Home / OPINIÃO / Como criar um Programa de Conformidade para RGPD em quatro passos
elsa veloso programa de ocnformidade
Elsa Veloso, fundadora e CEO da DPO Consulting (Foto: Divulgação)

Como criar um Programa de Conformidade para RGPD em quatro passos

Por: Elsa Veloso, fundadora e CEO da DPO Consulting

Instituído em 2006 no Conselho da Europa, o Dia Internacional da Privacidade de Dados tem ganho dimensão a par com o tema, e surge como mote ideal para uma breve reflexão sobre a maturidade do tecido empresarial português nesta área.

O Regulamento Geral de Proteção de Dados (RGPD), que conta com a respetiva lei de execução nacional desde agosto do ano passado, veio uniformizar um conjunto de normas a serem garantidas pelas empresas europeias, independentemente da sua dimensão. As sanções, aplicáveis a entidades em incumprimento, podem atingir os 4% da faturação total da empresa.

Pese embora esta realidade, pelo que tenho observado através do contacto diário com as empresas nacionais, diria que existem ainda, à data de hoje, três níveis de maturidade no cumprimento da normativa em Portugal:

  • Nível I: regra geral, empresas multinacionais de grande dimensão, que já revelam domínio do RGPD e uma aplicação interna que garanta a sua conformidade;
  • Nível II: as PME, nas quais se verifica o maior espetro de oscilação na maturidade, mas que, globalmente, apresentam ainda muitas dúvidas relativamente às alterações, às implicações internas na estrutura organizacional e à aplicação das sanções;
  • Nível III: pequenas/microempresas que revelam ainda falta de preparação ou falta de conhecimento no que diz respeito às mudanças e ações a implementar.

As etapas descomplicadas para a sua empresa chegar ao nível I

Caso a sua empresa ainda se encontre no nível básico, é importante considerar a definição e implementação de um Programa de Conformidade para RGPD, o qual poderá ser realizado recorrendo a um processo simples e que se resume em quatro passos distintos:

  1. Auditoria e avaliação;
  2. Inventariação e mapeamento dos dados pessoais e análise de conformidade e avaliação de risco;
  3. Plano de ação;
  4. Implementação das ações preconizadas.

Para a auditoria e avaliação, é essencial conseguir uma visão global da organização e da sua conformidade. Para o fazer, as empresas deverão rever uma lista de formalidades em áreas como a Transparência (Política de Privacidade), Recolha e Limitação das Finalidade, Consentimento, Qualidade dos Dados, Gestão do Programa de Privacidade, Segurança no Contexto de Privacidade, prontidão e resposta à Violação de Dados, Direitos Individuais e Soluções. Uma vez concluída toda a inventariação e mapeamento dos dados pessoais, seguida da uma análise de conformidade e avaliação de risco, o terceiro passo é construir um plano atribuindo prioridades com base nos riscos e no nível de esforço para a empresa. Concluído o plano, podemos dar início ao quarto passo, a implementação de todas as medidas a instituir para a conformidade.

Antes de avançar para medidas concretas importará, contudo, recorrer a profissionais especializados e certificados neste tema da privacidade e proteção de dados para que possam clarificar as obrigações legais e reputacionais decorrentes. Avaliar a necessidade de contratação de um DPO, ou Encarregado de Proteção de Dados, seja enquanto colaborador interno ou através de um serviço de outsourcing, é parte deste processo.

O que é o Data Protection Officer?

O Data Protection Officer é um profissional com formação relevante e experiência na proteção de dados pessoais. Poderá desempenhar funções a tempo inteiro ou em part-time e ser um colaborador interno da empresa ou subcontratado via outsourcing. Este profissional deverá trabalhar diretamente com a gestão de topo e permanecer independente e protegido. As suas funções incluem o controlo da conformidade, o fornecimento de conselhos e orientações sobre questões de proteção de dados, incluindo, a repartição de responsabilidades, a sensibilização e formação das equipas, e auditorias correspondentes. Tem ainda responsabilidade sob a cooperação com a autoridade de controlo (CNPD) e constitui o ponto de contacto primário nestes temas.

No caso específico das PME, existe um conjunto de vantagens que se associam à subcontratação de um DPO externo ou, como é habitualmente designado, DPO as a service: tem uma função independente e com conhecimento de diferentes setores, o que lhe permite acesso às melhores práticas. Paralelamente, não cria dependências das empresas, permitindo maior distanciamento e aconselhamento mais isento, além de ter um custo associado consideravelmente inferior, um fator cada vez mais decisivo para as organizações.