As start-ups têm maior facilidade em responder aos requisitos do regulamento

Com a entrada em vigor do Regulamento Geral de Proteção de Dados a aproximar-se, o Services Development Director da Rumos relembra alguns aspetos que as empresas não podem descurar  na sua relação com com os clientes.

Que implicações práticas é que podemos ver nas empresas com este novo RGPD?
O Regulamento Geral de Proteção de Dados tem implicação direta na forma como as organizações tratam os dados pessoais. É um conjunto de princípios, direitos e obrigações que estabelecem as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento e à livre circulação de dados pessoais. A aplicação de conformidade com o regulamento tem implicação direta na necessária sensibilização dos colaboradores para o tema, na adequação dos processos de negócio para incorporarem as regras que respondem aos direitos dos titulares e na adaptação dos sistemas de informação para que possam automatizar as alterações dos processos e até auxiliar os colaboradores a seguirem com facilidade práticas operacionais que garantam um tratamento de dados pessoais em conformidade com o regulamento, a par com medidas de segurança de informação e de mitigação de risco. Trata-se de um sistema de autorregulação. São as empresas que têm de pôr em prática o regulamento, garantindo a proteção dos dados pessoais no respeito pelos titulares dos dados e passam a assumir a responsabilização, documentação e evidência dos processos de tratamento de dados, sendo que as notificações e as autorizações por parte do regulador desaparecem.

O que aconselha a uma start-up com poucos recursos financeiros que ainda não entrou em conformidade com o RGPD?
As start-ups são tipicamente as empresas que têm maior facilidade em responder aos requisitos de conformidade com o novo regulamento. Desde logo porque têm processos de negócio simples e otimizados para responder às operações do negócio. Depois porque estão fortemente digitalizadas e assentes em sistemas de informação de matriz simplificada. Por outro lado, porque têm geralmente gestores jovens para quem estas questões da privacidade dos dados pessoais não são estranhas. Assim, para uma start-up é relativamente simples encontrar quem rapidamente possa perceber o negócio e os processos que o operacionalizam, mapear quais os que tratam dados pessoais e propor ajustes para que, de uma forma ágil, os processos e os sistemas de informação passem a poder responder às exigências que o regulamento agora vem impor.

Que mudanças estruturais vai implicar nas empresas?
Convém desmistificarmos quais são as obrigações impostas, que, de um modo geral, são obrigações que cada um de nós enquanto cidadãos com identificação digital crescente gostamos de ter acesso em relação à proteção, ao tratamento e à livre circulação dos nossos dados pessoais. É por isso crítico que cada empresa perceba qual o seu perfil de risco e que tome decisões que mitiguem o risco, optando por um elevado padrão de conformidade com o regulamento, sendo que o perfil de risco da empresa não depende especificamente da sua dimensão.

Empresas com comportamento de maior agressividade face aos dados dos consumidores finais estão mais expostas ao risco do que empresas que trabalham na cadeia de valor entre empresas. A dimensão das mudanças estruturais terá a ver com a dimensão das mudanças a operar. É por isso que a aplicação do novo regulamento deve ser encarada como uma oportunidade para rever os processos de negócio e analisar onde podem ser melhorados, não só passando a responder às novas exigências ao nível do tratamento de dados pessoais reduzindo ao máximo o impacto no negócio da empresa, como aproveitando para otimizar os próprios processos de negócio, a transformação para o digital dos processos e a adequação dos sistemas de informação e o aperfeiçoamento dos sistemas de segurança de informação da organização.

Diria que é melhor fazer este tipo de tarefas em outsourcing ou delegar este trabalho a alguém da empresa?
Há dois tipos de ações que resultam da aplicação do regulamento. A primeira refere-se ao trabalho de interpretação do regulamento propriamente dito, das eventuais legislações próprias ao setor de atividade a que a empresa se dedica com a validação dos pontos em que regulamento e legislação própria se possam sobrepor ou conflituar. Nesta fase é ainda necessário identificar quais os processos de trabalho da empresa que tratam dados pessoais e verificar se estes respondem já às exigências do regulamento e, caso contrário, alterar para que passem a responder. É também nesta fase que é necessário mapear os sistemas de informação da empresa com as alterações que foram definidas para os processos. Este é um trabalho que seguramente deve ser externalizado. A empresa deverá focar-se no que sabe fazer, no que é o seu negócio, e entregar a quem se especializou nesta área o seu processo de conformidade.

Depois há um outro trabalho muito importante que é a manutenção da conformidade ao longo do tempo. É que a aplicação do novo regulamento de proteção de dados tem data de entrada em vigor mas não tem data de fim, porque institui um novo paradigma para a privacidade que passa a ser o novo referencial. E este trabalho, podendo ser também externalizado, pode também ser delegado internamente.

Trabalhando diretamente com empresas, que grau de preocupação existe em relação a este tema dentro das organizações?
Nesta fase, em que a comunicação social e as consultoras tecnológicas e de processos estão a fazer um enorme esforço de comunicação, a maioria dos gestores já está a par do tema. Muitos já participaram em ações de sensibilização ou mesmo em ações de formação de base e já têm noção da necessidade urgente de tratar o tema internamente. A maioria das empresas de grande dimensão, que são poucas no tecido empresarial nacional, já têm este processo a decorrer. Mas há uma quantidade enorme de empresas de média dimensão que ainda não iniciaram, nem sabem como iniciar, um processo de conformidade. O que é muito preocupante, dado que este processo exige uma transformação que requer algum trabalho e tempo de implementação.

Enquanto consumidor, que aspetos é que devo ter em consideração para ter a certeza que uma empresa que me presta serviços está a cumprir com o RGPD?
Não precisa de ser consumidor. Grande parte dos nossos dados pessoais circulam por empresas das quais nem tão pouco somos clientes. E circulam dentro do espaço económico europeu, mas também para países terceiros. Nos casos em que, sem ter um contrato de serviços, uma empresa entrar em contacto consigo informe a empresa, no decorrer do contacto, que, ao abrigo do regulamento geral de proteção de dados pretende que a empresa lhe dê acesso aos seus dados, à finalidade para que os obteve, qual o prazo de conservação, qual a origem dos dados, já que não foram recolhidos diretamente, e peça-lhe igualmente que lhe enviem o seu consentimento. Responder com agilidade a esta questão vai ser uma grande complicação para a maior parte das organizações que tratam dados pessoais massivamente. No caso de a empresa ser sua fornecedora de serviços, esta terá um contrato consigo. Neste caso, verifique qual a política de privacidade de dados que a empresa disponibiliza para com os seus clientes onde deverá constar para que fins e como a empresa trata os seus dados.

De acordo com este novo regulamento, na eventualidade da empresa não respeitar a informação que lhe disponibilizei o que posso fazer?
Como titular dos seus dados pessoais, tem um conjunto de direitos que pode exercer junto dessa empresa. Desde logo o direito de acesso aos seus dados pessoais e à retificação. Mas tem também direito ao apagamento, sempre que verifique que os seus dados pessoais deixaram de ser necessários para a finalidade da recolha e que a empresa os mantém, ou por ilicitude da recolha, ou por ilicitude do tratamento, ou por se opor ao tratamento e não haver interesses legítimos prevalecentes do tratamento que a empresa possa alegar. Há outros direitos dos titulares mas para o efeito que sugeriu estes serão os mais relevantes. A empresa tem a obrigação de o notificar quando concluir a operação de retificação ou de apagamento. No caso de tal não acontecer, pode sempre recorrer à autoridade de controlo que em Portugal é a CNPD, Comissão Nacional de Proteção de Dados.

O RGPD não afeta apenas empresas que trabalham dentro da União Europeia, também afeta empresas que vendem bens ou serviços a cidadãos europeus. Antevê uma guerra dos tribunais europeus com empresas estrangeiras?
Não creio. Convém percebermos que a questão da privacidade de dados pessoais não é uma novidade, nem tão pouco algo que seja exclusivo da União Europeia. A questão da conformidade para com o regulamento geral de proteção de dados está a ser seguido, de uma forma geral, por todos os países que têm expressão nas suas relações comerciais com a Europa e há um conjunto de países com decisão de adequação de conformidade, por parte da União Europeia, que são países que têm dispositivos legais em vigor considerados adequados pela Comissão Europeia, como boas práticas de proteção de dados pessoais para os quais, e apesar de serem países terceiros, não há limitação ao fluxo de dados pessoais. Mas para além disso, há todo um movimento global no sentido da privacidade e da proteção de dados pessoais. Há regulamentação sobre este tema nos mais diversos países e por todo o mundo, em alguns casos até mais exigente que o próprio regulamento geral de proteção de dados, e há uma preocupação crescente dos países terceiros para com os cidadãos abrangidos pelo regulamento, bem como pelas empresas que, sendo europeias, necessitam de transferir dados pessoais para fora do espaço económico europeu. Exceções haverá sempre, mas estou convencido que serão exceções.