15% de empresas portuguesas implanta medidas de conformidade para o RGPD

A cerca de um ano da entrada em vigor da legislação, 57% de 101 organizações inquiridas pela KPMG revela não ter mecanismos de resposta a incidentes de violação de protecção de dados.

rui-gomes_kpmgPerto de 21%, das 101 organizações portuguesas inquiridas pela KPMG, dizem já ter delegado de protecção de dados operacional. Mas isso não revela grande evolução no tecido português quanto à preparação para a conformidade com o novo regulamento geral de protecção de dados (RGPD), concorda Rui Gomes, sócio da consultora em Portugal.

Aquelas com a função já activa são na maioria as que já tinham antes de surgir a obrigatoriedade de definirem um responsável. Apesar disso, 22% tem um profissional nomeado, faltando operacionalizar o cargo.

No geral, baseada numa série de indicadores, a consultora considera que as organizações portuguesas estão “atrasadas”. Em média, apenas 15% estão já a implantar medidas.

Os sectores mais avançados parecem ser o dos prestadores de cuidados de saúde privados e o retalho, ambos com valores de 25%. O sector público está entre os piores com 11%, pouco melhor do que o dos serviços (10%) e, curiosamente, o dos seguros (10%).

O cenário revela-se ainda mais preocupante quando se olha para os resultados sobre os mecanismos de segurança e resposta a incidentes: 57% das empresas abordadas dizem que não têm processos de resposta a incidentes.

O rastreio de acessos a dados pessoais só é feito por 13%, embora 21% já faça o controlo com base nas funções.

Apenas 8% têm medidas de controlo sobre bases de dados expostas à Internet e 10% incidindo em repositórios locais com elementos pessoais. Estes resultados ganham ênfase porque, tal como refere Rui Gomes, o controlo de acessos aos sistemas centrais não constitui o principal problema. Aquele sobre as plataformas adjacentes, será mais importante.

Numa altura em que o Governo quer implantar um serviço público de notificação electrónica, sobressai outro resultado: apenas 8% das organizações cifra os dados pessoais transmitidos e só 6% o faz no armazenamento.

Mais, só 9% faz anonimização dos referidos elementos de informação e há outros dois pontos incisivos. O rastreio de acessos a dados pessoais só é feito por 13%, embora 21% já faça o controlo com base nas funções.

No entanto, poder provar os esforços de protecção de dados e suporte à verificação de potenciais incidentes é uma das obrigações mais importantes do novo regulamento. Assim como manter a prova do consentimento de tratamento de dados sublinha o consultor.

Quase metade das empresas (47%) não considera que a preparação da conformidade (com o RGPD) venha a ter um impacto grande ou alto, quanto a tempo de trabalho exigido, esforço e custo de implantação.

Neste ponto o RGPD obriga ainda as organizações a explicitarem prazos de retenção de que necessitam, se vão entregar o tratamento a terceiros e têm ainda de explicitar todos os tratamento de dados que prevêem aos consumidores. O quadro mostra-se trabalhoso, vinca Rui Gomes, segundo o qual a legislação portuguesa é mais branda e assim a discrepância das práticas entre as organizações portuguesas e aquilo que é exigido pelo RPGD, tende a ser maior do que noutros países.

No entanto, quase metade das empresas (47%) não considera que a preparação da conformidade venha a ter um impacto grande ou alto, quanto a tempo de trabalho exigido, esforço e custo de implantação. Mas a percepção também será influenciada pela “análise de risco realizada” e “apetite” das empresas, pelo mesmo.

É necessário ter em conta o pendor de auto-regulação, promovido pelo RPGD, sublinha o responsável.

Auditoria e controlo de acesso a dados ganham urgência nos SI

Além de outros factores, como o direito ao esquecimento, as obrigações de garantia de portabilidade dos dados vão implicar alterações relevantes aos sistemas de informação das empresas, considera a consultora. Tiago Reis, consultor líder da KPMG para

tiago-reis_kpmg

Tiago Reis, consultor líder da KPMG Portugal para cibersegurança e privacidade

cibersegurança e privacidade, coloca a preparação de mecanismos “de controlo de acessos a dados pessoais” e de “auditoria”, em primeiro plano.

O consultor considera em declarações para o Computerword que são lacunas relevantes a “ausência de modelos de autorização de acesso a dados pessoais”, assim como a “incapacidade para rastrear o acesso a categorias especiais de dados”. Mas nas agenda de prioridades tem lugar ainda garantir as capacidades de “expurgo de dados em função de prazos de retenção máximos”.

Embora se tenha assistido a uma acumulação maior de dados pessoais por parte das empresas, nos últimos anos, também se notam os alertas sobre o excesso muitas vezes infrutífero nessa prática. Interessa reter os elementos mais interessantes e o RPGD coloca ênfase nisso ao impor penalidades pesadas, quando há fugas de dados.

Tiago Reis vinca ainda a necessidade de preparar os sistemas de informação para a cifra e anonimização de dados. Mas coloca este requisitos debaixo de critérios de apetite de risco de cada empresa.

Este factor acaba por influenciar mais uma vez a avaliação da transformação necessária, sob várias perspectivas: “operacionalidade, segurança, conformidade e custo/benefício de implementação de medidas”.




Deixe um comentário

O seu email não será publicado