GDPR: É hoje, mas a maioria das empresas não está preparada

Entra hoje em vigor novo Regulamento Europeu Geral de Protecção de Dados – vulgo RGPD ou GDPR. Mas será que as empresas portuguesas se prepararam atempadamente?
Para tentar perceber qual o grau de cumprimento das organizações nacionais conversámos com João Oliveira, Principal Business Solutions Manager, na Data Management SAS Western Europe e especialista na matéria. As respostas são elucidativas…

Business Analytics Portugal: O GDPR entra, oficialmente, hoje em vigor. Qual o ponto de situação de Portugal? A maioria das empresas conseguirão cumprir a Lei?
João Oliveira: A situação em Portugal parece ser “esperar para ver”, as empresas maiores desenvolveram processos de auditoria e avaliação afim de identificar os gaps relativos à Lei (o RGPD é uma Lei Europeia) em especial em relação à parte legal e processual, estando a implementar os “mínimos” para satisfazer os requisitos. Penso que a maioria das empresas, e também as organizações governamentais, não conseguirá cumprir a Lei no que diz respeito ao satisfazer do exercício dos direitos dos indivíduos, em especial o direito de ser informado acerca de toda a informação pessoal detida, o direito a aceder a essa informação e à sua rectificação, o direito de limitar o uso dos seus dados pessoais em processamentos automáticos e de perfilagem, e, o direito ao esquecimento com eliminação dos dados pessoais… isto porque para além de ter como executar o exercício dos direitos dentro dos prazos estabelecidos pela Lei, têm de providenciar evidências de que tal foi efectivamente realizado.

BAP: Há algum sector que esteja num ponto de situação mais problemático? Porquê?
JO: Há, a meu ver, alguns sectores mais preparados para o RGPD, esses são os sectores mais regulados pois já estão de certa forma habituados a processos idênticos. No entanto, há algumas áreas particulares da Lei que fazem com que alguns procedimentos tenham de ser ou redesenhados ou criados.

Todos os outros sectores, mas em particular:

  • Retalho, pois recolhe imensos dados pessoais que utilizam para múltiplos fins incluindo vendê-los a outras empresas.
  • Hotelaria e Viagens, obtêm e detêm informação sensível que pode e tem sido alvo de ataques para roubo de identidade pessoal e bancária.
  • Call Centres, que ao serem processadores de dados de terceiros terão de se certificar que podem utilizar esses dados para o fim e contexto, assim deverão garantir que quem lhe forneceu os dados obteve o consentimento necessário para o âmbito do processamento. Mais, em caso de os indivíduos objectarem ao processamento, terão de ter capacidade de executar o exercício do direito.
  • Organizações governamentais, estas entidades são quem, porventura, mais dados pessoais detêm e quem mais os trocam/partilham. É certo que há excepções para entidades públicas como a Autoridade Tributária, as forças de segurança, a Justiça, perante as quais os cidadãos não podem exercer alguns dos direitos – por exemplo, o direito ai esquecimento e eliminação dos dados – no entanto há muitas outras que estão sujeitas às mesmas obrigações que as entidades privadas, por exemplo, a Educação que detém dados extremamente sensíveis – sociais / sociológicos, demográficos, económicos, … – de menores e do seu agregado.
  • Há também a situação dos fornecedores de cuidados de saúde e de meios de diagnóstico que partilham dados pessoais muito sensíveis e que por isso terão de garantir que os mesmo são apenas acedidos por quem deve, que não são partilhados sem que o cidadão tenha conhecimento com quem e porquê…

BAP: O que está a causar as dificuldades às empresas portuguesas?
JO: A causa para os problemas das empresas em relação ao RGPD, devem-se em grande medida à forma como os processos de negócio funcionam e são governados, à falta de uma efectiva governação de dados (quando existe), à proliferação de fontes e repositórios de dados que por isso ficam fora de controlo. Se as organizações não sabem que dados pessoais detêm, onde eles residem, quem lhes acede e porquê, com quem são partilhados e porquê, como esses dados pessoais são utilizados nos processos de negócio…, então não estão em posição/condições de cumprir com as obrigações do RGPD no que diz respeito ao exercício dos direitos dos cidadãos e ao reporte às autoridades – nacionais e Europeias.

BAP: Pela sua experiência internacional, as dificuldades sentidas pelas empresas portuguesas e respectivo ponto de situação está em linha com os outros países europeus?
JO: A realidade em Portugal não é muito diferente da dos outros países, no entanto vários outros países colocaram mais cedo a sua autoridade de protecção de dados a trabalhar no RGPD e a aconselhar as organizações, mesmo até a terem acções profilácticas de forma a sensibilizarem as organizações para o que entra hoje em força. É preciso lembrar que a Autoridade Europeia de Protecção de Dados tem poder de actuação em qualquer Estado Membro quando a do Estado Membro não actua ou por de recurso do(s) cidadão(s). É também importante referir que casos ocorridos em outros Estados Membros – por exemplo, data breaches – que tenham sido objecto de penalidades (que vão de 20 milhões a 4% do volume de negócios global, o que for maior), podem servir de exemplo para casos similares que ocorram noutro Estado Membro.

BAP: O GDPR é mais do que uma Regulamentação que acautela a protecção dos dados pessoais dos consumidores. Também afecta os funcionários das empresas. Estas estão preparadas para isso?
JO: Os funcionários, permanentes ou temporários, são também cidadãos que habitam/vivem em território Europeu, logo o RGPD aplica-se na totalidade. Penso que as empresas não deram ou estão a dar muita atenção a esse facto, ou seja, falta fazer muito em relação aos processos de recolha, tratamento, retenção, partilha dos dados pessoais, isto desde a recolha de CVs até a quando um funcionário deixa a empresa. Todos os direitos dos indivíduos que foram referidos, também se aplicam aos dados dos candidatos e funcionários.

BAP: Como relacionar o GDPR com o novo mundo dos dados?
JO: O RGPD traz na realidade muitas oportunidades nesta época de proliferação de dados. Quem conseguir implementar processos de negócio que garantam a segurança, privacidade e protecção dos dados pessoais, vai com certeza ganhar quota de mercado e manter clientes mais satisfeitos. A garantia dada será sempre escrutinada pelos cidadãos e pela concorrência. No mundo da Internet de Tudo em Tudo, a segurança da informação toma uma relevância ainda maior, mas a maior quota parte da responsabilidade está nas nossas mãos, está em nós os cidadãos que devemos ter consciência dos dados que providenciamos, a quem, quais e porquê … pensemos a quem confiariam a chave de casa ou os cartões de crédito/débito e os seus códigos… é a mesma coisa! Ah, e não esquecer nunca dos mecanismos que utilizamos para nos protegermos quando on-line…

João Oliveira
Principal Business Solutions Manager,
Data Management SAS Western Europe

Deixar uma resposta