Empresas portuguesas têm de colocar a segurança nas agendas

As empresas que procedam ao tratamento de dados pessoais no espaço da União Europeia (UE), mesmo que estejam sediadas fora da UE, têm cerca de um ano para se adaptarem às novas exigências do Regulamento sobre Proteção de Dados Pessoais.

Aprovada em maio de 2016, a nova legislação dá novos poderes aos cidadãos, que passam a poder exercer o seu direito de não permitir que os seus dados sejam utilizados e exigir que sejam definitivamente eliminados. Da mesma forma o dono dos dados passa também a poder solicitar a portabilidade dos seus dados pessoais, o que facilitará os processos de mudança de prestadores de serviço, por exemplo.

Embora a necessidade de pedidos de autorizações de tratamento de dados à Comissão Nacional de Proteção de Dados (CNPD) seja eliminada, as empresas passam a ser confrontadas com novos requisitos de processamento de informação, que a não serem cumpridos podem dar origem a multas avultadas, que podem atingir os 20 milhões de euros ou 4% do volume anual de negócios consolidado.

A aplicação deste Regulamento requer uma adequada interpretação, sobretudo para as organizações, devido a todos os riscos que este tema acarreta e os impactos que tem ao nível do programa de seguros. Carlos Figueiredo, diretor de Specialties da Marsh, afirma que para isso, «todas empresas têm de colocar, neste momento, a privacidade e a proteção de dados nas suas agendas, avaliar as implicações do regulamento nos seus negócios e implementar as alterações necessárias».

Segundo um estudo recente da Marsh, 51% das empresas portuguesas consideraram a fuga de informação de clientes como uma das maiores ameaças num cenário de perda cibernética. Com base neste cenário, Carlos Figueiredo recomenda que as empresas façam «um mapeamento dos processos implementados internamente ao nível da proteção de dados, identificar a tipologia dos dados que trata e, identificar as medidas de proteção em vigor na sua organização».

---