Como o RGPD mudou a vida de empresas como a EDP, CGD e até o Metro

Se por um lado o Regulamento Geral da Proteção de Dados (RGPD) trouxe aos utilizadores um maior controlo da privacidade dos dados pessoais, por outro trouxe às empresas mais burocracia e encargos financeiros. A alteração da cultura interna das empresas, com a mudança de processos e metodologias, e a contratação de um Encarregado de Proteção de Dados, a pessoa responsável pela proteção de dados (ou DPO na sigla em inglês, de Data Protection Officer) foram algumas das consequências mais significativas da aplicação do RGPD.

O RGPD, aplicável a todos os Estados membros da União Europeia, provocou, há cerca de um ano, alguma agitação no tecido empresarial. As empresas ouvidas pelo ECO fazem um balanço positivo da implementação do regulamento, embora apontem o aumento significativo da sobrecarga burocrática sobre a sua atividade. “Houve uma evidente alteração de processos operacionais nos Contact Centers”, exemplifica Jorge Pires, da Associação Portuguesa de Contact Centers (APCC).

As empresas tentaram preparar-se atempadamente para a entrada em vigor da legislação, sobretudo tendo em conta “a extrema complexidade e variedade do conjunto de normas que engloba uma manutenção de alerta permanente nas suas operações”, sublinha Jorge Pires. Mas, apesar da preparação prévia, Cristina Máximo dos Santos, DPO da CGD, conta que a Caixa também passou pela alteração de alguns processos. “Instituiu-se um modelo de governo para atribuição de responsabilidades nesta matéria e alteraram-se alguns processos de gestão e decisão. A proteção de dados passou a estar envolvida desde a conceção dos produtos e à fase da sua comercialização, de modo a que os clientes percecionem a criação de valor e a qualidade do serviço que a CGD lhes presta”, refere.

Para o grupo Jerónimo Martins a aplicação do regulamento não implicou alterações disruptivas, porque não houve uma mudança significativa dos principais processos, uma vez que que a proteção de dados já era uma preocupação das empresas do grupo. Contudo, as empresas de Soares dos Santos também sentiram um aumento do peso da burocracia. “O regulamento obriga a um maior esforço na documentação de atividades, e por isso mesmo verificamos um peso acrescido no trabalho administrativo e processual”, salienta fonte oficial do grupo de distribuição alimentar.

Para além desta sobrecarga burocrática, a aplicação do RGPD está a ser encarada por algumas empresas como uma oportunidade para mudar a cultura interna. É o caso da Galp. O diretor de assuntos jurídicos da petrolífera refere que esta alteração foi uma forma de “repensar os processos e criar novas formas de negócio em conjunto com os clientes e parceiros”. O que mudou? Rui Neves frisa que o RGPD “acabou por permitir melhorar processos e implementar novas soluções que robustecem a proteção dos dados pessoais”.

É notório que a proteção de dados, face às características da moderna sociedade digital, é cada vez mais um tema de maior relevância social, um pouco por todo o mundo.

A opinião é unânime. Todas as empresas ouvida pelo ECO fazem um balanço positivo, mas têm consciência “que se trata de um trabalho permanente, com inúmeras dificuldades”. “Exige a interiorização de uma cultura mais rigorosa no relacionamento com os titulares dos dados”, acrescenta a DPO da CGD. Também o diretor de organização e sistemas de informação do grupo Lusíadas Saúde, Luís Vaz Henriques, considera que a aplicação do RGPD “não terminou” e que se trata de “um processo de melhoria contínua”.

Apesar da relevância e da maior consciência da sociedade da importância de proteger os dados pessoais, Cristina Máximo dos Santos considera que, em Portugal, continua a ser necessário algum trabalho de sensibilização sobre esta matéria. Na visão da EDP, “o RGPD pretende essencialmente dar, ou devolver, aos titulares um maior controlo sobre os seus dados e sobre a forma como são tratados”. “Neste contexto, genericamente, parece-nos que esse desígnio terá sido alcançado”, defende a diretora de auditoria da empresa, Azucena Hernandez. Para o grupo hoteleiro Vila Galé, “mesmo antes da entrada em vigor do RGPD, sempre houve preocupação em ter infraestruturas informáticas robustas, que garantissem a qualidade dos dados e a deteção de violações, internas ou externas”. As opiniões não se dividem e neste ponto sai reforçada a ideia de que, nos dias de hoje, a privacidade dos dados pessoais é cada vez maior.

O regulamento vem promover maior transparência das empresas face aos titulares, pelo que consideramos que gerou uma maior consciencialização coletiva da importância da privacidade.

Desde que o RGPD entrou em vigor, o Vila Galé, “tem vindo a registar um aumento do número de solicitações relacionadas com o exercício dos direitos sobre os dados pessoais (transparência, acesso, retificação, esquecimento, etc.) e um aumento nos contactos diretos dos nossos clientes com o nosso Encarregado de Proteção de Dados, que acompanha a implementação e manutenção do RGPD”, avança fonte oficial.

RGPD obrigou a investimentos “consideráveis”

As empresas ouvidas pelo ECO reconhecem que o novo regulamento acabou por ter um impacto financeiro e foi necessário realizar alguns investimentos. “Em média, foram consideráveis”, admite Jorge Pires. “Quer no plano do estudo prévio da legislação, quer na consultoria de implementação”, refere.

A encarregada de Proteção de Dados da CGD reconhece que as alterações regulatórias, como é o caso do RGPD, têm sempre impacto financeiro, nomeadamente “os desenvolvimentos informáticos que se fizeram e estão a ser efetuados no contexto da transformação digital”, exemplifica. Na Galp, “o impacto foi significativo, tanto em termos de recursos humanos como de sistemas“, diz o diretor de assuntos jurídicos. E no grupo Jerónimo Martins a aplicação do regulamento também envolveu algum investimento, nomeadamente nas “ações de formação desenvolvidas, na documentação produzida e nas pequenas alterações de processo”.

Na imobiliária Century 21 foi necessário um investimento inicial significativo para adaptar a plataforma informática, formar a rede de agentes e normalizar os templates de documentos utilizados pela marca. “As primeiras semanas foram muito intensas, para conseguirmos as devidas autorizações dos clientes e dos contactos em base de dados, mas sem dúvida que o balanço é muito positivo”, conta o presidente executivo da empresa, Ricardo Sousa.

Já os Metros de Lisboa e do Porto ainda não conseguiram fazer o balanço do impacto financeiro total. “Poderá ser ainda necessário realizar mais investimentos para além dos custos de alocação de recursos internos”, justifica fonte oficial do Metro de Lisboa.

Quase todas as empresas de média e grande dimensão, optaram pela nomeação de um DPO ou, em alternativa, contrataram esse serviço em regime de outsourcing.

Um dos custos inerentes à entrada em vigor do RGPD foi a obrigação — para algumas empresas — de ter um Encarregado de Proteção de Dados ou DPO. Esta figura pode ser nomeada internamente ou contratada. Segundo Jorge Pires, da Associação Portuguesa de Contact Centers, “quase todas as empresas de média e grande dimensão, optaram pela nomeação de um DPO ou, em alternativa, contrataram esse serviço em regime de outsourcing”.

Para além da APCC, empresas como a Galp, o Metro de Lisboa e Porto, a EDP, a CGD, o grupo Lusíadas Saúde, o grupo hoteleiro Vila Galé e o grupo Jerónimo Martins nomearam também um DPO tendo em conta a complexidade da função. Segundo a Encarregada de Proteção de Dados da CGD, a missão de um DPO é de “indiscutível importância”. Tanto para a CGD como para o Metro de Lisboa, “o DPO tem tido um papel muito relevante no desenvolvimento do plano de implementação do RGPD”.

O Grupo Lusíadas Saúde optou por contratar um DPO internacional que acompanha os vários países onde o Grupo UnitedHealth está presente. O Encarregado de Proteção de Dados foi nomeado a partir dos EUA, tendo em conta que é a figura que “mantém um alinhamento entre o RGPD e a equipa que define as políticas de segurança, designada de EIS (Enterprise Infomation Security), onde a implementação do framework internacional HITRUST, agrega além do RGPD outras normas internacionais de segurança da informação e saúde”, salienta o diretor de organização e sistemas de informação do grupo, Luís Vaz Henriques.

O DPO tem tido um papel muito relevante no desenvolvimento do plano de implementação do RGPD do Metro de Lisboa.

Em contra corrente, a imobiliária Century 21 optou por não nomear um DPO. Apesar de a figura não existir, o CEO da empresa refere que “existe um departamento com a responsabilidade de verificação de todo o processo interno”.

As empresas obrigadas a ter um Encarregado de Proteção de Dados são todas as que tratem dados sensíveis em grande escala como atividade principal, todos os organismos públicos “exceto tribunais no exercício da sua função jurisdicional” e empresas que façam o “controlo regular e sistemático” dos titulares dos dados, como é o caso do Facebook, por exemplo.

Comissão de Proteção de Dados, mais que um mero fiscalizador

A Comissão Nacional de Proteção de Dados (CNPD) desempenha um papel relevante, de acordo com as empresas ouvidas pelo ECO. Não só por garantir os direitos dos cidadãos em matéria de privacidade, mas “também por gerar um ambiente competitivo equilibrado entre as empresas através da exigência de cumprimento por todos das obrigações legais de proteção de dados“, conclui o diretor de assuntos jurídicos da Galp.

Seria importante ser definido um modelo claro do que devem ser as evidências num processo de fiscalização.

Já Luís Vaz Henriques entende que o papel da CNPD vai para lá de mero fiscalizador e refere a necessidade de existir uma lista de parâmetros (lista de evidências) a serem auditados. “Seria importante ser definido um modelo claro do que devem ser as evidências num processo de fiscalização”, conclui o diretor de organização e sistemas de informação do grupo Lusíadas Saúde.

A falta de clareza nas regras é reconhecida pela própria Comissão Nacional de Proteção de Dados. Por exemplo, no que diz respeito às clínicas e consultórios médicos não é necessário pedirem aos pacientes consentimento para tratar dados de saúde. “Há uma má compreensão por parte das clínicas e consultórios médicos de que é preciso recolher o consentimento para tratar os dados de saúde. Isso não é verdade”, afirmou a presidente da Comissão Nacional de Proteção de Dados (CNPD), Filipa Calvão, à Lusa, frisando que esses pedidos resultam de uma interpretação errada do RGPD. Apenas se impõe a necessidade de consentimento para o tratamento desses dados para efeitos de ‘marketing’.