Empresas, JE Especiais, Tecnologia

Proteção de dados: saiba tudo o que muda com a nova lei a partir de maio

O Regulamento Geral sobre a Proteção de Dados permite o livre fluxo de dados em todo o Mercado Único Digital. A cada país cabe ultrapassar os seus entraves e chegar a 25 de maio a uma só voz europeia.

4 Fevereiro 2018, 16h05

O Regulamento Geral sobre a Proteção de Dados (RGPD), com entrada em vigor agendada para 25 de maio deste ano, permite o livre fluxo de dados em todo o Mercado Único Digital.

Tendo como principal meta uma maior proteção da privacidade dos cidadãos europeus, pretende reforçar a confiança e a segurança dos consumidores, e abrir oportunidades para as empresas, sobretudo as de menor dimensão.

Este regulamento traduz-se num conjunto único de regras para todo o continente que garanta segurança jurídica às empresas e o mesmo nível de proteção dos dados dos cidadãos em toda a UE. Por outro lado, aplica as mesmas regras a todas as empresas que prestam serviços na UE, mesmo que tenham sede em países terceiros.

Para o consumidor, as grandes alterações passam pelo reforço do direito à informação, de acesso e “direito a ser esquecido”. Também um novo direito à portabilidade permitirá transferir os seus dados de uma empresa para outra.

Contudo, proceder a todas alterações, a um só ritmo entre os 28 Estados-membros não foi possível. Já no início deste ano, a Comissão Europeia confirmou que os preparativos estão a avançar a ritmos diferentes e, nesta fase, apenas dois já adotaram legislação nacional relevante. Se por um lado a Comissão vem sublinhar que os Estados-membros devem acelerar a adoção de legislação nacional e garantir que as novas medidas estão em conformidade com o regulamento, por outro, reafirma que devem assegurar que as respetivas autoridades nacionais sejam dotadas dos recursos financeiros e humanos necessários para garantir a sua independência e eficiência.

Neste capítulo, a Comissão consagra 1,7 milhões de euros para financiar as autoridades de proteção de dados, mas também para garantir a formação de profissionais na área. Estão disponíveis 2 milhões de euros adicionais para apoiar as autoridades nacionais em campanhas de sensibilização junto das empresas, em especial das PME.

É agora ou… agora. E há entraves por ultrapassar

Os desafios que se colocam a todos os Estados-membros podem agigantar-se em Portugal e para Carlos Basto, partner da EY, a principal explicação para esta situação prende-se com a maturidade do nosso tecido empresarial que “nunca se preparou verdadeiramente”. Hoje, defende, “o nível de maturidade das nossas organizações seja extremamente baixo comparado com outros países da CE, tais como Alemanha ou Espanha, onde estes temas tiveram já a devida atenção”. Em seu entender, este ‘gap’ faz com que o nível de transformação necessário para adequar as organizações ao RGPD implique “um forte investimento da organização”, quer nos processos de negócio e nas tecnologias de informação, quer “no mais difícil, ou seja, a mudança de cultura que é preciso incutir nas pessoas relativamente à forma como tratam este tipo de informação”, sublinha ainda Carlos Basto.

Outro dos fatores de peso nesta equação, é o preço. Ou seja, para o gestor, constitui igual entrave ter de decidir entre propostas díspares na abordagem de implementação e nos preços finais. Afirmando que, neste momento, “há de tudo na abordagem ao mercado”, Vitória Pinhão, partner da Auren, explica que há empresas que oferecem apenas uma abordagem jurídica, outras, mais tecnológica, e ainda há empresas que se propõem a desenhar todos os procedimentos e processos ou só os relacionados com os clientes. “A Auren tem encontrado, até, empresas com um diferente entendimento do âmbito de aplicabilidade do RGPD. As diferentes abordagens refletidas na disparidade dos preços deixam quem decide pouco confortável para fazer uma escolha informada”, reforça Vitória Pinhão. Em matéria de entraves, elege ainda a necessidade de envolver a recolha de informação de muitas áreas de operação, obrigando à constituição de grupos multidisciplinares (uma forma de organização, defende, ainda “pouco comum” nas PME portuguesas); bem como a ausência de metodologias de trabalho e de ‘compliance’; incapacidade financeira para investir em tecnologia de segurança; e ainda, uma “insuficiente” sensibilização dos colaboradores para a relevância da proteção de dados.

Transformação cultural e RH também pesam

Às mudanças na arquitetura tecnológica e no ‘modus operandi’ dos sistemas de informação da organização, obrigando a um esforço financeiro e processual que poderá fazer estender o prazo de implementação, Hugo Veríssimo Oliveira, advisory senior manager da PwC, junta, e sublinha, a transformação cultural que poderá revelar-se como o principal obstáculo na adaptação e implementação do RGPD. Assim, a velocidade a que esta transformação ocorre é, em seu entender, “naturalmente mais lenta”, dependendo do nível de resistência à mudança da organização. A este cenário acresce ainda o papel que o regulador irá desempenhar. Hugo Veríssimo Oliveira considera que ainda não foi definida a linha de atuação da CNPD, facto que entende poder vir a “ limitar e/ou inibir a atuação das organizações no que diz respeito à conformidade”.

Esta ‘check list’ não fica fechada sem referirmos a questão dos recursos humanos e das suas competências. Considerando que um dos principais desafios colocados pelo RGPD é o assegurar do nível de competência ideal e especialização, Paulo André, managing partner da Baker Tilly explica que 50% das empresas não reservaram orçamento para a formação dos seus recursos em RGPD, e 68% ainda não atualizou os seus processos. Por outro lado, apenas 40% das empresas nomearam um encarregado de proteção de dados para regular a conformidade com o RGPD e quase 50% dos encarregados ppor esta conformidade não têm uma qualificação formal ou relevante. Paulo André não deixa de salientar a questão do ‘budget limitado’ para este tema, sobretudo nas PME, mas nas quais os recursos são escassos e as limitações financeiras são os maiores problemas. Adiantando ainda quem, em média, o orçamento típico para a conformidade com o RPGD é inferior a 5800 euros.

Vencer barreiras? É por aqui

Para cumprir, e idealmente até 25 de maio próximo, a implementação do RGPD, cada empresa terá de encontrar a sua forma de ultrapassar os entraves. Para Carlos Basto, as empresas têm, desde já, iniciar um programa de sensibilização, comunicação e formação intenso, abrangente a toda a organização, que tenha como objetivo a transformação do modo como as pessoas agem perante este tema. Adicionalmente torna-se “imperioso” construir uma análise criteriosa de gestão de risco relativamente às áreas/ processos com maior impacto em dados privados sensíveis. Esta análise permitirá balancear o investimento nessas áreas, mostrará quais mais críticas e qual deverá ser o ‘roadmap’ de prioridades.

Vitória Pinhão, por seu turno, chama a atenção para a necessidade da oferta de serviços dever ser operacionalizada numa “lógica de customização”, sendo obrigatório um diagnóstico multidisciplinar inicial da realidade da empresa, antes de apresentar quaisquer soluções. E, as soluções em si, devem ser construídas com metodologias de trabalho assentes em processos de gestão e ‘compliance’, que otimizem a empresa como um todo, e não sirvam, apenas, para cumprir o RGPD.

Para endereçar a já sublinhada “transformação cultural”, Hugo Veríssimo Oliveira, afirma que é essencial a definição de um modelo de governação e relacionamento com níveis de participação, funções e responsabilidades “claramente atribuídos e que conjugue os princípios do RGPD, bem como a aderência à realidade da organização, resultando na produção de políticas sólidas para a gestão da proteção de dados”. Este modelo deverá ser seguido da estruturação de um plano de comunicação, a difundir pela organização e que suporte a consciencialização do tema da privacidade e da gestão da mudança, assim como da definição de um plano de formação que garanta o envolvimento de todos os colaboradores.

Ainda em matéria de recursos humanos, Paulo André salienta a importância de o DPO ter de ser “um bom comunicador, diplomata e com muita independência”, sendo que as empresas, por uma questão de eficiência interna, podem nomear pessoas existentes para ocupar o cargo. E apesar de os consultores externos serem a escolha da maioria das empresas, estas devem identificar um “embaixador” do RGPD dentro da organização (DPO ou não) que centralize o levamento dos dados e dos processos, sendo que as valências técnicas a exigir serão as de marketing, informática, segurança e jurídicas.

Proteção de dados: saiba tudo o que muda com a nova lei a partir de maio

Uma laranjada venenosa

A ilha Albuquerque

Carta aberta a Filipe Pinhal

Um shot com gás

A lucidez de saber sair

Manual de resistência contra oligarcas

Os lucros obscenos da banca

Rosalia Ortega: “Miúdos que ganham dois mil euros, como acontece em Portugal, não podem ter cláusulas de 50 milhões”

Olivia Plotnick: “Um estudante chinês perguntou-me: ‘Estão todos de férias em Portugal? E o PIB?'”

Mais-valias imobiliárias com novas regras para venda

“Mercadona já paga mais hoje em dia do que a DGEG”, diz Paulo Carmona

Certificados de Aforro: Novo regime entra em vigor esta quinta-feira. Saiba o que muda

Caixa financia compra de casa a 100% através do leasing

Isenção de IMT: 18% dos créditos à habitação foram feitos por jovens com salários acima dos 10 mil euros

RECOMENDADO

Portugueses cotados em Wall Street entram em insolvência

CMS Portugal assessorou francesa Helexia na compra da Bluecharge

CTT já compraram 1.602.596 ações próprias desde julho e detêm 2,09% do capital

Governo altera “aspetos da composição” da administração do Banco de Fomento

Prémio Fundação “la Caixa” Seniores dá 1,4 milhões de euros a 38 projetos

CLIA anuncia Samuel Maubanc como novo diretor geral para a Europa

Siga-nos

Sobre

Comercial