-
tek.sapo.pt, Fátima Caçador
Ao contrário do que muitas empresas e organizações pensam, o dia 25 de Maio de 2018 não é a data de entrada em vigor do “temido” Regulamento Geral de Proteção de Dados (RGPD). É a data para a aplicação da fiscalização. O regulamento já está em vigor e os últimos anos foram considerados como um período de adaptação, embora existam ainda algumas questões a definir em vários países, entre os quais Portugal.
É então a partir de 25 de Maio que a forma como os dados são geridos nas organizações pode ser controlada, e, em caso de incumprimento, é a partir desta data que podem ser aplicadas as milionárias multas que têm assustado meio mundo. 4% do volume de faturação, até um máximo de 20 milhões de euros é um número que realmente é assustador.
“A maturidade das empresas portuguesas para o tema da proteção dos dados pessoais é muito reduzida. A maioria das empresas e das entidades do setor público em Portugal estão atrasadas. Há muitas organizações que ainda não começaram a sua preparação para o Regulamento”, refere Daniel Reis, Sócio Coordenador da equipa de TMT, da PLMJ.
O escritório de advogados tem trabalhado com empresas e entidades do setor público na sua preparação, dando formação, fazendo auditorias, criando programas de compliance, formando DPOs, criando e implementando politicas e procedimentos, e por isso mesmo Daniel Reis tem uma visão bem clara das principais fragilidades e dificuldades nesta área.
Em entrevista ao SAPO TEK, o advogado sublinha que é fundamental que as organizações façam o levantamento da realidade atual, identificando os tratamentos de dados que são realizados, percebendo onde estão os dados, de onde veem, quais as divulgações, mas também identificando os fornecedores que têm acesso aos dados, revendo as condições de segurança física e informática, e os documentos que servem de base à recolha de dados.
“Todas as organizações que tratem dados pessoais têm que se adaptar às novas regras, se ainda não começaram terão de começar o mais rapidamente possível”, avisa.
Com um tempo curto para se prepararem, as empresas enfrentam alguns desafios. E não são só tecnológicos. Daniel Reis aponta a necessidade de criar uma visão horizontal dentro das organizações, até porque “as organização estão organizadas por silos verticais (recursos humanos, marketing, informática, etc.), mas há tratamentos de dados pessoais em todas as áreas”.
Mas a conjugação das valências jurídica, tecnológica e operacional é outras das questões relevantes. “Como conjugar estas valências não é evidente, especialmente em empresas mais pequenas”, explica.
Apesar de existirem ainda algumas áreas a precisar de regulamentação, que deverá ser feita através de um projeto de lei que o Governo está a preparar, isto não deve impedir as empresas de começarem – ou avançarem – nos seus processos de conformidade.
“É expectável que a atividade de fiscalização comece logo no início da aplicação do Regulamento”, explica ao SAPO TEK. “Não obstante, não serão fiscalizadas todas as empresas ao mesmo tempo. A CNPD (como de resto qualquer autoridade reguladora) terá que fazer opções”, admite.
Os valores das coimas são uma das matérias mais relevantes e Daniel Reis acredita que podem atingir valores elevados também em Portugal. “Os valores dependem do caso concreto. Aspetos como o número de pessoas afetado, os dados em questão, o grau de culpa, entre outros serão relevantes para a determinação da medida da coima”, detalha.
Até que valores? “Seguramente teremos montantes de milhões de euros, como de resto já acontece na área do direito da concorrência”, alerta Daniel Reis.
No fim, quem beneficia são os cidadãos. “O sistema de autorregulação criado pelo Regulamento, associado ao valor das sanções, vai forçar as organizações a alterarem a forma como abordam o tema. Os cidadãos vêm os seus direitos reforçados e terão à sua disposição mecanismos mais eficientes para reclamarem e exigirem o cumprimento dos seus direitos”, lembra o sócio e coordenador da equipa de TMT da PLMJ.