Entrevista/ “Enquanto Europa, estamos a dizer aos outros continentes para obedecerem às nossas regras”

A sua empresa já está em conformidade com o Regulamento Geral de Proteção de Dados (RGPD) que vai entrar em vigor em maio de 2018? O Link to Leaders falou com Gonca Dhont, especialista na área e CEO da DPO Network Europe sobre o assunto.
Gonca Dhont foi a principal oradora da conferência “The Market for Data Protection Officers in Europe”, que teve lugar ontem na Católica Lisbon School of Business and Economics e que foi realizada por ocasião do lançamento do Programa sobre o Regulamento Geral de Proteção de Dados daquela instituição de ensino e da Escola de Lisboa da Faculdade de Direito da UCP.
Recorde-se que a Comissão Europeia criou um Regulamento Geral de Proteção de Dados, uma nova lei que afeta as empresas que têm acesso aos dados pessoais dos seus clientes pertencentes à União Europeia e que vai entrar em vigor em maio de 2018.
Com este regulamento, a UE quer atualizar a legislação que foi posta em prática há 22 anos, em 1995. Esta legislação foi aprovada numa altura anterior à generalização da internet. As novas regras surgem agora para colmatar o que as antigas normativas não foram capaz de acompanhar: a evolução tecnológica dos últimos anos.
Leia a entrevista à CEO da DPO Network Europe, empresa especializada no recrutamento de profissionais para a função de DPO – Data Protection Officer e para departamentos de proteção de dados.
Um relatório da KPMG, de março deste ano, refere que 85% das empresas portuguesas ainda não está em conformidade com o novo regulamento. Isto acontece só em Portugal ou é transversal em toda a Europa?
Não é só em Portugal. Isto é um projeto muito grande e é uma das maiores mudanças na área de compliance [conjunto de disciplinas para fazer cumprir as normas legais e regulamentares]. Algumas empresas já começaram a trabalhar, mas as que já começaram a olhar para o RGPD e que já viram o que têm de fazer acerca do assunto já tinham tudo programado. Portanto, estas empresas já começaram a analisar as falhas e a tomar medidas, mas isto são grandes empresas e são apenas a ponta do iceberg, o que significa que o que é dito sobre Portugal é também válido para os outros países.
Há muitos negócios, tanto grandes como pequenos, que ainda não fizeram nada sobre o assunto, que ainda estão ocupados a analisar, mas que estão ocupados a fazê-lo desde que o RGPD foi anunciado. Ainda estão a fazer as análises legais e ainda não começaram algumas ações importantes. O RGPD vai entrar em vigor em maio de 2018, está “aí à porta”, e não há assim tanto tempo. Por isso, se faz parte de uma grande empresa e ainda não fez nada acerca disso até agora está atrasado. Isto é para as grandes empresas. Mas também há as pequenas e médias empresas que não estão imunes de entrar em conformidade com o regulamento, são também alvo dele.
Há muitos requerimentos e [estas empresas] não têm recursos suficientes para tratar do trabalho todo, mas independentemente disso, têm de começar por algum lado. Por isso, aquilo que disse é correto, mas resta muito pouco tempo o que significa, penso eu, que quando o RGPD entrar em vigor vamos ter muitas empresas que não estão em conformidade, mas a questão é: o que é que os reguladores e as autoridades europeias vão fazer?, será que vão começar a multar e a sancionar ou vai haver algum tempo de graça? Não quero dizer que vão admitir práticas ilegais, mas não vão começar a “chover sanções” imediatamente. Eles vão, provavelmente, começar a enviar avisos ou vão-se sentar com a empresas para perceber o que se passa. Este regulamento é tão grande e há tantas coisas novas que até as grandes empresas estão a ter dificuldades em implementá-lo.
Quão difícil diria que é para as empresas adotarem este novo regulamento?
É difícil. A ideia do RGPD foi trazer uma única lei para um continente porque atualmente ainda temos a diretiva de 1995 e temos alguns estados membros que estão a comandar a proteção de dados, mas há falta de harmonia e as empresas não sabem, especialmente se forem multinacionais. Se tiverem uma entidade belga, outra alemã e outra portuguesa, os reguladores estão provavelmente a dizer coisas diferentes sobre o mesmo tópico e, enquanto multinacional, não sabe que práticas é que estão em conformidade com o regulamento. Uma das ideias do RGPD é simplificar as conformidades entre os estados membros.
Outra coisa boa do RDPG é retirar alguns dos encargos administrativos das empresas, como as notificações, as permissões de transferências, mas por outro lado, está também a trazer novos requisitos, como, por exemplo, o facto das empresas terem de montar alguns mecanismos para permitem que os seus clientes exerçam melhor os seus direitos. Mas, como já disse, se o seu negócio ainda não fez nada acerca do assunto vai ser muito difícil de chegar a tempo [de conseguir entrar em conformidade com o regulamento]. Ninguém espera que haja 100% de compliance, as entidades reguladoras sabem disso, toda a gente sabe disso. O que eles querem é ver algum esforço, as boas intenções por parte das empresas. Por isso é complicado, especialmente para as pequenas empresas, que vão ter dificuldades.
O mesmo relatório anuncia que 43% das empresas contrataram um Data Protection Officer (DPO). O que pensa sobre este tipo de contratação? (Nota: há várias empresas que são obrigadas a contratar este tipo de profissionais como: autoridades públicas, organizações que tenham sistemas de monitorização em grande escala e organizações que processem dados pessoais sensíveis em grande escala).
É recomendado pela simples razão que é preciso ter uma abordagem holística. Para estar em conformidade, é preciso lidar com a segurança da informação, com os direitos individuais, transferências de informação, há muitos modelos e componentes… E se isto não for estruturado da maneira certa as pessoas vão-se perder. Até podem incumbir este cargo a alguém da empresa, mas essa pessoa não tem a visão estruturada, o que pode trazer problemas. Mesmo que não sejam obrigados a ter um DPO deviam estar interessados em ter um. Não precisa de ser uma pessoa a trabalhar a tempo inteiro, até pode ser alguém em part-time.
Consideraria tratar destes assuntos via outsourcing?
Pode ser feito, mas esta tarefa pode também ser dada a um membro da equipa. A questão é que se não forem obrigados pelo RDPG a ter um DPO podem, de qualquer maneira, dizer: “somos muito sérios em relação a este assunto e vamos contratar uma pessoa ou vamos encarregar o nosso diretor de IT do assunto”. Mas há um conflito de interesses na questão do DPO: se forem oficialmente obrigados a ter um profissional destes, não podem dar este encargo a um funcionário já existente. Mas, voltando à questão, se não forem obrigados a ter um, é uma boa prática e benéfico para a empresa.
Visto que grande parte das start-ups portuguesas de tecnologia trabalham com orçamentos bastante curtos e que, também elas, precisam de estar em conformidade com o novo regulamento, que conselhos lhes daria?
Isso é uma questão complicada porque eu sei que elas trabalham com muito poucas pessoas e que os orçamentos são muito apertados, mas mesmo assim têm de obedecer ao RDPG. Aqui não há intermédios ou está em conformidade ou não. Não é preciso contratar alguém, mas podem usar os serviços de empresas de consultoria, empresas de advogados ou empresas de serviços de DPO para terem alguém a ajudá-los. Precisam de alguém que se sente com eles para analisar as práticas de como são tratados os dados pessoais.
Precisam de ajuda porque as start-ups não têm de ter este know-how. Elas são muito boas a trabalhar dados, a quem trazer valor e em comercializar soluções inovadoras. Mas quando se pergunta a uma start-up da área de tech “o que são dados pessoais?”, elas nem sequer têm a certeza da definição de dados pessoais. E devem pensar nos números das contas bancárias, no tipo de sangue e até o nome próprio, e o de família são dados pessoais. Por isso, têm quase sempre dados pessoais.
O RDPG não afeta apenas empresas que trabalham dentro da União Europeia, também afeta empresas que vendem bens ou serviços a cidadãos europeus. Vê este regulamento como um modelo a ser adotado em outras partes do mundo?
Enquanto Europa, estamos a dizer aos outros continentes para obedecerem às nossas regras. Não sou especialista legal, mas há certos regulamentos na Ásia ou nos EUA que também temos de obedecer. No campo de proteção de dados, a Europa é líder porque tem os regulamentos mais rigorosos. Nos Estados Unidos o conceito é completamente diferente. A definição de dados pessoais, do que as empresas podem fazer com eles, que direitos as pessoas têm enquanto consumidores e cidadãs…são bastante diferentes e os Estados Unidos não estão nada contentes [com a entrada do RDPG]. Especialmente quando não têm presença física aqui, como, por exemplo, as empresas de Silicon Valley. Estas empresas têm negócios online e recolhem muita informação pessoal da Europa, vendem bens online, mas não têm escritórios nem nada que se pareça cá [na Europa], mas mesmo assim têm de obedecer ao RDPG porque estão a vender bens e serviços e, em contrapartida, estão a recolher dados, por isso é que não estão nada contentes com esta medida.
Quando entrar em vigor, os reguladores serão tão exigentes com as empresas fora da EU como com as pertencentes aos estados membros?
As regras aplicadas são as mesmas. Tudo depende dos recursos e das intenções dos reguladores europeus. Há muita coisa a acontecer na Europa, muitas empresas para serem seguidas e não sei se vão fazer isso, mas a ideia é que as regras vão ser aplicadas a todas as empresas que se insiram no RDPG.
Qual é a mensagem principal que traz à audiência portuguesa?
O que eu quero trazer é que é preciso ter uma abordagem estruturada na proteção da privacidade, caso contrário vão perder-se pelo caminho. Se querem fazer isto de forma eficaz, se quiserem estar em conformidade, recomendo que contratarem um DPO. Por isso, a minha mensagem é: se quiserem gerir isto devidamente, têm de ter uma abordagem holística. Isto não é um trabalho do DPO apenas, isto é um trabalho de toda a empresa. No final de contas todos são responsáveis por isto. O DPO, diria, que é como um pastor ou um guia: vai guiar a empresa, referir onde há as falhas, onde há riscos, mas não pode trabalhar sozinho.