10 mitos sobre o regulamento geral de proteção de dados

A perspetiva de penalizações relevantes relacionadas com o novo regulamento geral de proteção de dados (RGPD), aplicável em todos os Estados membros da União Europeia, a partir de 25 de maio de 2018, originou uma enorme procura de apoio por parte de organizações, públicas e privadas, para suportar a implementação de programas que garantam a conformidade. E nunca este tema esteve tão na ordem do dia. A International Data Corporation (IDC) estima que, nos próximos quatro anos, a transformação digital em curso atinja uma escala macroeconómica global, alterando profundamente a forma como as empresas operam e redefinem a economia global. Estamos no amanhecer da economia DX (transformação digital).

A proliferação de ofertas e soluções para ir ao encontro deste desafio torna a escolha ainda mais difícil para as organizações que pretendam assegurar rapidamente a sua conformidade. Este ambiente frenético de corrida contra o tempo tem originado um conjunto de mal-entendidos e de equívocos relacionados diretamente com o RGPD, e que dizem respeito à forma como este novo requisito de conformidade legal se pode e deve alinhar com os esforços de transformação digital, gestão de risco, segurança e privacidade dos dados já em curso nas organizações. Neste sentido, importa clarificar alguns dos mitos que foram surgindo sobre o RGPD e apresentar algumas recomendações de ações que as organizações devem tomar o quanto antes para que seja possível transformar uma ameaça legal numa oportunidade de transformação digital.

Mito #1

O RGPD deve ser abordado da mesma forma que o ano 2000 – A proteção dos dados não deve ser entendida como um destino, mas como uma nova realidade a que as organizações estarão sujeitas num novo contexto digital. Neste sentido, as organizações devem assegurar um ambiente adequado de governança, gestão e operação do seu sistema de informação que garanta que se mantém em conformidade não apenas em maio de 2018, mas também depois dessa data.

Mito #2

Os recursos dos supervisores são escassos, portanto ninguém será apanhado – Em vários países, incluindo Portugal, o facto de não existir ainda uma visão clara do modelo operacional das autoridades supervisoras está a atrasar o correto entendimento do ecossistema. É expectável que exista um alinhamento europeu para um reforço de recursos para as autoridades supervisoras, assegurando a aplicação da lei.

Mito #3

Só as grandes empresas serão investigadas – Embora seja natural o foco das entidades supervisoras em organizações de maior dimensão e indústrias onde o processamento de dados é mais intensivo, é igualmente possível que a estratégia passe por encontrar Organizações onde as infrações sejam evidentes para que possam servir de exemplo.

Mito #4

Os limites máximos de multa nunca serão aplicados – Embora o limite superior das multas seja 4% do turnover global do grupo no espaço da UE ou um máximo de 20 milhões de euros, este aplica-se apenas caso se verifiquem situações severas de não conformidade. No entanto, mesmo que a multa no contexto RGPD seja de 20 euros, as perdas financeiras, operacionais ou reputacionais associadas poderão ser bem mais elevadas.

Mito #5

As não conformidades RGPD estão sobretudo relacionadas com incidentes de segurança – Embora seja verdade que, atualmente, um número significativo das multas relacionadas com o incumprimento de leis de proteção de dados esteja diretamente relacionado com incidentes de segurança resultantes de vulnerabilidades tecnológicas ou humanas, importa destacar que, de acordo com o artigo 85 (5) do RGPD, as multas mais pesadas são aplicadas a situações que violem os princípios fundamentais relacionados com o tratamento de dados pessoais.

Mito #6

Todas os incidentes de segurança devem ser reportadas num máximo de 72 horas – É verdade que um número elevado de ciberataques acaba por comprometer a confidencialidade e integridade dos pessoais das organizações, no entanto apenas nesses casos existe a obrigação de reportar incidentes relacionados com dados pessoais, excluindo-se todas os incidentes de segurança que apenas incidam sobre a dimensão de disponibilidade dos dados.

Mito #7

É mais seguro não reportar os incidentes de segurança – Este tipo de abordagem, para além de não ser ético e totalmente desaconselhado por parte da IDC, não pode ser considerada “gestão de risco”, mas simplesmente “brincar com a sorte”. Na verdade, caso as autoridades venham a saber do incidente por terceiros (ex. queixas de clientes, denunciantes, comunicação social), as multas a aplicar deverão ser superiores.

Mito #8

A encriptação será a principal salvação – As organizações deverão garantir abordagens orientadas ao risco, demonstrando que os riscos residuais são conhecidos e aceites pela gestão como parte da estratégia de gestão de risco corporativo. O regulamento refere inclusivamente que as medidas de controlo deverão garantir um nível de segurança adequado.

Mito #9

O melhor é externalizar as responsabilidades pela proteção dos dados pessoais para uma maior segurança da informação – Embora possa constituir uma forma de não tirar o foco da organização do seu negócio, não reduz a sua responsabilidade em caso de incumprimento. Cada vez mais as organizações terão em consideração os riscos a montante e a jusante da sua operação, procurando fornecedores e parceiros que lhes assegurem níveis adequados de conformidade, em particular no contexto RGPD, mas também de confiança perante os seus clientes.

Mito #10

A localização dos dados não influencia a segurança – A capacidade das medidas de segurança aplicadas, como criptografia, controlos de acesso ou gestão de privilégios, têm mais relevância do que a localização dos dados. Existem, no entanto, outros requisitos de conformidade que influenciam diretamente a proteção dos dados pessoais. No contexto da UE, o RGPD vem reforçar alguns requisitos relacionados com a localização dos dados, sendo um aspeto crítico a ter em conta na avaliação dos riscos por parte de “Controladores” e “Processadores”.

Para o sucesso dos processos de transformação digital em curso, os dados assumem uma posição de destaque, por estarem no centro de qualquer estratégia a definir. Este novo regulamento representa um passo relevante para garantir uma adequação legal aos novos riscos relacionados com a proteção de dados pessoais. Os impactos estimados do novo regulamento são significativos tanto ao nível dos fornecedores como dos clientes de tecnologias, em particular no que refere às responsabilidades que todas as partes envolvidas passarão a ter no processamento e controlo dos dados pessoais. Para as organizações, será essencial recorrer a parceiros com as necessárias competências, sendo que uma das melhores fontes de informação a comunidade de supervisores ou outras entidades que irão intervir ativamente no ecossistema de conformidade do RGPD.

Em última análise o novo RGPD tem a ver com risco. Toda e qualquer decisão tomada pelas organizações na resposta a este desafio deverá ser avaliada, contextualizada e, sobretudo, enquadrada numa visão mais alargada de risco corporativo. Este é um tema transversal à implementação de uma estratégia global de transformação digital, o tema base da próxima edição do IDC Directions, que terá lugar dia 19 de outubro.

Artigo desenvolvido por Bruno Horta Soares IT Executive Senior Advisor na IDC.