Nos últimos anos, nenhum outro Regulamento, ou Diretiva europeia, mereceu tanto destaque como o recente Regulamento Geral sobre a Proteção de Dados (RGPD).
Este tema tem sido objeto de atenção pelas diferentes áreas funcionais das organizações como a área jurídica, marketing, segurança, SI, DPO, mas também por parte de prestadores de serviços como advogados, consultores, informáticos, seguradoras, entre outros. O tema é, de facto, complexo e multidisciplinar.
Em linha com toda a atuação da TELLES no mercado, abordamos a área da proteção de dados, e mais concretamente as necessidades dos nossos clientes, de diferentes sectores de atividade, com enorme rigor e pragmatismo, contando com uma equipa especializada e com elevada experiência quer na realização de diagnósticos de níveis de cumprimento, quer na implementação de medidas conducentes ao cumprimento do novo regulamento.
Desde o primeiro dia, defendemos uma abordagem holística ao novo Regulamento, que passa por uma análise e intervenção multidisciplinar, que congregue diferentes valências, como a jurídica, a tecnológica e de organização e processos.
Tendo como objetivo disponibilizar aos nossos clientes um serviço integrado, isto é, que permita caracterizar a situação atual e a totalidade das necessidades de intervenção que conduzirão a uma integral conformidade com o novo RGPD, a TELLES desenvolveu parcerias com algumas das mais importantes empresas de consultoria de gestão e SI (nacionais e internacionais), com as quais temos vindo a trabalhar, durante todo o ano de 2017.
Importa, no entanto, tecer algumas considerações sobre o porquê da importância deste regulamento e o impacto que o mesmo terá nas organizações.
Ao longo dos 173 considerandos e 99 artigos deste diploma, destacam-se novas obrigações (em certos casos, de nomeação de um DPO), pesadas sanções por incumprimento (passamos em Portugal de um paradigma de um máximo de coima de 30.000 Euros, para um máximo de 20.000.000 Euros), novos direitos (direito ao esquecimento ou o direito à portabilidade dos dados), mas sobretudo o reforço de um direito, que já existia ao abrigo da Diretiva anterior (Diretiva 95/46/CE): o
Direito à Informação.
Ao abrigo do direito à informação, a pessoa singular, como titular de direitos pessoais, seja na sua qualidade de trabalhador, de consumidor, de internauta, de pessoa titular dos seus próprios dados, passa a poder controlar a utilização que é feita dos seus dados pessoais … o seu a seu dono, dir-se-á.
Ao abrigo do direito à informação qualquer comunicação deve ser feita de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples.
Todos aqueles que recolham dados pessoais, passam a ser obrigados a facultar aos titulares de dados pessoais, todas as informações sobre os dados que são recolhidos, as finalidades do tratamento, o fundamento jurídico para esse tratamento, o prazo de conservação dos dados pessoais, entre muitas outras previstas no regulamento.
O facto de este ónus, de ter que informar, ser colocado do lado do responsável pelo tratamento, vai obrigar a uma reformulação profunda da forma como qualquer empresa encara a proteção de dados. Vai obrigar a que a empresa pare, avalie, identifique e reflita sobre:
Que dados pessoais recolhe, onde é que esses dados estão armazenados, qual a necessidade dessa recolha, qual a sua finalidade e fundamento jurídico, quais os prazos de conservação?Somente após o conhecimento desta realidade, estará a empresa capacitada para traçar um programa de proteção de dados, para os seus trabalhadores, para os seus clientes, consumidores, etc.
O novo Regulamento aplicar-se-á em Portugal, e nos restantes 27 Estados-membros da União Europeia, sem necessidade de qualquer ato de transposição, a partir de 25 de maio de 2018.
Face à extensão do Direito à Informação e a todas as novas realidades do RGPD, é fundamental e urgente que este processo de avaliação e conhecimento da realidade das empresas se inicie já, por forma a identificar as lacunas que têm face às novas regras e requisitos, que lhes permitirá traçar um plano para implementação das medidas necessárias a atingir a conformidade total com o novo RGPD até à data limite estabelecida.
Por Pedro Vidigal Monteiro