“O RGPD e a gestão documental são alavancas mútuas”

O terceiro Encontro Transformação Digital juntou uma centena de profissionais em Lisboa, em outubro, e uma das oradoras convidadas foi Sofia Pina, Data Controller e Corporate Records Manager do Grupo Sport Lisboa e Benfica, que conversou sobre a importância do Regulamento Geral de Proteção de Dados (RGPD) para a gestão documental

“O RGPD e a gestão documental são alavancas mútuas”

Do papel ao digital, da arquivística à transformação tecnológica. Podem parecer mundos antagónicos, mas o Encontro Transformação Digital, organizado pela EAD – Empresa de Arquivo de Documentação, deixou claro que há uma relação de simbiose. Sofia Pina, Data Controller e Corporate Records Manager do Grupo SLB, abordou a importância do RGPD no contexto da “Eficiência Digital no Tratamento dos Documentos dos Processos de Negócio e Suporte ao Negócio”, tema principal do encontro.

Em entrevista, a responsável explica que “um arquivista gere informação:  embora soando a velho clichê, não somos ratos de catacumbas. O arquivo é sempre a base de suporte de todo e qualquer negócio bem-sucedido. E porquê? Porque disponibiliza a informação necessária à decisão. Parece simples, mas é complexo; mais complexa é a necessidade de reconhecimento urgente destas competências”.

Qual foi o enquadramento e o contributo da sua mensagem para este encontro?

Foi com muito prazer que aceitei o convite da EAD para participar neste III Encontro de Transformação Digital. Enquanto arquivista de formação, é muito importante dar a conhecer ao mercado uma profissão antiga – a de arquivista – como uma função com uma enorme capacidade de adaptação às novas e diversas tecnologias de forma a cumprir a sua missão, que é a responder às urgentes necessidades dos utilizadores. 

O meu contributo pretende alertar o mundo empresarial para o risco de cumprimento cego do RGPD, que, numa leitura linear, pode ser interpretado para a orientação de eliminar todas as evidências assim que cumprem a sua finalidade. Ora, esta ação coloca em risco a necessidade de comprovar algo num prazo mais dilatado, num futuro próximo. E em termos de arquivos históricos, neste momento, corremos o sério risco de não ter informação que documente a nossa realidade atual, daqui a uns 20/30 anos. Se não cuidarmos, ao dia de hoje, da gestão documental, perdemos as fontes administrativas dos arquivos correntes (os ditos arquivos quotidianos) e as fontes probatórias para os arquivos históricos de amanhã.   

 Tal como indica o título da sua apresentação, de que formas é que a gestão documental alavanca o compliance com o RGPD?

Como referi na minha apresentação, desde sempre que as práticas arquivísticas disponibilizam acessos controlados, conforme o grau de sensibilidade da informação a consultar, contenham ou não, dados pessoais. Mais, dado que os documentos de arquivo refletem a ação humana, no que se refere à documentação administrativa há que ter em especial atenção os seus prazos de validade e o seu carácter de evidência. O RGPD, dado o atual mundo empresarial, foca-se no consentimento e na finalidade para a recolha de dados pessoais. A Arquivística desde sempre foi mais longe, foca-se no direito de acesso à informação e na salvaguarda do direito de privacidade. Através do respeito dos prazos de conservação da informação, seja qual for o seu suporte, a Arquivística garante o carácter probatório da memória. E, sem memória, a história repete-se, para o bem ou para o mal.

O RGPD e a gestão documental são alavancas mútuas, porque arquivar, preservar e controlar dados pessoais é o mesmo processo que arquivar, reter e controlar documentos relevantes. Assim, temos o RGPD para a Proteção de dados de carácter pessoal dos cidadãos do espaço europeu e temos a gestão documental e a abordagem empresarial para o controlo da informação ao longo do tempo. Entre ambos existe a ténue linha da recuperação de informação.

Quanto a este assunto, como avaliaria o ecossistema português? A gestão documental é uma preocupação que acompanha as preocupações das empresas com o RGPD? As empresas compreendem a sua importância?

Vivemos uma trilogia de Pessoas–Processos–Tecnologia e um novo paradigma em que a tecnologia é uma parte intrínseca dos próprios processos de negócio.

Infelizmente, e não é apenas em Portugal, o mercado empresarial acredita que os instrumentos informáticos resolvem o problema da gestão documental; é fundamental haver uma gestão eficaz suportada em técnicas e regras arquivísticas que cumpram normas internacionais, no que se refere aos acessos, à disponibilização, à garantia de qualidade, à segurança,... porque é sempre fundamental o contexto em que a informação foi produzida; informação descontextualizada, decisão errada.

O alarme soou com o RGPD porque lhe estão associadas pesadas coimas em situações de inconformidade, e apenas no que se refere aos dados pessoais. Ora, nós, arquivistas, lidamos com todo o tipo de dados, sem exceção, tenham ou não dados pessoais e sobretudo, garantimos o seu continuo, pois dados avulsos não permitem conhecimento nem esclarecimento. O panorama tem de mudar e o RGPD é a oportunidade de a Arquivística demonstrar que trabalha ao nível dos processos de negócio, do contexto, do armazenamento e/ou da conservação (permanente) e eliminação.

Conhecer a vida útil da informação e justificar a sua duração é fundamental, caso contrário, muita informação pertinente será eliminada indiscriminadamente.

O panorama da gestão documental em Portugal tem de mudar e cada vez mais as empresas interiorizam que os seus processos documentais estão no meio do processo de transformação digital. A tecnologia é um instrumento que conjuga meios técnicos, recursos humanos e objetivos estratégicos e a sua implementação [das tecnologias de gestão de informação] tem de considerar o ciclo de vida, pensar em armazenamento criterioso, garantindo evidências para o futuro.

A Sofia é Data Controller e Corporate Records Manager... como é que isto é diferente de ser uma DPO?

São funções complementares, e dada a complexidade do RGPD, têm de trabalhar em conjunto, ainda que com tarefas distintas.

Ao DPO compete, no fundo, controlar o cumprimento, por parte da organização, de toda a legislação relacionada com a proteção de dados, nomeadamente em auditorias, atividades de sensibilização e formação do pessoal implicado nas operações de tratamento, aconselha sobre a realização da uma AIPD, controla a sua realização. Digamos que o DPO funciona como uma Entidade Reguladora de cada organização e dentro desta mesma organização.

Já o Data Controller define as políticas de gestão documental e apoia na implementação das políticas, das normas e dos procedimentos necessários ao cumprimento da legislação e regulamentação de Proteção de Dados. Faz isso ao identificar e controlar a documentação dentro do sistema informacional e ao produzir mecanismos de representação e de localização da informação. No fundo, cabe ao Data Controller determinar como os dados são processados ​​e com que finalidade, e é este que se certifica sobre a transparência das operações, a fim de manter e construir a confiança do consumidor. 

E, aqui, entram as competências da gestão documental, Corporate Records Manager – no sentido de proceder ao levantamento documental e de identificar os respetivos processos de negócio, criar uma macro-estrutura funcional para classificação dos processo de negócio, determina os prazos de conservação conforme a legislação em vigor, define e faz cumprir os prazos de retenção da informação administrativa e tem que ter especial atenção à salvaguarda dos dados confidenciais e dos dados pessoais. Claro que há ainda uma vertente muito prática, já que vivemos numa época em que se lida com informação em suporte “papel” e em suporte “digital”. De forma a garantir o acesso à informação em papel, recorre-se às antigas práticas arquivísticas de inventariação e acomodação do “papel”, para recuperar essa informação sempre que necessária ao utilizador.

“Arquivo e documentação” e “transformação digital” são muitas vezes conceitos tomados como antagónicos, já que se entende o primeiro como algo “antiquado”. Neste evento unem-se e entende-se a complementaridade entre os dois. Como é que o RGPD dá forma a esta ideia também?

Como referi anteriormente, vivemos numa época em que coexistem dois suportes informacionais: o papel e o digital. Ainda que a transformação digital nos permita, gradualmente, substituir um suporte pelo outro, ainda vamos viver durante algumas décadas esta cooperação. Ainda que, pessoalmente, considere que o papel nunca vai deixar de ser utilizado.  Claro que podemos sempre digitalizar um documento em papel para nos facilitar a consulta, mas teremos a garantia da salvaguarda da evidência, do seu carácter de prova? E a legislação em vigor já nos dá essa margem?

O RGPD não altera a definição de prazos de retenção dos documentos com dados pessoais, apenas esclarece sobre a finalidade dos dados pessoais.

Temos a consciência que a intervenção de arquivos correntes ou de gestão é um fator estratégico para governance e que a gestão documental e a proteção de dados pessoais partilham o mesmo objetivo, o de ser associado o mais cedo possível aos novos projetos de IT. A boa gestão da informação exige uma clara definição de perfis, bem como a correta segmentação de processos de negócio (mapeamento de dados), evitando o uso de dados recolhidos a um cliente num outro contexto, uma vez que a avaliação e a posterior classificação de dados só serão válidas caso os dados sejam recolhidos de forma lícita, e é por isso que é importante que o sistema informático de gestão de dados pessoais se baseie em regras de gestão documental, de preferência já em vigor e conhecidas pelos vários atores da empresa. 

A otimização dos processos documentais é seguramente geradora de valor, não só pela confiança do titular dos dados, como nas garantias de segurança de informação, demonstrativa de indicadores de desempenho, já que o mapeamento nos permite a avaliação em tempo real da execução de tarefas, mede os resultados, custos, produção, produtividade, etc.

É urgente compreender a relevância dos arquivos correntes e intermédios na resposta às necessidades gerais de informação e é através da gestão documental que se poderá dar o próximo passo: o de criar impacto com a informação disponível, centralizando, simplificando, agilizando e uniformizando visualmente todos os dados para que se convertam em conhecimento e em insights valiosos para a tomada de decisões e apenas desta forma será possível impactar de forma positiva o negócio e o espaço para novos processos e modelos de negócio.

Tags

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT INSIGHT Nº 24 Março 2020

IT INSIGHT Nº 24 Março 2020

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.