Das TOMs ao ESG, 2023 está a ser agitado!

As empresas em geral, e os DPO e Compliance Officers em particular, estão a viver dias agitados em 2023, e tudo indica que esta tendência se manterá.

Em janeiro a Comissão Nacional de Proteção de Dados (CNPD) emitiu a Diretriz 2023/1 “Sobre medidas organizativas e de segurança aplicáveis aos tratamentos de dados pessoais”, ou seja, sobre as “technical and organizational measures” previstas no RGPD, que abreviadamente denominamos por TOMs.

Alerta a CNPD, e bem, que uma das principais causas para os ataques informáticos que afetam dados pessoais é “a ausência de consciencialização dos responsáveis pelos tratamentos quanto aos riscos para os direitos dos titulares dos dados que a falta de investimento em mecanismos de segurança acarreta” e que “as consequências para os direitos dos titulares dos dados poderiam ter sido senão evitadas, pelo menos substancialmente reduzidas”.

Perante este cenário a CNPD estabelece o que deve ser entendido como uma baseline geral, sem caráter exaustivo, transversal a todas as entidades que tratam dados, (sem prejuízo, por exemplo, de regimes específicos para o sector público como a Resolução do Conselho de Ministros n.º 41/2018 ou setoriais como a Lei n.º 12/2005 relativa à informação genética pessoal e informação de saúde) e que vão desde o disaster recovery até à conservação do papel em local com controlo de humidade e temperatura, passando pelo multi-factor authentication e por “garantir a inserção dos endereços de correio eletrónico dos destinatários no campo ‘Bcc:’, nos casos de múltiplos destinatários”.

Se para muitas organizações, nomeadamente as que tratam dados sensíveis, como os de saúde, esta baseline é manifestamente insuficiente e o nível atual de maturidade na proteção de dados pessoais é já muito superior, também não se ignora que para muitas PMEs as TOMs são ainda olhadas apenas como um custo em que os decisores não veem qualquer retorno de investimento. Isso terá obrigatoriamente de mudar pois os “mínimos olímpicos” que a CNPD exige estão claríssimos na Diretriz.

Simultaneamente, o compliance de Environmental, Social and Governance (ESG) está a braços com um novo desafio. A 1 de janeiro entrou em vigor a German Supply Chain Due Diligence Act (GSCA) por ora aplicável a organizações com mais de 3 mil trabalhadores, valor que baixará para mais de mil já em 2024, mas já em fevereiro de 2022 foi aprovada a proposta de Diretiva da UE sobre Corporate Sustainability Due Diligence e esta será, após se tornar final e transposta para todos os Estados-Membros, aplicável a organizações com mais de 500 trabalhadores (ou mais de 250 em sectores mais impactados).

Em termos práticos, os dias das cláusulas contratuais para “emoldurar” a assegurar o respeito pelos direitos humanos como a proibição de recurso a trabalho infantil e a assegurar que as normas ambientais serão cumpridas, terminaram. Será necessário auditar e fiscalizar os fornecedores nas cadeias de distribuição para validar que cumprem efetivamente e, se necessário, até visitar as suas instalações nos países de origem.

Com multas de 8 milhões de euros ou 2% do turnover e exclusão de participar em concursos públicos, responsabilidade criminal (na atual legislação dos Países-Baixos, aprovada, mas não em vigor, e da Suíça, já em vigor) e responsabilidade civil direta dos administradores das empresas, são normas que revolucionam todo o mercado e afetam qualquer organização que queira trabalhar à escala global.