“Só um terço das empresas está preparado para as novas regras”

A seis meses da implementação do novo regulamento de proteção de dados, o sócio da DLA Piper João Costa Quinta explica os vários desafios do novo quadro legal para os cidadãos e para as empresas.

Cristina Bernardo

O novo regulamento de proteção de dados entra em vigor em maio de 2018. Quais são as implicações para as empresas?
Tudo mudou em todas as empresas e em todas as atividades. A mudança resulta hoje do tratamento de informação e da recolha permanente dos dados. O fenómeno digital mudou completamente a forma de trabalhar a informação e o tratamento da mesma. Isto já devia estar na ordem do dia de todas as empresas e organizações que o fazem mas não estava. O que é que fez com que passasse a estar? O quadro sancionatório do regulamento. Ou seja, aquilo que hoje devia ser já uma preocupação generalizada das organizações, passou a sê-lo com a aplicação de coimas até 10 milhões ou 20 milhões de euros, consoante a gravidade da infração, ou 2% ou 4% do volume de faturação. Para determinado tipo de organizações pode significar a morte.

Há um paralelismo com o Direito da Concorrência?
A Concorrência era também um setor preocupante do ponto de vista regulatório na atividade económica e só passou para a ordem do dia quando veio a mão pesada. O mesmo aconteceu aqui, com um uma gravidade talvez superior, porque toca num bem intangível de todos nós, que é a nossa privacidade e a nossa proteção pessoal. Há uma preocupação de que todas as organizações passem a respeitar esses dados pessoais quando os recolhem, tratam e a garantir a proteção dos mesmos.

Ao nível económico o que representa este fenómeno do big data?
É um tema que está connosco desde que acordamos até que nos deitamos. Se pensar que põe o despertador, como faz a generalidade das pessoas, este registo vai ficar guardado com características que não conhece. Mas alguém sabe que pôs o despertador para as sete horas da manhã. E depois aparece-lhe esta reunião no calendário e esse registo também está guardado. A seguir tem a consulta do seu filho marcada no telemóvel. Tudo isto é um significativo volume de transação diária e quem conseguir gerir toda esta informação com proveito económico…Aliás, o fenómeno big data é isto mesmo e estima-se que represente um mercado económico de 60 mil milhões de dólares.

Mas quem é que acede a este dados?
Eu tecnicamente não sei quem é que acede e em que condições é que o faz. O que o regulamento faz é regulamentar como isto se processa, se obtém, em que condições é que tenho de ter este consentimento expresso e como é que o titular desse dado consegue aceder e garantir a inviolabilidade do mesmo. Hoje, nas estatísticas do ‘big data’, sabemos que são feitos ‘uploads’ de vídeos de 50 horas por minuto no Youtube. Estima-se que nos últimos dez anos foi tratada, recolhida e armazenada mais de 90% da informação mundialmente registada.

Daqui a seis meses podemos ficar mais seguros?
Eu diria que o regulamento é isso que pretende mas não sei se as empresas vão estar preparadas para isso. Nós temos uma equipa europeia na DLA Piper de proteção de dados. Há um mês estive em Bruxelas numa reunião estratégica com todos os coordenadores dos vários escritórios europeus. Uma das coisas que chegámos à conclusão foi que, provavelmente, apenas um terço das empresas estaria relativamente preparado para a efetiva implementação do regulamento. Mesmo no setor tecnológico a percentagem não sobe. Isto é, as empresas de tecnologia que muitas vezes são sub-contratadas para fazer tratamento e recolha de dados acabam elas próprias por não terem hoje a consciência e as ferramentas necessárias para assegurar que estão prontas ou que cumprem quando este regulamento entrar em vigor.

O que este regulamento vai impôr?
Este regulamento assenta numa preocupação da Comissão Europeia que é o privacy by design e o privace by default. O que isto significa em termos resumidos? O primeiro é um princípio segundo o qual as próprias empresas tecnológicas, quando elaboram os seus processos, aplicações ou métodos devem fazê-lo de forma a que o próprio sistema garanta a privacidade dos dados. Isto é, que o tratamento, a recolha dos dados e a sua proteção seja um elemento configurador da aplicação. O segundo é, no fundo, garantir que a utilização dos dados é feita numa lógica de utilização mínima apenas para aquilo que é exclusivamente necessário. Isto é, você vai à bomba de gasolina e preencheu o questionário para aceder ao cartão da marca. E só quis o cartão porque só quer os descontos, não quer receber sms, emails, etc. Portanto aquilo que se pretende garantir é que os dados fiquem reservados única e exlusivamente numa lógica instrumental – apenas e só para aquilo que foram recolhidos ou só para aquilo que o seu titular consentiu. Isto é uma mudança essencial do regulamento.

Que outras medidas podemos destacar?
Há outras com impacto imediato para as empresas que vai ser a criação do Encarregado de Proteção de Dados. Isto passa a ser obrigatório no setor público e portanto vai ser uma preocupação de todos os organismos públicos ter essa pessoa, que será a responsável pelos dados que a empresa trata. E será obrigatório para algumas organizações e empresas privadas em função do volume e da periodicidade da recolha e tratamento de dados. Esse Encarregado de Proteção de Dados é uma figura nova, que vamos ter de concentrar ou criar dentro das organizações. Vai definitivamente integrar o job description de muitas empresas e de muitas organizações.

Quem irá fiscalizar este processo?
É a Comissão Nacional de Proteção de Dados. A própria CNPD, que era uma organização mais ou menos adormecida no mercado português, vai ter que ter um papel muito mais ativo, interventivo e fiscalizador na aplicação deste regulamento. As empresas internacionais fora da União Europeia e que tratam dados no território europeu também vão estar implicadas. O que nós tinhamos até agora era uma diretiva de 95 que para entrar em vigor nos estados membros precisa de ser transposta. Isto é, precisa de criar um ato legislativo interno que transponha o conteúdo principal daquela diretiva. Isto causa normalmente um tipo de problema que é na transposição aos estados membros é sempre garantido uma relativa margem de adaptação ao quadro jurídico interno. Portanto, entre as idiossincrasias de cada estado, mais as especificidades do processo legislativo interno e do próprio processo político, faz com que na transposição tenhamos criado diplomas nacionais de cada estado membro muitas vezes sem a harmonia desejável.

Como vão ajudar os vossos clientes?
Começámos em maio de 2017, de diversas formas: ações de sensibilização interna, isto é ações de formação para clientes por setores (media, automóvel, saúde, etc.) e desenvolvemos a nível internacional uma ferramenta que estamos agora a implementar no mercado português. No fundo uma ferramenta online que permite às empresas fazerem uma auto-verificação em que ponto estão quanto ao cumprimento daquilo que serão as obrigações do regulamento. É uma ferramenta ímpar no mercado nacional. Nós achamos que com essa ferramenta é muito mais fácil para as empresas fazerem uma auto-avaliação sem saírem da secretária e depois entrarem em contacto connosco para fazer uma triplice análise. O nosso serviço desenvolve-se em três vertentes: auditoria (vamos ao terreno verificar os dados daquela auto-avaliação da empresa); implementação e correção (criar os mecanismos e métodos para garantir que a empresa em maio de 2018 estará em condições de cumprir o regulamento); monitorização e acompanhamento (no período subsequente é recomendável que se faça um acompanhamento dos novos procedimentos e métodos de recolha e tratamento da proteção dos dados).

Artigo publicado na edição digital do Jornal Económico. Assine aqui para ter acesso aos nossos conteúdos em primeira mão.

Ler mais
Recomendadas

PremiumLuís Marques: “Devemos contar que a carga fiscal continue à volta dos 35% do PIB”

Luís Marques, ‘partner’ e Tax Leader da EY, entende que Governo não tem margem para descer impostos. Aplaude as medidas para reduzir a fatura da luz e novas regras na tributação das horas extra – e diz que falta a redução do IRC.

Advogados vão pagar menos quotas em 2019

A proposta que estipula a alteração do regulamento das quotas dos advogados e a sua redução em cerca de 1,2 milhões de euros foi aprovada pela assembleia-geral extraordinária da Ordem dos Advogados.

PremiumAdvogados em palco na luta contra o cancro

A 26 de outubro, a Arena do Campo Pequeno, em Lisboa, recebe nove bandas em palco (e uma de juízes), com 14 escritórios envolvidos, no evento cujos donativos irão para a luta contra a leucemia.
Comentários