Desafios do novo RGPD para as PME

Os requisitos impostos pelo regulamento são iguais para todas as empresas e organizações, os direitos dos utilizadores são maiores. Luís de Sousa Machado, director da Qualidade, Ambiente e Segurança da Ar Telecom, resume detalhadamente.

Luís de Sousa Machado, director da Qualidade, Ambiente e Segurança da Ar Telecom

Em Maio do próximo ano, entrará em vigor o Regulamento Geral de Protecção de Dados (RGPD) que apresenta um âmbito mais amplo e punições mais severas do que o Directiva de Protecção de Dados (Directiva 95/46/EC), actualmente em vigor, para quem não cumprir com as novas regras para a protecção de dados pessoais.

O RGPD traz às pessoas mais direitos sobre a sua informação pessoal (o direito a “ser esquecido”, o direito de saber quando a privacidade dos seus dados é violada e o direito de exigir o seu consentimento explicito para o processamento desses dados), direitos esses que se traduzem em deveres acrescidos para as empresas, que têm de proteger eficazmente essa informação.

O RGPD aplica-se a todas as empresas e organizações cuja actividade ocorre na União Europeia, independentemente do seu tamanho e volume de negócios, e que controlam e/ou processam dados pessoais de cidadãos europeus ou de cidadãos não europeus que estão ou estiveram na União Europeia e cujos dados pessoais foram recolhidos durante a sua estadia, mesmo se o processamento desses dados ocorrer fora da União.

Os requisitos impostos pelo regulamento são iguais para todas as empresas e organizações. Contudo, para aquelas que processam grandes volumes de dados e/ou dados pessoais sensíveis, o regulamento impõe obrigações mais exigentes, como seja, por exemplo, a realização de avaliações do impacto da protecção de dados ou a nomeação de um DPO (Encarregado de Protecção de Dados).

Se o conceito de grande volume de dados não está quantificado no regulamento, já o conceito de dados pessoais sensíveis está bem delimitado, sendo que o RGPD alarga o conceito da Directiva de Protecção de Dados sobre dados sensíveis, com dados genéticos e biométricos.

As empresas e organizações deverão ter em consideração que o RGPD, sendo um regulamento, não tem de ser transposto para a legislação nacional, pelo que estará em vigor a partir de 25 de Maio de 2018. Importa recordar que alegar a sua ignorância não constituirá defesa para o não cumprimento do que nele está estipulado.

Imposições mais significativas do RGPD nas PME

Talvez uma das maiores alterações com que a maioria das PME vai ter de lidar diz respeito ao consentimento dado pelos indivíduos para o processamento dos seus dados pessoais. O regulamento impõe que o consentimento não pode ser inferido (como, por exemplo, através de uma caixa pré-seleccionada) exigindo que este seja dado através de um acordo explícito e que as empresas mantenham registos auditáveis desses consentimentos.

Mais, o regulamento dá a cada indivíduo o direito de revogar o consentimento, em qualquer altura, de forma fácil e rápida, e esta revogação implica que todos os seus dados pessoais devam ser total e definitivamente apagados (das bases de dados operacionais, dos backups e da infra-estrutura de DR (Disaster Recovery), se existir. O RGPD confere ao indivíduo o direito a ser esquecido.

Dá-lhe ainda o direito de rectificar os seus dados em qualquer altura, o direito de restringir o seu processamento e, nalgumas circunstâncias, o direito de exigir que os seus dados pessoais sejam portados para si ou para terceiros, em formato máquina legível.

O novo regulamento requer também que as empresas, na altura da recolha dos dados pessoais, informem os indivíduos, de forma clara, concisa, transparente, inteligível e facilmente acessível (especialmente se o indivíduo for  menor de idade) sobre a forma e propósito do processamento, do intervalo de tempo em que os seus dados serão armazenados e de alguns dos seus direitos (por exemplo o direito a retirar o consentimento). 

As empresas têm o dever de reportar à autoridade nacional competente (julga-se que será a CNPD), num prazo de 72 horas, qualquer violação de segurança envolvendo dados pessoais junto com medidas de como se propõem mitigar as eventuais consequências. Devem ainda informar os indivíduos detentores dos dados violados dessa violação.

O RGPD impõe a obrigação de “privacy by design and by default”, o que quer dizer que as empresas devem ter em conta a privacidade dos dados ao longo de todo o seu ciclo de vida na empresa (recolha, armazenamento, processamento e destruição) implementando medidas técnicas e organizacionais apropriadas, tendo em conta o estado da tecnologia e os custos de implementação, para assegurar que, por defeito, apenas os dados pessoais necessários para cada propósito específico de processamento sejam efectivamente processados.     

Outro ponto importante do novo regulamento e que tem impacto directo em muitas PME é o de, pela primeira vez, as empresas que processam dados pessoais (empresas processadoras) em nome de empresas terceiras (empresas controladoras dos dados) terem obrigações directas perante estas, que incluem manter um registo escrito das actividades de processamento que realizam em seu nome, designar um DPO quando necessário e notificar, sem atraso, a empresa terceira sempre que detectarem uma violação dos dados. Assim, o novo estatuto das empresas processadoras de dados tem impacto directo na forma como a protecção e privacidade dos dados pessoais é abordada nos contratos comerciais e de outsourcing.

O que devem fazer as PME?

Estas imposições por si só mostram quão exigente o novo regulamento é para todas as empresas e organizações, em particular para as PME, que têm, normalmente, menos recursos e capacidade financeira.

O regulamento obriga as PME a saber exactamente os dados pessoais que guardam e onde estão guardados (seja em PC, em servidores internos, em servidores externos por contratos de outsourcing ou na Cloud) e a terem implementados procedimentos que assegurem a sua completa remoção quando existe um pedido nesse sentido. Protocolos de monitorização devem ser capazes de reconhecer e actuar em violações de informação logo que estas aconteçam e devem ter planos de contingência para lidar com os eventuais danos.

Preparar-se para tudo isto é uma tarefa árdua e requer que as PME comecem por realizar, quanto antes, uma auditoria completa às suas políticas, processos e procedimentos de negócio e uma avaliação da sua infra-estrutura tecnológica para avaliarem o grau de conformidade actual com o RGPD e identificarem o fosso entre o seu estado presente e o exigido pelo regulamento. Com base nas lacunas identificadas devem aprovar um orçamento e definir um plano de implementação das medidas necessárias para as eliminar, em tempo útil.

Mas atenção! A conformidade com o regulamento não é o resultado de uma actividade one-shot, mas antes o resultado de uma gestão contínua dos sistemas de protecção de dados. As empresas devem rever e actualizar regularmente os processos, procedimentos, políticas e sistemas de TI, de modo a adaptarem-se às alterações do negócio, legais, regulatórias e tecnológicas que, entretanto, vão ocorrendo.

Não é credível que a grande maioria das PME estejam aptas a dar os passos necessários à conformidade com o RGPD sem o envolvimento, em maior ou menor grau, de especialistas.




Deixe um comentário

O seu email não será publicado