RGPD: do diagnóstico à implementação

É importante equacionar a necessidade de realizar ações de formação e sensibilização dos colaboradores, para garantir que a política de proteção de dados pessoais adotada é transversal a toda a organização.

Embora o Novo Regulamento Geral de Proteção de Dados (RGPD) tenha entrado em vigor há dois anos atrás, em Portugal a maioria das organizações apenas despertou para a complexidade desta questão no passado dia 25 de maio, data em que o RGPD começou efetivamente a produzir todos os seus efeitos.

A consciência da necessidade de assegurar a conformidade com o RGPD é motivada sobretudo pelo pesado regime sancionatório consagrado no normativo comunitário. Contudo, não se pode descurar que o RGPD surgiu com o intuito de conferir maior proteção aos titulares de dados e garantir que cada um de nós tenha um efetivo controlo sobre a informação que nos diz respeito. É esse o princípio norteador que deve estar subjacente a todo o processo de implementação das novas regras de proteção de dados.

Assim, o cumprimento das regras e o consequente reforço da segurança no tratamento da informação é fundamental não só para diminuir o risco de aplicação de coimas e evitar pedidos de indemnização pelos titulares dos dados, mas também para assegurar uma boa imagem e reputação de cada organização. Pense-se nos casos da Deloitte, Panama Papers, Yahoo ou, mais recentemente, da polémica que envolveu o Facebook e a Cambridge Analytica que causou prejuízos de milhões para as duas empresas e acabou por ditar o encerramento desta última.

O RGPD foi construído à escala europeia e direcionado para organizações de grande dimensão, revelando-se, em alguns aspetos, pouco adequado à realidade de países como Portugal, onde o tecido empresarial é maioritariamente composto por PME. Para estas empresas, a implementação do RGPD implica inevitavelmente um esforço acrescido a nível financeiro e organizacional.

No contexto de implementação do RGPD, independentemente de optarem ou não por apoio externo, a preocupação inicial de cada organização deve consistir num mapeamento de todos os dados pessoais com que os seus colaboradores lidam diariamente. Este procedimento deverá ficar a cargo de uma equipa diversificada com conhecimentos funcionais sobre áreas como os HR, IT e Legal. Desta forma, será possível definir, distinguir e segregar todos os processos de tratamento de dados pessoais e, dentro desses, os diferentes fluxos de informação.

Este primeiro passo é fundamental, na medida em que servirá de suporte à elaboração de um gap analysis onde se irá diagnosticar e avaliar o nível de compliance e os riscos de cada organização. Terminado este primeiro passo, será necessário pensar e redefinir os mecanismos e procedimentos internos e adotar soluções capazes de fazer face às não-conformidades detetadas. Essas soluções poderão ser de ordem informática, documental ou procedimental. Importa referir que este é, talvez, o ponto mais sensível no que toca à implementação do RGPD, dado que cada organização tem as suas especificidades e é imperativo garantir que as soluções implementadas são exequíveis no quotidiano organizacional. Em paralelo, deverá ainda equacionar-se a necessidade de realizar ações de formação e sensibilização dos colaboradores, de forma a garantir que a política de proteção de dados pessoais adotada é transversal a toda a organização.

Por fim, ressalta-se ainda que poderá ser conveniente instituir um plano ongoing que permita a cada empresa medir o nível de adequação e eficácia de todo o trabalho desenvolvido aquando do processo de implementação. A adoção de regras de processamento para o futuro é um dos pontos que tem sido descurado.

Ora, tendo em conta o exposto, pode concluir-se que garantir a conformidade com as novas regras comunitárias não é tarefa fácil. De facto, a implementação do RGPD é na maioria dos casos um processo longo, complexo e dispendioso, porém, imprescindível para diminuir o risco de incumprimento das novas regras e fundamental para assegurar os direitos e garantias de cada um de nós.

Recomendadas
Sérvulo com nova sócia
Mafalda Ferreira Santos, ex-sócia da Cuatrecasas, junta-se à equipa de Contencioso Cível, Comercial e Arbitragem do escritório liderado por Paulo Câmara.
Linklaters e Garrigues partilham venda de ativos do Novo Banco
Consultora Alantra assessora processos de venda de ativos do Novo Banco, no valor global de 1,8 mil milhões de euros.
Andersen Global reúne-se pela primeira vez em Portugal para anunciar novo ‘board’
O advogado e ex-ministro português Luís Nobre Guedes é um dos 14 membros do Conselho Regional Europeu, anunciou esta sexta-feira a organização assessores financeiros e legais.
Comentários