“Ainda não estamos numa fase muito adiantada da implementação do RGPD”

“Ainda não estamos numa fase muito adiantada da implementação” do Regulamento Geral de Proteção de Dados (RGPD). A frase é de Jesualdo Fernandes, professor de sistemas de informação do ISEG, numa conferência promovida pela Moneris que assinalou o primeiro ano desde a entrada em vigor das novas regras europeias da proteção de dados. O especialista referia-se ao tecido empresarial português.

Numa intervenção sobre o impacto do RGPD na gestão das empresas, durante a conferência A privacidade no contexto dos negócios, Jesualdo Fernandes destacou a importância de as empresas definirem um modelo de data governance. Trata-se de definir “quem tem direito a quê” e “quem decide”, explicou.

Segundo o especialista, a data governance “é a determinação dos direitos de decisão”, de quem as deve tomar de quem deve ser “responsabilizado” pelas que foram tomadas. Advém da “necessidade de cumprimento de leis e regulamentos”, nomeadamente o RGPD, que, na visão de Jesualdo Fernandes, permite efetivamente que as empresas melhorem os seus processos de tratamento de dados.

O professor do ISEG recordou que muitas organizações ainda têm “a perceção” de que o regulamento trata apenas da “encriptação dos dados”, mas alertou que não basta “dizer-se aos informáticos para encriptarem os dados”. Só uma análise mais aprofundada aos dados que estão na posse da empresa e aos processos de tratamento e fluxos internos de dados é que vai permitir “uma correta implementação”.

Isto porque os dados protegidos pelo RGPD não são “apenas os dados digitais armazenados em bases de dados”. “Estamos a falar também sobre as milhares de folhas de Excel espalhadas pelos portáteis” dos colaboradores, ou os currículos “que as empresas recebem por email” — “isso também tem dados pessoais”, avisou o especialista.

“Ignorávamos uma lei que existia desde 1998. O paradigma não mudou”

Eduardo Castro Marques, encarregado de proteção de dados (DPO) da Área Metropolitana do Porto e associado da Nuno Cerejeira Namora, Pedro Marinho Falcão & Associados, admitiu na mesma conferência que a “maior parte” das fugas de dados “ocorrem por falhas humanas”. Sobre qual a principal mudança introduzida pelo RGPD, Eduardo Castro Marques apontou para o novo modelo de “autorregulação” — isto é, são as próprias empresas que têm de garantir o cumprimento das regras europeias.

Interrogado sobre se não existe um “conflito de interesses” pelo facto de o DPO de uma empresa ter de defender os titulares dos dados pessoais e também a própria empresa, o profissional garantiu que “não” e que, neste plano, pouca coisa mudou. “Acordámos agora para uma realidade que existia desde 1998. Os dados sempre foram das pessoas. Nós é que ignorávamos uma lei que existia desde 1998″, disse, referindo-se com ironia a alguma inconsequência da lei pré-RGPD.

“Não vejo que possa haver conflito de interesses”, garantiu, salientando que “o paradigma não mudou”. “O regulamento é muito claro: o DPO reporta à board, tem de ser independente e autónomo, têm de lhe ser dados todos os recursos e não pode ser responsabilizado no exercício das suas funções”, relatou. “O regulamento pretende é assegurar a sua independência. O administrador não lhe pode dizer como é que ele deve dar indicação de determinado parecer”, concluiu.