RGPD

4 meses depois da entrada em vigor do novo Regulamento Geral de Protecção de Dados (RGPD), pedimos a 6 oradores do evento "RGPD: O Estado da Nação" que comentassem a situação actual.

Conheça as suas perspectivas.

 

João Queirós, Senior Manager de Business Consulting da Askblue

"Com cerca de 4 meses de vigência plena do novo Regulamento Europeu, não existe ainda legislação específica para a sua execução no território nacional, estando por isso a Lei 67/98 em vigor em tudo o que não contrarie o RGPD.

Se excluirmos da análise, entre outros, os desafios que emergem do reforço dos direitos dos titulares dos dados ou os que resultam do novo paradigma de responsabilização na cadeia de valor, os desafios primordiais em matéria de protecção de dados pessoais – mas que, por diversos motivos, porventura não são os inicialmente percepcionados como tal – deveriam estar em torno da definição e implementação das medidas de segurança da informação (e, em particular, as que se direcionam para a proteção de dados pessoais) alinhadas com a gestão de risco no seu contexto sectorial, organizativo, processual e tecnológico. As ameaças e as vulnerabilidades são distintas de organização para organização, bem como a natureza e o valor dos seus activos de informação. “Qual o modelo de governo da informação mais adequado no seio da minha organização?” Esta será possivelmente a interrogação que os gestores de topo procuram ou deveriam estar a procurar responder para agir, ou ensaiar para confirmar, na perspectiva de captar esta oportunidade de obtenção de benefícios, a médio e longo prazo, de eficiência, diferenciação e inovação."

 

Magda Cocco, Sócia responsável pelas áreas de Telecoms, Privacidade, Dados Pessoais & Cibersegurança da VdA

“O trabalho de consultadoria jurídica no domínio do RGPD continua bastante intenso. Estão ainda em ainda curso vários programas de compliance em diversos sectores de actividade, temos recebido um número significativo de pedidos de assessoria relacionados com “violações de dados pessoais”, para elaboração de “privacy impact assessments”, negociação de diversos tipos de contratos que envolvem dados pessoais, entre outros. Alguns sectores começaram também a trabalhar na elaboração de códigos de conduta – um instrumento que ganha relevância no contexto do RGPD - e na análise da compatibilização do RGPD com diplomas sectoriais específicos.”

 

Miguel Jacinto, Chief Information Security Officer & Data Protection Officer do Eurobic

“Nesta fase em que boa parte das empresas passaram já pela fase de Assessment e de definição das iniciativas a implementar, muitas estão a entrar numa espécie de fase 2 da implementação do RGPD. Ou seja, numa primeira fase a generalidade das organizações garantiu quer a parte documental relativa a normas e políticas essenciais à implementação do Regulamento, quer à parte inerente à garantia do exercício dos direitos dos titulares dos dados, que era o que levantava mais preocupações à data de aplicação do Regulamento.

Nesta segunda fase muitas empresas estão já a olhar para a automatização de determinados processos relativos a medidas técnicas para o cumprimento do Regulamento. Questões relativas à área de segurança da informação estão a entrar na ordem do dia face aos avultados investimentos que, em algumas situações, serão necessários.

Do ponto de vista da gestão das pessoas, e numa fase em que as empresas voltam ao ritmo normal após o período de férias, começam os verdadeiros testes de afinação e de funcionamento aos novos processos de negócio e, consequentemente, das novas formas de tratar dados pessoais. Iniciam-se também, em muitas organizações, as sessões de formação aos colaboradores permitindo, a quem tem de utilizar dados pessoais no seu dia-a-dia, uma maior compreensão do alcance das novas regras e o seu impacto nos processos de negócio.

Por último as organizações têm também pela frente, nos próximos meses, enormes desafios regulatórios que podem dificultar seriamente algumas tomadas de decisão em termos de investimentos em protecção da informação, nomeadamente nas áreas de recursos humanos, processos e tecnologia. Para além de alguma legislação nacional que ainda aguardamos por forma a clarificar algumas interpretações do Regulamento, quer a Banca quer outras áreas da economia terão pela frente, nos próximos meses, uma instabilidade regulatória significativa que em muito dificulta a estabilização das regras de negócio e a afinação dos processos de segurança de informação das organizações. Para além do RGPD, por exemplo a PSD2, a nova CRC, DMIF II e o regime jurídico do ciberespaço são alguns dos exemplos disso.”

 

Mariana Sousa, DPO do grupo José de Melo Saúde

“Na José de Mello Saúde a protecção dos dados de clientes e colaboradores faz parte dos valores da empresa e daquilo que é a prática deontológica da própria actividade de prestação de cuidados de saúde. Assim, a entrada em vigor do RGPD foi entendida de forma muito positiva, tendo levado a que todos os envolvidos, quer na prestação de cuidados de saúde - Auxiliares de Acção Médica, Técnicos, Enfermeiros, Médicos - quer ao nível da gestão e da própria Comissão Executiva, considerassem os desafios da implementação deste normativo uma oportunidade de aprimorar uma preocupação que sempre existiu na organização.
A maior dificuldade sentida nestes primeiros meses de vigência do RGPD tem sido a indefinição legal em algumas matérias - como é o caso da regulação da relação com as entidades seguradoras - e o desconhecimento dos titulares dos dados face ao modo como, em saúde, se podem aplicar os direitos subjacentes ao RGPD. Estamos, porém, cientes de que este caminho se faz caminhando e convictos de estar a percorrê-lo com a atenção que dados tão sensíveis como estes, que todos os dias protegemos, requerem.”

 

Luís Lopes, IT Strategy & Operations Manager da Procensus

"Neste momento, passado que está o dia 25 de Maio de 2018, encontramos três tipos de realidades distintas.

Uma primeira realidade, reflete as organizações preocupadas com o RGPD que tipicamente realizaram um diagnóstico atempadamente, no qual foram identificadas as principais não conformidades e as acções a implementar para obtenção de conformidade face ao Regulamento. O plano de acção decorrente do diagnóstico, tem complexidades diferentes de organização para organização, sendo que a maior parte das empresas não conseguiu, naturalmente, ter todas as acções implementadas no dia 25 de maio. Neste sentido, para este tipo de organização, os trabalhos atuais relacionados com o RGPD são essencialmente de continuar a implementação das acções, tais como desenho ou revisão de processos, políticas e procedimentos, ajustes organizacionais, implementação de soluções de segurança da informação, ajustes a software, entre outros. Dado que nem sempre existe capacidade interna de implementação, muitas vezes estas organizações têm recorrido a entidades externas para acelerar a implementação.

Outra realidade são aquelas organizações que tiveram preocupações com o RGPD, mas que foram mal assessoradas e não definiram acções robustas/ correctas que permitam a obtenção de compliance. Normalmente, estes casos surgem em organizações que evitaram a realização de um diagnóstico e avançaram para uma solução chave na mão para obtenção de compliance com o RGPD, solução que dificilmente resulta porque é parcial ou desadequada por falta de contexto/ análise da realidade da empresa. Nestes casos, as organizações estão confiantes que têm este processo controlado, mas efetivamente podem existir lacunas, algumas mais graves que outras.

Por fim, uma outra realidade que congrega um conjunto de organizações que, dado que não verificam divulgação de um elevado número de escândalos com consequências desastrosas (i.e. aplicação de coimas máximas), desvalorizaram cada vez mais a conformidade com o Regulamento. Neste tipo de organização, incluem-se as que ainda nada fizeram em relação ao tema, bem como algumas que até já encetaram algumas ações, mas que, erradamente, não lhes estão a dar sequência. Existe para estes, um sentimento de que afinal a montanha pariu um rato e que afinal não vão haver grandes consequências. Afinal a história das coimas avultadas não será real e o RGPD não vai para a frente!

Este tipo de organização corre um risco efetivo, no nosso entender, elevado. Isto porque, apesar de não haver grande divulgação de escândalos que deixam todos de sobreaviso, não invalidada que não venham a haver violações de dados, detentores de dados pessoais a realizar queixas à CNPD, existência de entidades externas que exigem a conformidade com o Regulamento, entre outras.

Neste sentido, é nosso entender que a conformidade com o RGPD é algo que deve estar nas prioridades das organizações. O tema é real e quanto mais for adiado o processo de compliance com o Regulamento, tanto mais difícil será o futuro. E quanto mais este tema for adiado, menor será a capacidade de reação, sendo que eventuais problemas futuros nesta temática, podem impactar fortemente ou mesmo ditar o fim de organizações."

 

Cristina Francisco, Head of Product Marketing da SAGE

"Passados quase 4 meses da entrada em vigor do RGPD parece que não aconteceu nada…

As empresas deveriam ter começado a preparar o dia 25 de Maio com antecedência, mas em vez disso ficaram perdidas na quantidade de informação ou desinformação à volta do tema. A medida mais fácil de implementar foi o envio de email ou sms a pedir consentimento para continuar a ”trabalhar” da mesma forma, mas com a salvaguarda da autorização do Cliente.

Após a entrada do RGPD no dia 25 de Maio tivemos um período de aproximadamente uma mês em que as empresas pediram a ajuda da Sage para terem uma solução imediata para cumprir o RGPD, para conseguirem gerir consentimentos e para conseguirem perceber se o RGPD se aplicava ou não ao seu negócio entre muitas outras questões.

Na Sage continuamos a ter este tema na ordem do dia, sabemos que a maioria das empresas deixou de se preocupar com esta questão. Gostávamos de sugerir que aproveitem este “tempo de pausa” para reverem os vossos processos internos de tratamento de dados pessoais e validarem se estão em conformidade com o regulamento e se os vossos colaboradores estão a cumprir os processos definidos e recordar que podem consultar informação disponível no site da Comissão Nacional da Proteção de Dados."

Saiba como fazer parte da rede da Câmara de Comércio

 

Torne-se nosso associado