Por: Elsa Veloso, fundadora e CEO da DPO Consulting
Instituído em 2006 no Conselho da Europa, o Dia Internacional da Privacidade de Dados tem ganho dimensão a par com o tema, e surge como mote ideal para uma breve reflexão sobre a maturidade do tecido empresarial português nesta área.
O Regulamento Geral de Proteção de Dados (RGPD), que conta com a respetiva lei de execução nacional desde agosto do ano passado, veio uniformizar um conjunto de normas a serem garantidas pelas empresas europeias, independentemente da sua dimensão. As sanções, aplicáveis a entidades em incumprimento, podem atingir os 4% da faturação total da empresa.
Pese embora esta realidade, pelo que tenho observado através do contacto diário com as empresas nacionais, diria que existem ainda, à data de hoje, três níveis de maturidade no cumprimento da normativa em Portugal:
- Nível I: regra geral, empresas multinacionais de grande dimensão, que já revelam domínio do RGPD e uma aplicação interna que garanta a sua conformidade;
- Nível II: as PME, nas quais se verifica o maior espetro de oscilação na maturidade, mas que, globalmente, apresentam ainda muitas dúvidas relativamente às alterações, às implicações internas na estrutura organizacional e à aplicação das sanções;
- Nível III: pequenas/microempresas que revelam ainda falta de preparação ou falta de conhecimento no que diz respeito às mudanças e ações a implementar.
As etapas descomplicadas para a sua empresa chegar ao nível I
Caso a sua empresa ainda se encontre no nível básico, é importante considerar a definição e implementação de um Programa de Conformidade para RGPD, o qual poderá ser realizado recorrendo a um processo simples e que se resume em quatro passos distintos:
- Auditoria e avaliação;
- Inventariação e mapeamento dos dados pessoais e análise de conformidade e avaliação de risco;
- Plano de ação;
- Implementação das ações preconizadas.
Para a auditoria e avaliação, é essencial conseguir uma visão global da organização e da sua conformidade. Para o fazer, as empresas deverão rever uma lista de formalidades em áreas como a Transparência (Política de Privacidade), Recolha e Limitação das Finalidade, Consentimento, Qualidade dos Dados, Gestão do Programa de Privacidade, Segurança no Contexto de Privacidade, prontidão e resposta à Violação de Dados, Direitos Individuais e Soluções. Uma vez concluída toda a inventariação e mapeamento dos dados pessoais, seguida da uma análise de conformidade e avaliação de risco, o terceiro passo é construir um plano atribuindo prioridades com base nos riscos e no nível de esforço para a empresa. Concluído o plano, podemos dar início ao quarto passo, a implementação de todas as medidas a instituir para a conformidade.
Antes de avançar para medidas concretas importará, contudo, recorrer a profissionais especializados e certificados neste tema da privacidade e proteção de dados para que possam clarificar as obrigações legais e reputacionais decorrentes. Avaliar a necessidade de contratação de um DPO, ou Encarregado de Proteção de Dados, seja enquanto colaborador interno ou através de um serviço de outsourcing, é parte deste processo.
O que é o Data Protection Officer?
O Data Protection Officer é um profissional com formação relevante e experiência na proteção de dados pessoais. Poderá desempenhar funções a tempo inteiro ou em part-time e ser um colaborador interno da empresa ou subcontratado via outsourcing. Este profissional deverá trabalhar diretamente com a gestão de topo e permanecer independente e protegido. As suas funções incluem o controlo da conformidade, o fornecimento de conselhos e orientações sobre questões de proteção de dados, incluindo, a repartição de responsabilidades, a sensibilização e formação das equipas, e auditorias correspondentes. Tem ainda responsabilidade sob a cooperação com a autoridade de controlo (CNPD) e constitui o ponto de contacto primário nestes temas.
No caso específico das PME, existe um conjunto de vantagens que se associam à subcontratação de um DPO externo ou, como é habitualmente designado, DPO as a service: tem uma função independente e com conhecimento de diferentes setores, o que lhe permite acesso às melhores práticas. Paralelamente, não cria dependências das empresas, permitindo maior distanciamento e aconselhamento mais isento, além de ter um custo associado consideravelmente inferior, um fator cada vez mais decisivo para as organizações.
