Muitas organizações não cumprem sequer a actual lei de protecção de dados

Quando falta cerca de um ano para a aplicação do RGPD, as empresas e organismos públicos estão a tomar consciência de que não cumprem o actual regime jurídico, menos ainda o futuro.

Filipa Calvão, presidente da CNPD

Manuel de Melo afirmou, Filipa Calvão confirmou. Quando se começam a preparar para a implementação do novo Regulamento Geral de Protecção de dados (RGPD), as empresas tomam consciência de que não estão sequer em conformidade com a actual legislação (em vigor há mais de três décadas), muito menos com a legislação futura.

Esta situação foi referida pelo presidente da Associação para a Promoção da Cibersegurança e da Protecção de Dado (APCiber), Manuel de Melo, numa conferência promovida pela associação, junto de mais de uma centena de empresas em Lisboa. “O processo de implementação do novo regulamento levanta uma questão curiosa: toma-se consciência do grau de imaturidade em matéria de protecção de dados e segurança de informação em que as empresas estão face, inclusivamente ao regime jurídico actual”, disse Manuel de Melo.

Confrontada com esta questão, no dia seguinte, Filipa Calvão, presidente da Comissão Nacional de Protecção de Dados (CNPD), concordou: “infelizmente, sim”. “Vamos fazendo fiscalizações e apercebe-mo-nos disso. Muitas vezes as empresas vêm ter connosco, querendo cumprir a lei, descrevem-nos os sistemas que têm e o que estão a fazer e percebe-se que estão a fazer mal e corrigem imediatamente o tratamento que estão a dar, ficando em conformidade com a lei [actual]”. Mas assinala: “a angustia maior da generalidade das empresas e até de alguns organismos públicos é que têm consciência que não estão a cumprir a lei actual”.

“[Quando as empresas procuram perceber o que devem fazer] para se preparar para o novo regulamento, quando nos descrevem os tratamentos que estão a fazer neste momento, que sistemas de informação têm, apercebem-se que são sistemas de informação já muito obsoletos” Filipa Calvão (CNPD)

Filipa Calvão assinala que, apesar de não existir um levantamento exaustivo do panorama, será necessário um “investimento substancial em sistemas de informação”.  Como resultado de conversas informais e outras reuniões em que as empresas procuram “perceber o que devem fazer para se preparar para o novo regulamento, quando nos descrevem os tratamentos que estão a fazer neste momento, que sistemas de informação têm, apercebem-se que são sistemas de informação já muito obsoletos”, declarou Filipa Calvão à margem de uma conferência sobre “O Novo Regulamento Europeu de Protecção de Dados”, promovido pela Ordem dos Advogados, que contou com a presença de cerca de uma centena de juristas e advogados. Recorde-se que a CNPD deverá ficará responsável pela fiscalização do cumprimento do novo Regulamento.

“As próprias empresas e organismos públicos dizem que os sistemas têm de ser mudados, porque não dão resposta, não permitem, por exemplo, para fazer os filtros dos dados que são estritamente necessários e deixar de fora os que não são”, descreve a presidente da CNPD. “O sistema tal como está construído já não permite fazer esse filtro, mas como é preciso esse filtro para dar cumprimento ao princípio da proporcionalidade dizem que provavelmente vão ter de investir em nova tecnologia, criar um novo sistema para dar resposta a esta questão”.

“Há necessidade de informar as instituições, os responsáveis pelo tratamento de dados, e de lhes dar a conhecer não somente o novo quadro jurídico do Regulamento, mas também o próprio o quadro jurídico do regime actual”, Manuel Melo (APCiber)

Manuel Melo, presidente da APCiber

Manuel de Melo tinha chamado a atenção para essa questão: “há necessidade de informar as instituições, os responsáveis pelo tratamento de dados, e de lhes dar a conhecer não somente o novo quadro jurídico do Regulamento, mas também o próprio o quadro jurídico do regime actual”. Até porque o novo regulamento trás direitos e obrigações novas, mas não é tudo novo. O regulamento está fundamentado e estruturado num conjunto de direitos que estão estruturalmente estabelecidos desde 1995 ou até antes”, explicou à margem da conferência da APCiber, ao Computerworld.

As empresas devem tomar contacto com o regime jurídico actual e futuro e compreender “conceitos e princípios jurídicos inscritos”, mas também “entender qual é a realidade interna da sua empresa”, explicou o académico. Alguns aspectos são simples como “a alteração das regras de consentimento”. Já o princípio da “demonstração da responsabilidade” ou o novo quadro de auto-regulação “são mais difíceis de compreender de uma forma directa”, o que obrigará a uma grande sensibilização e formação das empresas para tornar simples o quadro complexo do regulamento”.

Sobre o montante a despender com a actualização dos sistemas, Manual de Melo explica que as empresas estão a “colocar o carro à frente dos bois”. Antes de mais têm de saber: com sede no caso concreto devem informar-se e compreender quais vão ser as suas obrigações e a seguir conhecer a realidade actual em termos de dados pessoais e operações de tratamento”. Só a partir desse momento se pode estimar “a dimensão do problema”, conclui o responsável pela APCiber, quer em matéria de alteração dos sistemas quer ao nível da necessidade de contratação de um encarregado de protecção de dados, seja a tempo inteiro ou a tempo parcial.




Deixe um comentário

O seu email não será publicado