O Regulamento Geral da Proteção de Dados (RGPD) da UE entra em vigor a 25 de maio, substituindo a Diretiva de Proteção de Dados e as várias legislações nacionais promulgadas nos vários países neste âmbito. Com ele eleva-se o nível regulatório da proteção dos dados na Europa e concretiza-se a mudança mais profunda das últimas décadas na política de proteção de dados na União Europeia.
As empresas converteram-se em guardiões dos dados dos clientes e o RGDP considera que também é sua obrigação utilizarem esta informação no melhor interesse dos seus clientes. As empresas que não cumpram as regras do RGPD enfrentam pesadas sanções, a partir do momento da entrada em vigor da nova legislação. Nalguns casos, as coimas podem ir até 4% do valor total da sua faturação anual.
O desafio da adesão ao RGDP irá exigir que as empresas realizem melhorias significativas na gestão e na segurança dos seus dados pessoais. O regulamento irá afetar todas as grandes empresas que operam à escala mundial bem como as que operam exclusivamente na região da UE, exigindo um grande avanço na forma como os dados são geridos. As empresas entendem a urgência desta situação, mas duvidam da sua capacidade de resposta a este desafio: 91% das empresas na Alemanha, França e Reino Unido duvidam da sua capacidade para cumprir o RGDP e mais de 70% diz que não está preparada para esta mudança. A Gartner prevê que 50% das empresas afetadas pelo RGDP não seja capaz de cumprir todos os requisitos até ao final de 2018.
Os requisitos do RGDP agrupam-se em três categorias: avaliar; prevenir e detetar. No contexto do controlo relacionado com a avaliação, as empresas têm que realizar uma auditoria aos seus dados, clarificar onde os armazenam e como eles fluem dentro da sua organização. Sabendo qual é a sua posição, as empresas podem identificar e tratar diretamente os riscos que envolvem os seus atuais modelos de negócio.
A Comissão Europeia considera que as empresas são guardiãs dos dados dos seus clientes e responsáveis por desenhar e configurar os processos de proteção desta informação contra eventuais roubos e utilizações indevidas. Adicionalmente, há que assegurar a encriptação dos dados dos clientes reduzindo a possibilidade de roubo, e garantir que os dados não podem ser desencriptados caso alguma vez venham a estar comprometidos. Se as empresas conseguirem tornar os dados realmente anónimos num ambiente em concreto, este ambiente poderá estar fora do âmbito do RGDP porque se considera que deixaram de conter informação sensível.
O RGDP tornará as empresas mais ativas no apoio ao seu responsável pela proteção de dados (DPO). Todas as empresas precisam de um DPO. Também se espera que tenham sistemas que lhes permitam detetar rapidamente atividades não autorizadas, capacidade de recolher provas em caso de incumprimento e que enviem os relatórios necessários ao DPO. O foco na segurança dos dados passará a ser mais proativo e as organizações terão que manter um registo do seu desempenho.
O RGDP salvaguarda pessoas, processos e informação. As empresas terão que assegurar: a proteção dos dados, sistemas de TI e bases de dados capazes de suportar ataques, e que os seus colaboradores gerem a informação confidencial de forma mais responsável. O foco global na privacidade dos dados pode ter abrandado nos últimos tempos, mas os governos e os consumidores continuam a exigir mudanças neste contexto e as empresas têm que se preparar para responder às suas expetativas.
