“O direito à privacidade é um dos alicerces das sociedades democráticas e desempenha um papel central no que diz respeito ao controlo do poder do Estado – mas também das Organizações – sobre os cidadãos.
A globalização e a rápida evolução tecnológica trouxeram novos desafios no que diz respeito à salvaguarda do direto à privacidade e à proteção de Dados Pessoais: por um lado, as Organizações recolhem cada vez mais dados sobre os utilizadores e clientes, e por outro, uma realidade cada vez mais digital – alavancada na massificação do acesso à Internet, dos modelos de negócio online e da utilização das redes sociais – leva a que a quantidade de informação pessoal partilhada pelos cidadãos não pare de aumentar.
O cidadão como peça central
Esta transformação irreversível tornou urgente a necessidade de preparar Organizações e pessoas singulares para o novo paradigma digital e veio exigir à União Europeia (UE) a criação de uma moldura de proteção adequada e uma harmonização legislativa entre os Estados Membros, no que diz respeito aos modelos e práticas de proteção de dados, através da imposição de novas obrigações, quer para os cidadãos, quer para as Organizações.
Através do Regulamento Geral de Proteção de Dados (RGPD), a revisão das regras de proteção de Dados Pessoais na UE vem assim, trazer alterações expressivas no que toca à materialização destes princípios, reforçando os direitos já existentes e estabelecendo novos direitos. Não menos importante, este Regulamento – centrado no indivíduo e não no prestador de serviço – vem atribuir aos titulares um maior controlo sobre os seus dados, facultando-lhes ferramentas de controlo da sua identidade online e uma efetiva proteção contra o tratamento ilícito dos seus dados, com o objetivo de garantir uma maior transparência nesta matéria.
Apesar de irreversível, esta transformação enfrenta diversos obstáculos
Se a maioria das Organizações já começaram a rever as suas políticas e a trabalhar no sentido de garantir a conformidade com o Regulamento que se tornou obrigatório a 25 de maio, a realidade é que muitas têm enfrentado resistência ou respostas muito aquém do esperado por parte dos seus stakeholders.
Obstáculos como a transformação cultural, o próprio nível de resistência à mudança de cada Organização, as alterações na estrutura tecnológica e processual ou a ausência de uma definição clara da linha de atuação do regulador, tornam a adaptação e implementação do RGPD mais lenta, limitando a atuação das empresas no que toca à conformidade. Contudo, estas alterações são inevitáveis e será uma questão de tempo até que o ecossistema se autorregule, existindo um maior escrutínio entre controladores e processadores.
Este Regulamento deve ser entendido como uma oportunidade para que as empresas revejam as suas estruturas e processos, otimizando-os e melhorando a sua eficiência, ao mesmo tempo que conquistam vantagens competitivas no mercado.
Embora as empresas estejam a avançar a ritmos diferentes, um estudo realizado em março e abril de 2018 pela Agência para a Competitividade e Inovação (IAPMEI) e pela LCG Consultoria, revela que o nível de conhecimento das empresas aumentou significativamente: 11% das empresas inquiridas revelaram conhecer detalhadamente o RGPD contra apenas 4.2% num estudo semelhante realizado em 2017. Muito para além de uma simples questão de conformidade, as Organizações que atribuem ao RGPD uma crescente dimensão estratégica e por isso, identificam a necessidade de aumentar o seu nível de conhecimento neste domínio. Com efeito, este Regulamento deve ser entendido como uma oportunidade para que as empresas revejam as suas estruturas e processos, otimizando-os e melhorando a sua eficiência, ao mesmo tempo que conquistam vantagens competitivas no mercado. Através de uma série de medidas, o RGPD vem criar oportunidades de negócio, impulsionar a internacionalização, promover a inovação e incrementar os níveis de confiança dos consumidores relativamente às empresas, constituindo uma excelente oportunidade para que estas fortaleçam a sua reputação enquanto Organização capaz de tratar os dados dos seus clientes de forma segura.
Segurança dos dados: um projeto que deve envolver toda a organização
Se as Organizações veem agora diminuir a carga burocrática ao tratar os Dados Pessoais sem necessitar de autorização prévia da CNPD, por outro lado, ganham a responsabilidade de repensar a sua estrutura e processos de forma a garantir o cumprimento dos requisitos legais do Regulamento. É que a segurança dos dados já não é uma competência apenas dos recursos técnicos, mas sim de toda a empresa e exige uma abordagem transversal à Organização, com o suporte da Administração e o envolvimento de todos os departamentos. Por esse motivo, é fundamental a implementação de uma Gestão da Mudança capaz de garantir a sensibilização dos colaboradores e a sua preparação para enfrentar os desafios inerentes ao novo Regulamento.
A sensibilização e a formação dos recursos humanos são a forma mais eficaz de prevenir o comprometimento de dados e as fugas de informação.
Esta é uma realidade para a qual cada vez mais empresas estão despertas. Neste estudo realizado com o intuito de promover a sensibilização das empresas em relação ao RGPD – o qual, contou com a participação de mais de mil Organizações, na sua maioria, micro e pequenas empresas -, cerca de 39% das empresas dizem reconhecer a necessidade de reforçar a informação e promover formação para os colaboradores sobre o RGPD e os seus impactos.
A sensibilização e a formação dos recursos humanos – quadros de Administração, quadros executivos e todos os trabalhadores, especialmente os que lidam com Dados Pessoais e sensíveis – são a forma mais eficaz de prevenir o comprometimento de dados e as fugas de informação, já que é através destes dois fatores que a maioria dos incidentes ocorrem. Esta sensibilização é essencial para garantir uma mudança de mentalidade no que diz respeito à salvaguarda da privacidade de Dados Pessoais e à segurança de informação, e é decisiva para as empresas que procurem manter-se um passo à frente das ameaças da transformação digital, mas também da concorrência.
A necessidade de sensibilização é ainda maior se tivermos em conta os dados deste estudo que revelam que 62% das empresas dizem ter conhecimento sobre o Regulamento, mas desconhecer o detalhe, facto especialmente aplicável às empresas de pequena dimensão. Por exemplo, existe pouco conhecimento sobre as penalizações por incumprimento – em aspetos como os valores mínimosaplicáveis, por exemplo -, verificando-se uma expectativa transversal quanto à forma como o legislador nacional irá contextualizar e tipificar as mesmas. Neste aspeto, verifica-se que a ênfase dado às coimas máximas, sem referência a eventuais admoestações ou proibições de tratamento de dados, colocaram a aplicação do RGPD ainda distante da realidade. A ausência de clareza quanto à autoridade de controlo e as suas funções concorre para que as empresas não se sintam conhecedoras ao detalhe, da natureza e enquadramento do novo Regulamento.
Contudo, uma coisa é certa: independentemente do nível de solidez do programa de proteção a considerar por cada empresa e dos detalhes da operacionalização das regras do Regulamento por parte da entidade reguladora, quanto mais cedo as Organizações definirem metas e refinarem os seus processos para alcançar um bom nível de cumprimento do RGPD, maior será a sua vantagem competitiva num cenário em que a transformação digital vem ditar as regras deste novo paradigma do tratamento de Dados Pessoais. O RGPD pode pôr a sua empresa um passo à frente da sua concorrência.”
Filipe Pereira
Coordenador do Simpósio de Inovação Legal e Tecnológica | Fundador do Instituto de Inovação Legal em Português | Head of Digital Lead & Protection at LCG