O que significa implementar o RGPD numa empresa ?
Estamos a pouco mais de 7 meses da entrada em vigor do RGPD (Regulamento Geral de Proteção de Dados). O principal objetivo deste novo regulamento é proteger a privacidade dos dados pessoais, cuja segurança tem vindo a ser diariamente posta à prova num mundo cada vez mais digital e globalizado alimentado pela Internet. Para que possamos todos usufruir deste novo mundo em segurança, há que revisitar regras e criar novos regulamentos que nos permitam lidar com novas realidades. Já tivemos vários exemplos de roubos de dados pessoais de grandes empresas, em que os principais e únicos prejudicados são os respetivos titulares. Fazendo uma rápida analogia com uma outra realidade desregulada, temos o caso dos drones nos aeroportos que só ainda não causaram uma tragédia por mero acaso.
O que mais assusta no RGPD são as elevadas multas, que, ao serem aplicadas como estão no regulamento, podem encerrar mais de 90% das empresas portuguesas. Por isto mesmo, vivemos uma fase inicial em que este assunto era um problema das grandes empresas, mas, com o passar do tempo , alguns esclarecimentos e linhas orientadoras que foram surgindo, percebeu-se que não se tratava um problema exclusivo das grandes empresas, bem pelo contrário. De facto, o fator determinante de abrangência está naturalmente relacionado com os dados pessoais. Isto significa que, de uma forma muito simples, se uma empresa processa dados pessoais, estará muito provavelmente obrigada a implementar o RGPD.
Dito isto, chegamos à questão que se coloca hoje à grande maioria das empresas portuguesas; o que significa implementar o RGPD ? Pois bem, implementar o RGPD é em tudo semelhante à implementação de um sistema de qualidade baseado em qualquer norma ISO. A mais conhecida e com mais empresas certificadas será muito provavelmente a ISO 9001, mas existem outras, entre as quais surge a ISO 27001 que tem muitos requisitos diretamente aplicáveis ao RGPD. Em termos gerais, uma empresa que já detenha uma certificação ISO 27001 tem 70% da implementação do RGPD feita. Partindo deste princípio, parece ser simples, até porque a implementação destes sistemas de gestão de qualidade já se fazem há bastante tempo. Contudo , a realidade é que a implementação é geralmente dispendiosa e a manutenção é difícil de gerir pela maioria das empresas portuguesas. Esta também é uma das razões pelas quais a maioria das empresas portuguesas ainda não tem qualquer sistema de qualidade implementado. Paralelamente, a grande diferença entre a qualidade e o RGPD reside precisamente no facto deste último passar a ser obrigatório a partir do dia 25 de Maio de 2018, e não uma mera opção para melhorar a organização e credibilidade de uma empresa.
Continuando a seguir esta linha de raciocínio, a partir do momento em que a preocupação do RGPD já começa a estar instalada nas empresas, começam a surgir os fabricantes de soluções de gestão e segurança para TI que oferecem produtos conformes com o RGPD. De facto, existem muitas soluções no mercado que ajudam efetivamente a aumentar a segurança e são uma chave importante para manter a robustez e a confiança de qualquer empresa. Contudo, importa lembrar que as casas não se começam a construir pelo telhado, e que todas estas soluções não vivem sozinhas porque têm de responder a um sistema de gestão do RGPD para que a casa esteja completa. Se assim não for, não há casa (ou só existem algumas telhas) e a empresa chumba automaticamente em qualquer auditoria que seja feita. A implementação de um sistema de gestão do RGPD implica uma análise à organização e processos da empresa no que toca a dados pessoais. Alguns exemplos podem ser contratos de funcionários e acessos às respetivas informações pessoais, contratos com fornecedores, identificação de todos os processos da empresa que tratam dados pessoais, controlo e registo de acessos aos dados pessoais, entre muitas outros. E, não esquecer a implementação de um bom registo de evidências como parte integrante de um sistema de gestão do RGPD.
A “Proteção de Dados” tem estado a desenvolver um profundo conhecimento desta matéria e presta serviços de consultoria e implementação do RGPD à medida de cada empresa. Por outro lado, conscientes das dificuldades de orçamento com que se debate a maioria do tecido empresarial português, está disponível um workshop cujo tema é “Aprenda a implementar o RGPD”. O desafio deste evento é fazer com que os participantes voltem às suas empresas e iniciem o processo interno de implementação do RGPD.