“Ausência de formação e de medidas de segurança no RGPD é um cocktail explosivo”

O Regulamento Geral sobre a Proteção de Dados (RGPD) foi aprovado há mais de um ano. É uma lei que veio mudar de forma substancial a forma como as empresas lidam, gerem e protegem os dados dos clientes. Numa entrevista de balanço por escrito ao ECO, Rui Almeida deixa um alerta: “a ausência de formação dos colaboradores das empresas nas temáticas da privacidade e da proteção de dados, mas também nas medidas de segurança de informação, torna-se num cocktail explosivo e potenciador de violações de dados”. O CEO explica ainda o que a Moneris tem feito para ajudar as empresas que ainda precisam de se adaptar a esta nova realidade.

De acordo com aquela que é a vossa experiência no terreno, qual é o balanço que fazem sobre a adaptação das empresas portuguesas à nova realidade moldada pelo RGPD volvido um ano?

No que à privacidade e proteção de dados diz respeito existe claramente, como em tantas outras matérias, refira-se, um país económico a duas velocidades. As empresas de maior dimensão e com mais capacidade financeira têm tido uma maior preocupação com o cumprimento do regulamento, ao passo que as PME têm apresentado alguma dificuldade em compreender e aplicar esta nova agenda de preocupações. No setor público e nas empresas que pertencem ao universo do Estado o nível de literacia é, ainda, incompreensivelmente insuficiente, não tendo em muitos casos sido ainda iniciados os seus programas de conformidade com RGPD. Globalmente, estamos muito atrasados e não se perceciona uma verdadeira consciencialização que coloque este tema na agenda de prioridade das organizações.

Considerando a capacidade de conhecimento que emana dos vossos centros de competência e das vossas equipas de especialistas, qual o principal gap que identificam globalmente no universo das empresas portuguesas?

Um tema que se nos apresenta como absolutamente crítico, e que permanece como uma fragilidade transversal das organizações portuguesas, diz respeito à segurança da informação. Este tema não é reduto apenas das empresas portuguesas, contudo, face ao desconhecimento do regulamento e a uma insensibilidade generalizada para estes temas, torna-se particularmente crítico. A ausência de formação dos colaboradores das empresas nas temáticas da privacidade e da proteção de dados, mas também nas medidas de segurança de informação, torna-se num cocktail explosivo e potenciador de violações de dados.

No setor público e nas empresas que pertencem ao universo do Estado o nível de iliteracia é, ainda, incompreensivelmente insuficiente, não tendo em muitos casos sido ainda iniciados os seus programas de conformidade com RGPD.

E no contexto específico das pequenas e médias empresas?

As PME portuguesas ainda não valorizam suficientemente os temas da segurança da informação. Não conseguiram em muitos casos perceber o valor económico da informação que recolhem diariamente de clientes, fornecedores, colaboradores e outros. Esta desvalorização, daquilo que foi apelidado como o petróleo do século XXI — os dados –, leva-as a não prosseguir, de forma consistente, políticas de gestão de risco e de compliance que as permitam minimizar a probabilidade e impacto de temas como a violação de dados, quebras de confidencialidade, de integridade e de disponibilidade dos mesmos.

Na conferência ‘A privacidade no contexto dos negócios – uma visão transversal sobre o RGPD’, organizada recentemente pela Moneris, um dos aspetos focados foi a necessidade de haver políticas e modelos de data governance nas empresas: quais os principais passos para suprir esse gap?

Os dados são hoje um dos principais ativos das organizações e devem ser geridos como tal. Assim, devem ser definidas políticas e modelos de data governance que sejam basilares, permitindo garantir a legitimidade na recolha de dados; a qualidade dos dados recolhidos; a sua usabilidade e tratamento, nos estritos limites de necessidade de cada função, área ou departamento da empresa; e, a segurança durante todo o período de sua conservação e tratamento. Estas são regras essenciais e um bom ponto de partida para uma adequada cultura de data governance e data management.

E quais as soluções que a Moneris apresenta neste contexto?

Esta nova regulamentação reveste-se de alguma complexidade, representando um desafio para todas as empresas e organizações, públicas e privadas, que terão de implementar ferramentas de controlo e procedimentos específicos para a gestão e proteção de dados pessoais. Mas conformar uma organização ao RGPD pode ser muito mais do que aplicar as novas regras de Privacidade e Proteção de Dados. A Moneris pretende apoiar as empresas com uma visão consolidada da gestão de risco e ulterior qualidade dos seus processos internos.

Para acompanhar as empresas neste desafio, a Moneris reuniu um conjunto de especialistas e parceiros, com experiência e know-how comprovados, para tornar este complexo processo mais simples, apoiando as empresas em toda a linha processual, com um pacote chave na mão. Este apoio inclui:

• um diagnóstico e gap analysis, que permite definir as atividades e processos chave em que está envolvido o tratamento de dados e que deverão ser objeto de análise;
• a elaboração de um plano de remediação, que vise mitigar os riscos e hiatos identificados, entre os processos internos e a sua conformação com os requisitos no âmbito do RGPD;
• o acompanhamento no projeto de implementação, que assegura às empresas o desenvolvimento e execução de medidas corretivas no foro jurídico, tecnológico e processual; e
• assegurar o ongoing, com as funções de DPO as a service, assessorando os Encarregados de Proteção de Dados internamente designados, ou assumindo a função de DPO.

A lei interna foi finalmente aprovada na Assembleia da República e encontra-se para promulgação. Quais são as primeiras impressões sobre este documento?

De facto, a Lei de execução do RGPD foi finalmente aprovada pela Assembleia da República. A Lei enviada para promulgação do Senhor Presidente da República, em algumas matérias, regula em excesso, tendo o legislador deixado por legislar matérias que eram da sua competência. Globalmente o saldo é, ainda assim, positivo e o facto de termos uma Lei de execução permite recolocar este tema na agenda das empresas.

O documento aprovado não inclui a moratória de seis meses para o cumprimento da legislação pelo setor público, errada e em meu entender ilegitimamente pedida por muitos, mas prevê uma exceção para a aplicações de coimas ao Estado durante três anos, em casos que se anteveem e recomendam limites e excecionais, apenas se a CNPD assim autorizar e após expressa solicitação para esse efeito e devidamente fundamentada.

A idade relevada para o consentimento de menores é de 13 anos, sendo que nesta matéria o Regulamento Europeu abria espaço para considerar até 16 anos a idade possível para uma pessoa dar o seu consentimento livre, específico, informado e explícito para tratamento de dados pessoais.

As empresas de maior dimensão e com mais capacidade financeira têm tido uma maior preocupação com o cumprimento do regulamento, ao passo que as PME têm apresentado alguma dificuldade em compreender e aplicar esta nova agenda de preocupações.

Define-se que a recolha de dados biométricos, no âmbito da relação laboral, apenas poderá ser efetuada para fins de controlo de assiduidade e acesso às instalações e a sua utilização obedece a regras específicas e definidas. O acesso a dados de saúde e genéticos apenas pode ser efetuado por profissionais devidamente abrangidos pela obrigação de sigilo e exclusivamente através de meios eletrónicos, sendo que o acesso a estes dados deve ser comunicado ao titular.

A lei de execução nacional define como valor mínimo de coimas cinco mil euros no caso de contra-ordenações muito graves e 2.500 euros para contra-ordenações graves de grandes empresas. Para as pequenas e médias empresas os valores variam entre os mil e dois mil euros.

Em que medida ele facilita ou impõe maior exigência sobre as empresas no que diz respeito ao RGPD?

O Regulamento não é suscetível de ser alterado ou adaptado e como tal a Lei tão somente enquadra a orgânica da sua implementação. Trata-se de uma Lei de execução e, nesse sentido, não traduz uma maior exigência para as empresas, mas apenas dá corpo na legislação nacional ao contexto da sua aplicação.