RGPD

Não ficar parado– A decisão que importa no RGPD

Luís Requicha, RGPD Consultant e DPO na Datashield DPBCS, elenca as prioridades que devem constar na agenda das organizações de modo a garantir uma boa gestão do Regulamento Geral de Proteção de Dados

Não ficar parado– A decisão que importa no RGPD

Como avalia a maturidade das organizações nacionais face ao RGPD?

Luís Requicha - Estudos recentes indicam que menos de 5% das organizações portuguesas se consideram bem preparada (leia-se, em ‘compliance’) para com o RGPD. Uma verdade inequívoca é que as organizações portuguesas, relativamente ao tema da proteção dos dados pessoais, possuem hoje uma reduzida ou mesmo nula adesão (> 65%). Há muitas instituições que ainda não começaram a sua preparação para o cumprimento do Regulamento. Esgotados os dois anos de 'graça', as organizações continuam numa fase de recolha de informação e formação sobre a framework legal do regulamento, quando deveriam estar na fase final de implementação. Em suma, as instituições continuam numa marcha muito lenta neste caminho para o cumprimento do regulamento. É preciso acelerar este processo.

O que é prioritário, nesta fase?

Existe uma iniciativa fundamental: avaliar o estado da organização, o nível de conformidade e definir um plano de ação. Adicionalmente podemos ter o registo das atividades de tratamento de dados pessoais, políticas de privacidade e procedimentos, mecanismos que evidenciam que se está a cumprir o RGPD, ter em conta os novos direitos dos titulares dos dados, formar colaboradores, medidas de segurança, privacidade desde a concepção, entre outros. No meu entender, começar o projeto é o mais importante e ainda que 25 de maio seja já amanhã, não
ficar parado e seguir o plano de ação é a atitude mais acertada.

Como pode a Datashield ser um aliado no cumprimento do RPGD?

No contexto específico do RGPD, a Datashield desenvolveu uma oferta integrada (GDPR One-Stop Shop) que é diferenciadora porque endereça de forma multidisciplinar as diferentes vertentes do Regulamento: a vertente legal, de organização de processos, de segurança e das plataformas tecnológicas. A nossa abordagem assenta em três dimensões: a Avaliação (assessment) para identificar níveis de conformidade, avaliar o risco e definir um plano de atividades; a Implementação, tendo por objetivo o cumprimento do RGPD; e o Controlo, baseado numa framework de compliance desenvolvida pela Datashield e num DAAS - DPO ‘as a service’. As nossas atividades e framework de ‘compliance’, são baseadas nos standards de implementação de Sistemas de Gestão de Protecção de Dados (BS10012:2017, ISO 29100:2011, ISO 29134:2017, ISO 27005:2011) e de Sistemas de Gestão da Segurança da Informação (ISO 27001:2013).

Que efeitos terá o diploma que dá ao Estado a ausência de coimas e mais 17 meses para o cumprimento do RGPD?

O Governo justifica estas “duas velocidades”, entre o setor público e o privado, por considerar que o Regulamento foi desenhado tendo em vista as multinacionais e não as administrações públicas, que alegadamente não utilizam dados pessoais para o negócio. Mas os organismos do Estado, ainda que não utilizem dados pessoais para fins comerciais, processam dados dos cidadãos e, atualmente, em prováveis condições de incumprimento com o RGPD. Este alargamento no prazo de cumprimento do RGPD e a despenalização por um período de três anos, para o setor público, coloca o risco de não serem tomadas as medidas adequadas para proteger os dados dos cidadãos. Creio que o setor privado pode sentir alguma injustiça nestas exceções e abrandar pelo seu lado as medidas para cumprir com a Lei.

É ainda relevante sublinhar que algumas empresas públicas concorrem no mercado com as privadas e acabam por ser largamente beneficiadas pelo modelo adotado. De qualquer forma, ainda que alargado o prazo e coimas à parte, alerto para as sanções acessórias que podem ser aplicáveis à Administração Pública, onde se inclui a proibição de processar dados ou a obrigação de os eliminar. A CNPD terá uma palavra a dizer sobre isso. Realço também a moldura penal inscrita no projeto de Lei, que é talvez mais punitiva que as coimas, considerando inclusive penas de prisão para os responsáveis pelas transgressões ou pela sua tentativa. Apesar deste enquadramento legal que está a ser proposto, acredito que a maioria dos Organismos públicos que tratam dados pessoais, vai trabalhar no sentido de cumprir com o RGPD, com ou sem coimas. A Administração Pública tem hoje uma gestão profissional e esta é uma questão de governance a que os gestores públicos estão atentos.

 

Branded Content

Conteúdo produzido por DataShield
 

Tags

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT INSIGHT Nº 13 Maio 2018

IT INSIGHT Nº 13 Maio 2018

NEWSLETTER

Receba todas as novidades na sua caixa de correio!