As alterações na proteção de dados

Efetivamente, à luz do novo Regulamento Geral para a Proteção de Dados (2016/679 do Parlamento Europeu), o número de novos desafios que uma empresa terá de superar é elevado e com ramificações em distintas áreas da Organização (p.e. jurídico, compliance, processos, marketing, tecnologia). Estabelecem-se desta forma novos desafios:

• Âmbito – estende-se a todos os controladores e processadores de dados de cidadãos da EU
• Consentimento – obrigatório ser um ato livre e positivo. A Organização tem de informar explicitamente o propósito de recolha e tratamento dos dados
• Direitos do titular – acesso aos dados, esquecimento, portabilidade, oposição e decisões individuais automatizadas
• Responsabilização – reforça-se a cultura de monitorização e proteção, através de melhor conhecimento do fluxo de dados e criação da função de Data Protection Officer
• Privacy by default and by design – medidas técnicas que garantam os princípios da proteção de dados
• Privacy Impact Assessments – obrigatoriedade de realizar aquando processamento de larga escala de dados
• Comunicação às autoridades – 72 horas para reportar incidentes de violação de dados às autoridades e indivíduos lesados
• Penalizações – ascendem a 4% do volume de negócios ou 20 milhões de euros

Uma possível abordagem sistematizada e top-down que considere ações práticas e com resultados concretos, é chave para resultados positivos. Esta deverá ser faseada: Compreender; Avaliar; Definir e Implementar.

Muitos temas se levantam em torno da estrutura organizacional, da natureza da oferta e ações de Marketing, gestão de dados e, não menos importante, a arquitetura tecnológica. Deve ser criada um Data Protection Officer? Como se respondo “ao direito de ser esquecido”? Que dados devem ser apagados? Que restrições ao contacto com prospects? Sou controlador ou processador de dados? Quais os requisitos de segurança que devo cumprir na comunicação de dados?

De facto, parte dos temas abordados no Regulamento não são claros e conduzem a interpretações erradas. Urge que o tema seja clarificado e, até à entrada em vigor em Maio de 2018, as Organizações concentrem esforços na preparação e implementação de iniciativas que garantam rigoroso cumprimento deste novo Regulamento. O nível de esforço que terão de imprimir nesta fase de preparação, face aos gaps que a Organização atualmente apresenta, tem sido o melhor termómetro para saber se é de Evolução ou Revolução.