Algumas considerações sobre o Regulamento Geral de Proteção de Dados

Um endereço de email do trabalho é um dado pessoal ou é um dado coletivo? É pessoal no sentido em que permite identificar uma pessoa e é coletivo no sentido em que é um veículo de comunicação com essa empresa. Como se deve então tratar um endereço de email do trabalho ao abrigo do novo Regulamento Geral de Proteção de Dados (RGPD)?

A questão parece simples, mas é complexa pois pode vir a ter implicações legais para a sua empresa. O melhor conselho é usar apenas esse email apenas para aquilo que lhe foi dado – se foi para tratar de negócios, então não caia na tentação de colocá-lo na sua mailing list comercial, pois o resultado pode ser negativo para o seu lado.

Este é apenas o exemplo de uma questão que foi colocada ontem, 15 de novembro, durante uma sessão de esclarecimento sobre o RGPD organizado pelo grupo Sendys. A presença de dezenas de representantes de empresas de diferentes segmentos foi por si só uma prova de que este tema ainda desperta muito interesse e continua acima de tudo a suscitar muitas dúvidas.

«O que estamos aqui a falar é uma questão de processos, não é de software. Não é com uma atualização de software que se vai resolver a adaptação destas normas», começou por dizer o diretor executivo do grupo Sendys, Fernando Amaral.

Depois foi explicado porquê. Em bom rigor o RGPD não assenta tanto na alteração de práticas que sejam executadas com software, mas tenta colocar um travão naquelas que são más práticas comportamentais das empresas e dos seus colaboradores relativamente à recolha e tratamento de dados pessoais dos seus utilizadores. Sim, o software pode ajudar a atenuar esta transição, mas o grande problema está mesmo na cultura empresarial.

Segundo a consultora Sandra Veloso, da empresa Data Privacy ON, o novo regulamento é uma questão que deve dizer respeito a todas as pessoas das empresas, desde os executivos e altos quadros até aos profissionais com menores poderes de decisão, mas pelas mãos dos quais passam dados pessoais. Não é necessário que todos sejam especialistas em RGPD, ainda que seja aconselhável que todos tenham pelo menos uma noção deste regulamento.

«Isto acabará por ser uma questão até de marca, vai haver uma certificação específica para isto», defendeu Sandra Veloso.

«Se nós tivermos a consciência da importância que isto tem para o nosso futuro, para o futuro dos nossos filhos, vamos tomar medidas para que os dados pessoais das pessoas sejam efetivamente protegidos», disse depois o advogado Paulo Calçada, da Calçada Advogados.

«As organizações têm de entender que informação pessoal possuem, para que é utilizada, onde e como é armazenada. Depois as empresas precisam de entender o regulamento e garantir que o mesmo é cumprido», acrescentou.

A identificação dos dados é mesmo o primeiro passo que deve ser dado pelas empresas, explicou o gestor de desenvolvimento do grupo Sendys, Rui Batista, na sessão de esclarecimento. Isto acontece pois pode ser um processo muito complexo – os dados pessoais podem estar em papel, na cloud, em dispositivos móveis, em serviços web ou numa folha de excel esquecida numa pen.

«Onde estão as cópias de segurança, quem lhe acede, em que data… é preciso saber mesmo tudo. O próprio controlo de acesso à infraestrutura de TI tem de ser revisto», salientou o especialista da Sendys, que depois deixou alguns conselhos como apostar numa gestão assente na rastreabilidade, acabar com contas de acesso genéricas e implementar permissões para a exportação de dados e até de impressão.

Ainda que estes sejam avisos mais generalistas, são um ponto de partida para a forma como as empresas devem encarar o RGPD. O tempo para o total cumprimento da nova regulamentação está a terminar – o prazo acaba no dia 25 de maio de 2018. Ainda por cima os especialistas de TI das empresas em Portugal são dos que estão menos preparados para o RGPD.

Reproduzimos em baixo alguns pontos destacados na sessão de esclarecimento e que deve ter em conta no entendimento e adoção do RGPD na sua empresa.

A saber

– O que são considerados dados pessoais ao abrigo do RGPD? Todos os dados que possam identificar, direta ou indiretamente, uma pessoa, seja o nome, o email, identificadores eletrónicos, o IP ou até dados biométricos.

– Os especialistas avisaram que argumentos como ‘não tivemos tempo’ ou ‘não tivemos orçamento’ não vão ser tolerados por parte das autoridades competentes.

– A definição de um encarregado de proteção de dados (DPO na sigla em inglês) é um dos aspetos mais importantes. Nem todas as organizações são obrigadas por lei a ter um DPO, mas alguém dentro da empresa deve ser nomeado como pessoa responsável para gerir futuros pedidos de dados por parte dos utilizadores ou para trabalhar com a Comissão Nacional de Proteção de Dados em caso de auditoria.

– O DPO deve ser uma pessoa com alguma independência dentro da organização, mas tendo em conta que em Portugal o tecido empresarial é acima de tudo constituído por PME, então vai existir acumulação de funções. Empresas públicas, empresas com mais de 250 funcionários ou que trabalhem com tipologias de dados sensíveis são sempre obrigadas a ter um DPO.

– O regulamento tem aplicabilidade direta em todos os países da União Europeia e é válido para todas as empresas que operem na UE e para todos os cidadãos. O direito comunitário é aplicável em Portugal e em caso de confronto entre a legislação portuguesa e a legislação comunitária, prevalece a legislação comunitária.

– Os utilizadores podem pedir às empresas, em qualquer altura, informação sobre como estão a ser tratados os seus dados pessoais e este será um dos maiores desafios a enfrentar, pois a médio prazo o volume de pedidos pode ser considerável e difícil de gerir. Em condições normais estes pedidos têm de receber uma resposta no prazo de 30 dias.

– Em caso de violação da privacidade ou do tratamento dos dados, pode um utilizador pedir uma indemnização? Os especialistas dizem que sim, apenas se se provar que houve danos ou prejuízos decorrentes do incumprimento do RGPD.

– A multa para incumprimentos do RGPD pode chegar a 20 milhões de euros ou até 4% da faturação global da empresa, mas as coimas não serão estanques. As entidades terão em consideração diversos pontos de conformidade, pelo que a multa será mais pesada quantos mais destes pontos não estiverem a ser respeitados.

– O regulamento prevê a portabilidade de dados entre empresas caso o utilizador assim o peça. O documento diz também que na transferência dos dados, estes devem ser fornecidos num formato estruturado, de uso corrente e de leitura automática. Os utilizadores apenas poderão exigir a entrega dos seus dados se for tecnicamente possível.

– Procure integrar ferramentas de software que facilitem auditorias técnicas, isto é, que façam um registo detalhado de quem acedeu a que informação, quando e em que circunstâncias. Estes dados podem ser vitais para perceber possíveis incumprimentos do RGPD e ajudam nos processos de auditoria das entidades reguladoras.

---