Empresas mal preparadas para novas regras na proteção de dados

Em maio do próximo ano, entra em vigor o novo regulamento europeu para a proteção de dados. Em termos genéricos, as empresas estão mal preparadas para a exigência do novo quadro e os problemas começam logo na capacidade de identificar dados sensíveis.

O tema esteve em destaque num evento promovido pelo SAS em Lisboa, esta quarta-feira, onde se destacou o longo caminho que a maior parte das organizações tem ainda para percorrer, a fim de conseguir estar de acordo com as novas imposições regulatórias europeias na data prevista para a entrada em vigor do regulamento.

O não cumprimento das novas regras dará direito a multas que podem ir dos 20 milhões de euros a 4% da receita anual da empresa que não cumpra. Estabelece limites como a imposição de um prazo máximo de 72 horas para comunicação, a todas as partes envolvidas, de incidentes de segurança que tornem vulneráveis dados pessoais geridos pela organização vítima do problema e cria a figura do DPO (Data Protection Officer), um responsável pela proteção de dados nas organizações. Outra novidade é a limitação da capacidade das empresas para pedirem e usarem dados pessoais, ao fim para que realmente se destinam e com uma janela temporal definida.

Estas são algumas das vertentes mais mediáticas do novo quadro, mas é nos termos mais básicos de alinhamento com o novo regulamento, que residem as maiores dificuldades das organizações na preparação para esta mudança, destacou João Oliveira, principal business solutions manager do SAS.

«A maior parte das empresas desconhece onde estão os dados», muitas vezes guardados em sistemas antigos que nem permitem os níveis de proteção mais adequados. «A inventariação dos dados é o grande problema», acrescenta o responsável. Responder à questão quantos sistemas existem na organização e qual o grau de risco de cada um, ou que valor tem a informação que aí reside, é uma questão difícil de responder para a maioria das empresas. Mesmo nas empresas mais preparadas para identificar toda a informação sensível, do ponto de vista dos dados pessoais, poucas têm todos os seus processos preparados para serem auditados, com a profundidade que a nova legislação vai exigir, admite o responsável.

Mesmo em setores como as telecomunicações, já muito sujeitos a regulação nesta área, o que existe não vai tão a fundo e por isso, mesmo nos setores teoricamente mais preparados, a mudança vai ser grande e os volumes de investimento também, admitiu João Oliveira em declaração ao Ntech.news, à margem do evento. «Vejo isto como A oportunidade do século XXI para muitas empresas reverem os seus processos».

Outro dos grandes desafios da legislação é a figura do Data Protection Officer, um responsável pela proteção de dados, que tem de ser independente do IT e reportar ao conselho de administração da empresa. «É um desafio perceber que competências tem de ter este responsável», admitiu Manuel Melo, presidente da Associação para a Promoção da Cibersegurança e Proteção de Dados. Deve ser alguém com competências na área do direito, mas também da tecnologia e será o rosto da empresa em todas as questões relacionadas com a privacidade, um cargo que Manuel Melo diz ser um dos mais atrativos da Europa neste momento, mas que pode perder glamour quando a legislação entrar em vigor, pelo nível de responsabilidade que acarreta.

«A nova legislação vem pôr o consumidor no lugar do condutor», como destacou Kalliopi Spyridaki, chief privacy strategist Europe do SAS. Troca uma diretiva que já integrava um conjunto de mecanismos de proteção da privacidade com sanções brandas e que muitas vezes faziam com que o crime compensasse, por um quadro mais rigoroso, curto no prazo de execução, mas necessário e exequível, como admite João Oliveira.

A DECO fez-se também representar no evento, onde  Rita Rodrigues, relações públicas da DECO Proteste, aproveitou para anunciar que lança hoje um manifesto para a correta aplicação do novo regulamento. Está disponível em www.osmeusdados.pt e embora esteja direcionada aos consumidores a associação quer envolver também empresas. Aproveitou o evento para lançar o desafio.

O novo regulamento da proteção de dados já está em vigor, mas até maio de 2018 decorre um período de transição que dá às entidades que gerem dados de terceiros, margem para se adaptarem às novas normas sem sofrerem sanções.

---