Se perdeu o prazo de implementação do RGPD, não está sozinho. A aplicação no contexto real do Regulamento Geral de Proteção de Dados, na maior parte das empresas, não tem sido simples. Aliás, Daniel Reis da PLMJ referiu, antes de 25 de Maio, que apenas 2.5% das empresas se sentia preparada para estar de acordo com as exigências do regulamento.
Logo a seguir a esta data, os gigantes tecnológicos Facebook e Google fizeram parte do grupo dos primeiros casos de incumprimento. Embora a maioria das empresas portuguesas não tenham este tipo de atenção internacional, continua a ser fundamental compreender o que está em jogo no caso de incumprimento. As consequências, para além de outras, estão definidas em 2 níveis de coimas:
No primeiro nível a empresa não tem os seus registos atualizados ou não notificou as autoridades, ou a própria pessoa, em caso de fuga de dados.
No segundo nível, a coima máxima, aplica-se a empresas que não obtiveram consentimento necessário para processar dados, por violar políticas de privacidade ou quebra do próprio RGPD. Em ambos casos vai ser escolhida a coima que tiver um valor mais elevado para a empresa.
Estes níveis representam um controlo mais apertado a todas as empresas que lidam com dados diariamente. Exemplo disso é o RGPD obrigar as empresas a nomear um Data Protection Officer – DPO, naquelas que processam grandes quantidades de dados. Isto vai fazer com que as organizações não tentem só estar em concordância de forma a evitar as coimas, mas também que comecem a ter uma abordagem estratégica a longo prazo.
Para isso, se a sua empresa ainda não está em cumprimento, deve avaliar e desenhar um plano, ou mapa, de ações de forma a perceber que dados tem em sua posse, como adquiriu esses dados, onde guarda esta informação, como é protegida, como e com quem vai ser usada e partilhada.
Cada situação é diferente e implica uma solução adaptada à realidade de cada empresa. Para começar pode iniciar o processo de cumprimento do RGPD com os seguintes passos:
Veja a sua situação e identifique qual é a área com maior exposição que, por consequência, pode por a sua empresa à mercê de uma coima. Faça também o equilíbrio dessa gestão de riscos e dos esforços que vão ser necessários para que este processo seja eficiente.
Classifique as áreas de risco identificadas por tipos de coimas que podem ser aplicadas, deste modo pode dar prioridade às ações mais importantes na implementação do processo.
Regra geral, as mudanças para aplicar o RGPD são em três áreas: Processos, Pessoas e Produtos ou Serviços. É fundamental que avalie os recursos que tem disponíveis e que os aplique de forma eficaz.
Por exemplo, em processos pode significar apenas a integração da opção “Opt-out” no email de newsletters. Se precisar de ajuda fale connosco, temos vários anos de experiência em segurança e desenvolvemos uma plataforma de consentimento com módulos próprios que se adaptam a cada uma destas três áreas.
Neste processo pode também comparar a importância de cada uma das atividades de forma a escolher aquela que tem maior prioridade a nível de risco para a sua empresa.
Crie também um canal de comunicação transversal à empresa. Desta forma vai conseguir agilizar a comunicação entre as equipas e resolver as várias questões do RGPD.
Se a sua empresa ainda estiver no processo de implementação de concordância com o RGPD, este será o plano inicial de ação para tirar maior partido dos recursos que tem disponíveis.