Desde 2018 que as empresas tiveram de "apertar o cinto" e adotar novos mecanismos no que toca à proteção de dados. A Advocatus foi tentar saber se a proteção de dados é um desafio para os escritórios.
A importância de proteger os dados pessoais das pessoas levou a que fosse criada uma lei na União Europeia (UE). Desde 25 de maio de 2018 que está em vigor o Regulamento Geral sobre a Proteção de Dados (RGPD), que veio definir como deve ser feita a recolha, armazenamento, processamento e gestão dos dados pessoais na Europa.
Apesar do novo regulamento comunitário, os legisladores nacionais sentiram necessidade de produzir normas que concretizassem e executassem o regime geral, surgindo assim, em Portugal, a Lei n.º 58/2019, de 8 de agosto.
Com o RGPD, a vida das empresas e particulares alterou-se substancialmente, mas também veio tornar-se indispensável, principalmente para as empresas que operam internacionalmente. As empresas tiveram de “apertar o cinto” e adotar novos mecanismos no que toca aos dados.
A Advocatus foi tentar saber se a proteção de dados é um desafio para os escritórios de advogados e quais são os mecanismos internos utilizados. Tanto a SRS Legal como a Andersen Portugal consideraram que a dimensão do escritório e o número de clientes é um desafio na proteção de dados.
Silvia de Matos, diretora de KM e IT e compliance officer da SRS, sublinhou que quanto maior o escritório, mais colaboradores, mais clientes e maior é a quantidade de dados a gerir, “tornando a segurança da informação ainda mais crítica”.
“É necessário a implementação de medidas de segurança robustas, como encriptação, controle de acesso, monitorização de atividades e formação aos colaboradores, de modo a mitigar violações de dados e proteger a confidencialidade dos clientes. A SRS Legal, a par de um investimento em recursos tecnológicos adequados, apostou numa cultura de privacidade de dados, onde a proteção é valorizada a todos os níveis”, disse.
A diretora de KM e IT da SRS explicou também que é importante para o escritório ter políticas de privacidade e proteção dos dados, “não apenas pela obrigatoriedade das mesmas, mas porque estabelecem diretrizes claras e transparentes sobre o tratamento dos dados dos colaboradores, parceiros, fornecedores e clientes, sendo crucial a ligação com a tecnologia, pois, a forma como se processa, recolhe e armazena é também, e cada vez mais digital”.
Entre as políticas adotadas pela SRS Legal está a proteção de dados; segurança da informação; exercício dos direitos do titular de dados; privacidade dos colaboradores; resposta a violações de dados pessoais; governo da proteção de dados, bem como um conjunto de outras políticas relacionadas como a política de segurança da rede, de encriptação, de monitorização e auditorias.
Já na Andersen, Mariana Aires de Abreu, sócia, e Tiago Ponces de Carvalho, advogado coordenador, destacaram duas importantes políticas de privacidade de dados que possuem internamente: a de arquivo específica e a de recursos humanos.
“A política de arquivo específica, quer relativa ao arquivo físico, quer da respetiva segurança em nuvem, destinada a proteger toda e qualquer informação confiada pelos clientes. E uma política de recursos humanos destinada a salvaguardar o respetivo comprometimento no âmbito das obrigações derivadas da legislação sobre proteção de dados, designadamente, de caráter pessoal, bem como as decorrentes da salvaguarda do segredo profissional”, explicaram os advogados.
Sobre se requerem apoio externo em algumas questões de proteção de dados, Mariana Aires de Abreu e Tiago Ponces de Carvalho sublinharam que a Andersen não tem sentido necessidade. Ainda assim, em “abstrato”, admitem que poderia justificar-se no âmbito de um ciberataque, “situação, aliás, já ocorrida no âmbito de sociedades de advogados em Portugal”.
“A questão sensível, e central, da proteção do segredo profissional do advogado impõe que qualquer apoio externo neste particular ocorra, no limite, numa situação de perigo como aquela a que, em abstrato, fizemos referência, sendo preocupação central, e excecional, num caso desses a de estancar de imediato qualquer ataque direcionado a informação sensível de determinado ou determinados titulares desses dados que imponha a imediata atuação de uma entidade especialista externa”, acrescentaram.
Também Silvia de Matos considerou que o apoio externo só se justificaria nas situações ligadas à cibersegurança.
Os desafios da proteção de dados
A dispersão de clientes pelas várias geografias do globo pode acarretar dificuldades acrescidas às empresas no que diz respeito à proteção de dados. Silvia de Matos relembrou que dentro da UE existem leis e regulamentos transversais, mas quando os dados saem desta zona existem outras leis e regulamentos sobre o mesmo tema, que “podem ser mais ou menos rigorosos no que diz respeito à privacidade”.
“Torna-se necessário adequar o nível de proteção em função da legislação local e tomar medidas adicionais, se for o caso, como a anonimização dos dados antes da transferência, encriptação durante a transferência ou até mesmo estabelecer acordos detalhados entre as partes envolvidas sobre os dados a enviar”, explicou a diretora de KM e IT da SRS Legal.
Mariana Aires de Abreu e Tiago Ponces de Carvalho defendem que, por princípio, as regras que protegem os dados pessoais continuam a aplicar-se independentemente da localização daqueles. “Tal aplica-se também quando os dados são transferidos para um país que não seja membro da UE. Logo, a questão não é propriamente de “complicação” mas sobretudo de complexificação. E de preocupação constante”, afirmaram.
“A este respeito, é preciso assinalar que a Andersen Global, que integra mais de 2.000 profissionais localizados em 160 países do globo, é particularmente exigente neste tema relativamente a todos os seus membros e/ou associados, tendo implementadas rigorosas regras no que diz respeito à proteção de dados e à respetiva transferência internacional”, acrescentaram.
Mas afinal quais são os maiores desafios dos escritórios de advogados na proteção de dados de clientes e dos próprios profissionais? À Advocatus as firmas apontaram alguns como a utilização adequada de segurança dos dados, ciberataques, adoção de tecnologias confiáveis para armazenamento e até a implementação de práticas de boa governança.
Apontando como um desafio a “utilização adequada e em segurança dos dados”, Silvia de Matos explicou que as transferências de dados “fluem” por diversas plataformas digitais à velocidade que a atividade profissional exige e a “consciencialização dos profissionais” sobre a importância da proteção dos dados a par do “conhecimento das melhores práticas” são essenciais para a mitigação dos riscos e um enorme desafio para as sociedades.
Ainda assim, a diretora de KM e IT da SRS Legal apontou como “maior” desafio a ameaça cibernética. “O salto digital entre 2020 e 2021 acelerou todas as estimativas de produção e troca de dados na Internet, com o home office e outras práticas de trabalho à distância, como espaços colaborativos e partilhados, alargámos o perímetro da área de trabalho, o que antes estava confinado ao edifício do escritório, está agora alargado geograficamente, os dispositivos acedem de qualquer parte utilizando redes próprias, o que logicamente traz maior vulnerabilidade e consequentemente maior propensão a ataques”, referiu.
Silvia de Matos sublinhou que os investimentos em medidas “robustas” de segurança da informação, encriptação, firewalles, sistemas de deteção de intrusões e a consciencialização dos utilizadores das práticas seguras, serão sempre uma “prioridade e um desafio contínuo”.
Já Mariana Aires de Abreu e Tiago Ponces de Carvalho salientaram que os desafios são “transversais”. Entre os apontados pelos advogados da Andersen está a adoção da privacidade como configuração padrão, ou seja, a preocupação de implementar procedimentos que incorporem regras de proteção em todas as tecnologias e processos do dia-a-dia; e a adoção de tecnologias confiáveis para armazenamento, “designadamente escolhendo cuidadosa e adequadamente o provedor de serviços na nuvem”.
“Ainda, a implementação de práticas de boa governança no que diz respeito a acessos, não olvidando que um escritório de advogados com a dimensão da Andersen pressupõe, as mais das vezes, a prestação de serviços multidisciplinares e plurilocalizados, aumentando a sujeição da informação à designada Big Data, o que intensifica a necessidade de uma correta política de tratamento e de acessos”, notaram.
A sócia e o advogado coordenador da Andersen destacaram ainda como desafio o compliance com as normas de proteção de dados, designadamente com o RGPD que é uma “tarefa delicada” e que exige o “acompanhamento rigoroso e contínuo de todos os sistemas envolvidos”.
“No caso particular de uma sociedade de advogados, uma vez que esse acompanhamento depende, não poucas vezes, de apoio técnico no âmbito das TI, e, porventura, da respetiva externalização, isso afigura-se com um risco acrescido para um escritório de advogados considerando, designadamente, as regras deontológicas imperativas no que diz respeito à proteção do segredo profissional. Por outro lado, se essa função de natureza “mais tecnológica” for assegurada internamente, com a contratação de profissionais devidamente vocacionados para TI, então isso sempre acarretará um investimento financeiro muito significativo, o que não deixa de ser, igualmente, um enorme desafio”, disseram
Encarregados de proteção de dados
Não é intuitiva a sigla DPO, mas o que representa é um encarregado de proteção de dados, em inglês Data Protection Officer. Apesar da existência deste encarregado não ser obrigatória, as empresas passam a ter o dever de designar um DPO que assegure a realização de auditorias e sensibilize os utilizadores para a importância da deteção atempada de incidentes de segurança.
Apesar de não preencher os requisitos, nomeadamente quanto ao número de colaboradores, a SRS Legal nomeou Silvia de Matos para exercer estas funções. A responsável fica encarregue de todas as obrigações decorrentes do RGPD, tais como garantir a conformidade com as leis e regulamentos de proteção de dados dentro do escritório, fornecer orientações e aconselhamentos, promover formações obrigatórias, manter os registos das atividades de processamento de dados, incluindo os registos de consentimento, notificar as violações de dados e ser o ponto de contacto com a Comissão Nacional de Proteção de Dados.
Na Andersen Portugal a encarregada de proteção de dados é a sócia Mariana Aires de Abreu.
“Naturalmente, as respetivas “funções” são exercidas não só indo ao encontro das determinações da Ordem dos Advogados a este respeito, designadamente no que à prevenção de conflitos de interesses diz respeito, mas também, e sempre, no estrito cumprimento das regras deontológicas que regulam o exercício da atividade da advocacia, concretamente no que à questão das respetivas incompatibilidades diz respeito. Logicamente, nunca esquecendo que um dos esteios fundamentais da atividade da advocacia é a da salvaguarda do segredo profissional e que, nessa exata medida, parte muito significativa da informação tratada por um escritório de advogados, designadamente, com a dimensão da Andersen, assume, independentemente de quaisquer definições legais, natureza sensível”, sublinharam os advogados da Andersen.
Assine o ECO Premium
No momento em que a informação é mais importante do que nunca, apoie o jornalismo independente e rigoroso.
De que forma? Assine o ECO Premium e tenha acesso a notícias exclusivas, à opinião que conta, às reportagens e especiais que mostram o outro lado da história.
Esta assinatura é uma forma de apoiar o ECO e os seus jornalistas. A nossa contrapartida é o jornalismo independente, rigoroso e credível.
Comentários ({{ total }})
Firmas de advogados atentas à proteção de dados. Ciberataques são um desafio
{{ noCommentsLabel }}