"o cumprimento das regras e o consequente reforço da segurança no tratamento da informação é fundamental não só para diminuir o risco de aplicação de coimas e evitar pedidos de indemnização pelos titulares dos dados, mas também para assegurar uma boa imagem e reputação de cada organização (...)".
Embora o Novo Regulamento Geral de Proteção de Dados tenha entrado em vigor há 2 anos atrás, em Portugal a maioria das organizações apenas despertou para a complexidade desta questão no passado dia 25 de maio, data em que o RGPD começou efetivamente a produzir todos os seus efeitos.
A consciência da necessidade de assegurar a conformidade com o RGPD é motivada sobretudo pelo pesado regime sancionatório consagrado no normativo comunitário. Contudo, não se pode descurar que o RGPD surgiu com o intuito de conferir maior proteção aos titulares de dados e garantir que cada um de nós tenha um efetivo controlo sobre a informação que nos diz respeito. É esse o princípio norteador que deve estar subjacente a todo o processo de implementação das novas regras de proteção de dados.
Assim, o cumprimento das regras e o consequente reforço da segurança no tratamento da informação é fundamental não só para diminuir o risco de aplicação de coimas e evitar pedidos de indemnização pelos titulares dos dados, mas também para assegurar uma boa imagem e reputação de cada organização. Pense-se nos casos da Deloitte, Panama Papers, Yahoo ou, mais recentemente, da polémica que envolveu o Facebook e a Cambrydge Analitica que causou prejuízos de milhões para as duas empresas e acabou por ditar o encerramento desta última.
O RGPD foi construído à escala europeia e direcionado para organizações de grande dimensão, revelando-se, em alguns aspectos, pouco adequado à realidade de países como Portugal, onde o tecido empresarial é maioritariamente composto por PME. Para estas empresas a implementação do RGPD implica inevitavelmente um esforço acrescido a nível financeiro e organizacional.
No contexto de implementação do RGPD, independentemente de optarem ou não por apoio externo, a preocupação inicial de cada organização deve consistir num mapeamento de todos os dados pessoais com que os seus colaboradores lidam diariamente. Este procedimento deverá ficar a cargo de uma equipa diversificada com conhecimentos funcionais sobre áreas como os HR, IT e Legal. Desta forma, será possível definir, distinguir e segregar todos os processos de tratamento de dados pessoais e, dentro desses, os diferentes fluxos de informação. Este primeiro passo é fundamental, na medida em que servirá de suporte à elaboração de um gap analysis onde se irá diagnosticar e avaliar o nível de compliance e os riscos de cada organização.
Terminado este primeiro passo, será necessário pensar e redefinir os mecanismos e procedimentos internos e adoptar soluções capazes de fazer face às não-conformidades detectadas. Essas soluções poderão ser de ordem informática, documental ou procedimental. Importa referir que este é, talvez, o ponto mais sensível no que toca à implementação do RGPD, dado que cada organização tem as suas especificidades e é imperativo garantir que as soluções implementadas sejam exequíveis no quotidiano organizacional. Em paralelo, deverá ainda equacionar-se a necessidade de realizar acções de formação e sensibilização dos colaboradores, de forma a garantir que a política de proteção de dados pessoais adoptada é transversal a toda a organização.
Por fim, ressalta-se ainda que poderá ser conveniente instituir um plano ongoing que permita a cada empresa medir o nível de adequação e eficácia de todo o trabalho desenvolvido aquando do processo de implementação. Um dos pontos que tem sido descurado tem sido a adopção de regras de processamento para o futuro.
Ora, tendo em conta o exposto, pode concluir-se que garantir a conformidade com as novas regras comunitárias não é tarefa fácil. De facto a implementação do RGPD é na maioria dos casos um processo longo, complexo e dispendioso, porém, imprescindível para diminuir o risco de incumprimento das novas regras e fundamental para assegurar os direitos e garantias de cada um de nós.