Não ficar parado– A decisão que importa no RGPD

Como avalia a maturidade das organizações nacionais face ao RGPD?

Luís Requicha - Estudos recentes indicam que menos de 5% das organizações portuguesas se consideram bem preparada (leia-se, em ‘compliance’) para com o RGPD. Uma verdade inequívoca é que as organizações portuguesas, relativamente ao tema da proteção dos dados pessoais, possuem hoje uma reduzida ou mesmo nula adesão (> 65%). Há muitas instituições que ainda não começaram a sua preparação para o cumprimento do Regulamento. Esgotados os dois anos de 'graça', as organizações continuam numa fase de recolha de informação e formação sobre a framework legal do regulamento, quando deveriam estar na fase final de implementação. Em suma, as instituições continuam numa marcha muito lenta neste caminho para o cumprimento do regulamento. É preciso acelerar este processo.

O que é prioritário, nesta fase?

Existe uma iniciativa fundamental: avaliar o estado da organização, o nível de conformidade e definir um plano de ação. Adicionalmente podemos ter o registo das atividades de tratamento de dados pessoais, políticas de privacidade e procedimentos, mecanismos que evidenciam que se está a cumprir o RGPD, ter em conta os novos direitos dos titulares dos dados, formar colaboradores, medidas de segurança, privacidade desde a concepção, entre outros. No meu entender, começar o projeto é o mais importante e ainda que 25 de maio seja já amanhã, não
ficar parado e seguir o plano de ação é a atitude mais acertada.

Como pode a Datashield ser um aliado no cumprimento do RPGD?

No contexto específico do RGPD, a Datashield desenvolveu uma oferta integrada (GDPR One-Stop Shop) que é diferenciadora porque endereça de forma multidisciplinar as diferentes vertentes do Regulamento: a vertente legal, de organização de processos, de segurança e das plataformas tecnológicas. A nossa abordagem assenta em três dimensões: a Avaliação (assessment) para identificar níveis de conformidade, avaliar o risco e definir um plano de atividades; a Implementação, tendo por objetivo o cumprimento do RGPD; e o Controlo, baseado numa framework de compliance desenvolvida pela Datashield e num DAAS - DPO ‘as a service’. As nossas atividades e framework de ‘compliance’, são baseadas nos standards de implementação de Sistemas de Gestão de Protecção de Dados (BS10012:2017, ISO 29100:2011, ISO 29134:2017, ISO 27005:2011) e de Sistemas de Gestão da Segurança da Informação (ISO 27001:2013).

Que efeitos terá o diploma que dá ao Estado a ausência de coimas e mais 17 meses para o cumprimento do RGPD?

O Governo justifica estas “duas velocidades”, entre o setor público e o privado, por considerar que o Regulamento foi desenhado tendo em vista as multinacionais e não as administrações públicas, que alegadamente não utilizam dados pessoais para o negócio. Mas os organismos do Estado, ainda que não utilizem dados pessoais para fins comerciais, processam dados dos cidadãos e, atualmente, em prováveis condições de incumprimento com o RGPD. Este alargamento no prazo de cumprimento do RGPD e a despenalização por um período de três anos, para o setor público, coloca o risco de não serem tomadas as medidas adequadas para proteger os dados dos cidadãos. Creio que o setor privado pode sentir alguma injustiça nestas exceções e abrandar pelo seu lado as medidas para cumprir com a Lei.

É ainda relevante sublinhar que algumas empresas públicas concorrem no mercado com as privadas e acabam por ser largamente beneficiadas pelo modelo adotado. De qualquer forma, ainda que alargado o prazo e coimas à parte, alerto para as sanções acessórias que podem ser aplicáveis à Administração Pública, onde se inclui a proibição de processar dados ou a obrigação de os eliminar. A CNPD terá uma palavra a dizer sobre isso. Realço também a moldura penal inscrita no projeto de Lei, que é talvez mais punitiva que as coimas, considerando inclusive penas de prisão para os responsáveis pelas transgressões ou pela sua tentativa. Apesar deste enquadramento legal que está a ser proposto, acredito que a maioria dos Organismos públicos que tratam dados pessoais, vai trabalhar no sentido de cumprir com o RGPD, com ou sem coimas. A Administração Pública tem hoje uma gestão profissional e esta é uma questão de governance a que os gestores públicos estão atentos.