sugerimos a leitura do estudo.

 

Deixar uma resposta