Opinião

Alerta e countdown para o GDPR

Elsa Veloso, fundadora e CEO da DPO Consulting
Link to Leaders

A dois meses da entrada em vigor da nova lei de proteção de dados, as empresas portuguesas estão preparadas para demonstrarem a sua responsabilidade?

Um estudo realizado pela IDC Portugal divulgado em janeiro deste ano, revelou que somente 2,5% dos decisores consideram que a sua empresa “está preparada para lidar” com o novo Regulamento Geral de Proteção de Dados, enquanto 43% a afirma que a empresa “não sabe especificar quando estará conforme com a nova diretiva europeia”.

Estes são números preocupantes dada a proximidade do dia 25 de maio de 2018, data a partir da qual a gravidade das multas em casos de falhas de segurança, e determinadas manifestações de falta de compliance legal e suas respetivas evidências, poderão atingir os 20 milhões de euros ou 4% do volume de negócios da faturação global da empresa relativa ao ano anterior.

O que muda com a nova legislação? O que precisa saber sobre o GDPR e tinha receio de perguntar.
As empresas são desafiadas a estarem bem informadas num mercado onde a informação sólida, neste tema, é um recurso escasso. Na realidade, existem poucas pessoas completamente habilitadas para aconselharem sobre o Regulamento.

A Proteção de Dados Pessoais, isto é, a proteção da informação relativa a uma pessoa singular identificada ou identificável (“titular dos dados”) entra em pleno vigor no dia 25 de maio. Quando confrontadas com a questão do seu nível de preparação para esta nova realidade, a reação inicial de muitas empresas é de afirmar que têm poucas ou nenhumas bases de dados pessoais. Esta reação resulta, na sua grande maioria, no desconhecimento da amplitude e abrangência do conceito.

As transformações exigidas pelo RGPD, bem como as novas obrigações e os correspondentes serviços, são extensas. Contudo, a solução passa pela execução de quatro etapas:

Etapa 1: qualificar os recursos humanos das empresas e prepará-los para a complexidade do RGPD;
Etapa 2: Reformular os procedimentos relativamente ao tratamento das informações pessoais e implementar os novos procedimentos, bem como as ferramentas necessárias para que as empresas implementem o RGPD;
Etapa 3 : Repensarem as tecnologias que utilizam de modo a corresponder aos exigentes critérios de segurança da informação;
Etapa 4: Identificação e nomeação de um DPO (Data Protection Officer / Encarregado de Proteção de Dados) nas empresas cuja obrigação existe ou é aconselhável.

Quais as obrigações que as empresas passam a ter ao nível do tratamento de dados?
As empresas, para além de procurarem profissionais qualificados, deverão ter em conta que o Programa de Conformidade para o cumprimento do RGPD pode ser realizado seguindo um processo essencial de quatro passos:

Primeiro passo: Elaboração de uma inventariação e mapeamento dos tratamentos de dados pessoais;
Segundo passo: Seguida de uma análise de conformidade e avaliação de segurança da informação;
Terceiro passo: criação de um plano atribuindo prioridades, com base nos riscos e nível de esforço para as organizações;

Após a conclusão deste plano e obtido o respetivo apoio organizacional, dá-se início ao Quarto passo: a implementação de todas as medidas de correção para a conformidade e implementação de um sistema de melhoria contínua.

A figura incontornável do DPO: a obrigatoriedade da sua adoção – quem está abrangido e qual a diferença entre DPO interno e externo.
O DPO – Data Protection Officer, ou Encarregado da Proteção de Dados, não é um requisito obrigatório para todas as organizações, pelo que é importante validar em cada caso se é necessário designar um encarregado da proteção de dados. Isto é, sempre que existam operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala, este é necessário. Em qualquer situação, é importante validar as condicionantes específicas caso a caso.

O DPO reportará diretamente à gestão de topo, permanecendo independente e protegido. As suas funções incluem o controlo da conformidade, o provimento de conselhos e orientações sobre questões de proteção de dados, incluindo, a repartição de responsabilidades, a sensibilização e formação das equipas, e auditorias correspondentes. Tem ainda responsabilidade pela cooperação com a autoridade de controlo e constitui o ponto de contacto primário com os titulares de dados. Controla a conformidade e fornece conselhos e orientações sobre questões de proteção de dados, incluindo, a repartição de responsabilidades, a sensibilização e formação do pessoal, e auditorias correspondentes.

No caso específico das PMEs, as vantagens da existência de um DPO externo, isto é, em regime de prestação de serviços, são claras: tem uma função independente e com conhecimento de diferentes sectores, o que lhe permite acesso as melhores práticas. Permite igualmente manter o seu estatuto de independência conseguindo um maior distanciamento, absolutamente necessário e um aconselhamento mais isento, para além de ser muito menos oneroso, fator cada vez mais determinante.

Comentários

Artigos Relacionados

António Lucena de Faria, fundador e presidente da Fábrica de Startups

Queremos mais um milhão de empreendedores?

António Lucena de Faria
Pedro Cilínio, diretor da DIN – Direção de Investimento para a Inovação e Competitividade Empresarial

10 formas de promover a colaboração para a inovação entre os colaboradores

Pedro Cilínio
Patrícia Jardim da Palma, coordenadora da Escola de Liderança e Inovação do ISCPS

A Universidade e o mindset empreendedor

Patrícia Jardim da Palma