RGPD, a oportunidade de melhorar os “SI geringonça”

O conceito vigente de proibição de cruzamento de dados alimentou a criação de sistemas de informação (SI) separados, com uma arquitectura dispendiosa de manter e incapaz face a novos desafios, nota Carlos Costa, director de marketing da Quidgest.

Carlos Costa, director de marketing e desenvolvimento de negócio

Os dados pessoais são pessoais. Não são propriedade das organizações. Mal geridos, podem sair-lhes muito caro. Este é o conceito base do novo Regulamento Europeu de Proteção de Dados Pessoais (RGPD/GDPR).

Há dados digitais sensíveis em todo o lado e o número de ativos de informação cresceu exponencialmente, em todas as organizações, especialmente nos últimos anos. Quais os Sistemas de Informação (SI) melhor preparados para assegurar o cumprimento da nova lei?

O que está principalmente em causa no RGPD/GDPR é a proteção do direito humano de privacidade. Dada a crescente percentagem de informação pessoal que passa todos os dias a formato digital, o Parlamento Europeu decidiu e bem, regular e preparar uma punição pesada a quem violar este direito. E, claro, os sistemas de informação, as bases de dados e os arquivos digitais de todo o tipo de formatos são os mais visados, pois estão no centro de tudo.

As coimas podem ir até ao montante astronómico de 20 milhões de euros ou 4% do Volume de Negócios Anual a nível mundial, da empresa ou instituição visada. Esta é uma mensagem muito clara de que o assunto é sério. Não sabemos se irão ser aplicadas de facto estas penalidades em todos os casos e, por via das dúvidas, o melhor é as organizações prepararem-se.

Teoricamente qualquer cidadão europeu terá o poder de impor a empresas e instituições de qualquer dimensão, localização ou ramo de atividade, o adequado tratamento dos seus dados pessoais. É assim o novo RGPD/GDPR e entrará em vigor já a partir de 25 de maio de 2018.

Os dados sensíveis e as responsabilidades

São exemplos de ativos de informação que podem ser sensíveis, gravações de CCTV, chamadas telefónicas, fotos e imagens, documentos digitais ou digitalizados, folhas de cálculo, contatos para ações de marketing e dados estruturados em bases de dados.

Nos processos estaremos a falar, por exemplo, de processamento de salários, recrutamento, contabilidade, relatórios para entidades oficiais, indicadores de gestão, indicadores de desempenho (KPI), emails, convites, notícias, gestão de oportunidades comerciais, tratamento de reclamações, integração ou migração de dados, segurança de acessos e backups.

E relativamente às responsabilidades e gestão de riscos, toda a informação (sensível) existente nas organizações requer classificação quanto à privacidade, classificação quanto à sensibilidade dos dados, atribuição de responsabilidades, revisão de contratos, definição de procedimentos, gestão e mitigação de riscos, aceitação de riscos residuais, avaliação de impactos e mecanismos de controlo.

Os “Sistemas de Informação geringonça”

Todos sabemos que em muitas empresas, desde as grandes multinacionais às PME’s passando pelas empresas e instituições públicas, imperam sistemas de informação diversos, desintegrados, que foram sendo adquiridos ao longo das últimas décadas, na base de serem o melhor do mercado e que contém dados pessoais.

De clientes, de fornecedores, de colaboradores e de parceiros. Nem sempre atualizados e quase nunca sincronizados. O mesmo cliente, colaborador ou fornecedor, poderá ter informações pessoais em diversos sistemas.

Esta ideia de ter os dados pessoais em bases de dados separadas e desintegradas resulta de um velho conceito ético e, depois constitucional, de proibição de cruzamento de dados, em muitas democracias ocidentais. É o caso da nossa.

Teoricamente, o cidadão fica muito mais protegido pois as Finanças não deverão ter acesso aos seus dados de Saúde e vice versa. E essa ideia alimentou e reforçou a criação de sistemas de informação diversos e separados e, portanto, a manutenção de uma espécie de geringonça digital que prolifera hoje na maioria das empresas e organismos públicos.

Além de muito dispendiosa de manter, esta geringonça tem ainda o grave problema de não conseguir dar resposta aos grandes desafios da gestão moderna: Obter dados credíveis em tempo real e poder tomar decisões e atuar sobre esses dados ou sobre as suas causas. Nos sistemas de informação geringonça é muito mais difícil, senão impossível remover, por exemplo, todos os dados pessoais de um cliente ou cidadão que assim o exija, no curto prazo exigido pela nova lei.

E esta lei não é apenas para empresas. Não se trata de aplicar coimas aos privados e gerar mais receitas públicas. O Estado também está incluído e, aliás, deverá dar o exemplo.

A prevenção e o desenrasca

De acordo com um estudo recente de um fabricante de tecnologia de cibersegurança, as organizações portuguesas ainda não estão preparadas para a implementação do Novo Regulamento. A nível global estima-se que dois em cada cinco diretores TI, os principais responsáveis ​​pela implementação da maioria das questões relacionadas com o GDPR, nos seus negócios, sentem-se impotentes para realizar com sucesso as mudanças exigidas.

A nível nacional, especialmente em PME’s e em algumas entidades do setor público, a tendência é para ir adiando ações. O nosso talento latino genético para o desenrasca dá-nos a ilusão que iremos ultrapassar mais este desafio, quando ele chegar, em maio de 2018, mesmo sem grande preparação prévia.

“Os negócios e os clientes estão primeiro” dizia-me, há tempos, um CIO de uma reputada instituição bancária nacional e completava “os reguladores que esperem”. Isso não vai acontecer. É tempo de agir. Quem melhor se preparar melhores frutos irá colher.

A segurança e as oportunidades da mudança

Mais do que contratar bons advogados e depois remendar sistemas e processos, para cumprir uma nova lei, evitando multas pesadas, parece-me que esta é uma excelente oportunidade de olhar para os sistemas e soluções mais rígidos, caros e obsoletos instalados em todas as organizações, aquilo a que chamo geringonça, e dar início a um processo de Transformação Digital a sério.

E nem sempre são necessários grandes investimentos. Apenas alguma coragem. Em algumas situações os valores de manutenção e o risco existente nalgumas aplicações antigas de software são suficientes para adquirir novas soluções mais integradas, mais modernas e mais fáceis de gerir, em termos de acesso e controle dos seus dados.

As soluções desenvolvidas com plataformas ágeis (MDD, RAD, Agile, Low code eNo code) são provavelmente a melhor saída para implementar, de raíz, uma solução global de gestão integrada, mais adaptada às exigências do negócio, sem descontinuidade de serviço.  A criação de provas de conceito rápidas, com o apoio de metodologias modernas de design thinking, focadas essencialmente na valorização do negócio e na satisfação do cliente, é outro exemplo de iniciativas a considerar.

Esta é uma excelente oportunidade de motivar todos os stakeholders a implementar uma Transformação Digital que permita indicadores de gestão em tempo real e o controle dos dados pessoais, sobretudo os mais sensíveis. Outra área de oportunidade é na internacionalização, nomeadamente com os blocos económicos mais sensíveis aos direitos humanos.

Uma empresa em conformidade com o RGPD dará mais confiança e poderá beneficiar de vantagens competitivas. As empresas de desenvolvimento de software nacionais também podem aproveitar mais esta oportunidade de melhor se posicionarem, especialmente no espaço europeu, aumentando as suas exportações.

Em matéria de segurança temos ainda a diretiva NIS, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União Europeia. Esta é uma importante disrupção na atitude tradicional (e, na prática, instituída), face a ataques na Internet. As entidades são obrigadas a publicitar e a medir os ataques de que sejam vítimas, não os podendo esconder ou ignorar.

Em síntese, RGPD e NIS prometem um ano de 2018 agitado e, como sempre, quando há mudanças relevantes nas normas ou nas tecnologias, será mais agradável para algumas organizações (as que melhor e mais rapidamente se prepararem), do que para outras.




Deixe um comentário

O seu email não será publicado