RGPD: do diagnóstico à implementação

É importante equacionar a necessidade de realizar ações de formação e sensibilização dos colaboradores, para garantir que a política de proteção de dados pessoais adotada é transversal a toda a organização.

Embora o Novo Regulamento Geral de Proteção de Dados (RGPD) tenha entrado em vigor há dois anos atrás, em Portugal a maioria das organizações apenas despertou para a complexidade desta questão no passado dia 25 de maio, data em que o RGPD começou efetivamente a produzir todos os seus efeitos.

A consciência da necessidade de assegurar a conformidade com o RGPD é motivada sobretudo pelo pesado regime sancionatório consagrado no normativo comunitário. Contudo, não se pode descurar que o RGPD surgiu com o intuito de conferir maior proteção aos titulares de dados e garantir que cada um de nós tenha um efetivo controlo sobre a informação que nos diz respeito. É esse o princípio norteador que deve estar subjacente a todo o processo de implementação das novas regras de proteção de dados.

Assim, o cumprimento das regras e o consequente reforço da segurança no tratamento da informação é fundamental não só para diminuir o risco de aplicação de coimas e evitar pedidos de indemnização pelos titulares dos dados, mas também para assegurar uma boa imagem e reputação de cada organização. Pense-se nos casos da Deloitte, Panama Papers, Yahoo ou, mais recentemente, da polémica que envolveu o Facebook e a Cambridge Analytica que causou prejuízos de milhões para as duas empresas e acabou por ditar o encerramento desta última.

O RGPD foi construído à escala europeia e direcionado para organizações de grande dimensão, revelando-se, em alguns aspetos, pouco adequado à realidade de países como Portugal, onde o tecido empresarial é maioritariamente composto por PME. Para estas empresas, a implementação do RGPD implica inevitavelmente um esforço acrescido a nível financeiro e organizacional.

No contexto de implementação do RGPD, independentemente de optarem ou não por apoio externo, a preocupação inicial de cada organização deve consistir num mapeamento de todos os dados pessoais com que os seus colaboradores lidam diariamente. Este procedimento deverá ficar a cargo de uma equipa diversificada com conhecimentos funcionais sobre áreas como os HR, IT e Legal. Desta forma, será possível definir, distinguir e segregar todos os processos de tratamento de dados pessoais e, dentro desses, os diferentes fluxos de informação.

Este primeiro passo é fundamental, na medida em que servirá de suporte à elaboração de um gap analysis onde se irá diagnosticar e avaliar o nível de compliance e os riscos de cada organização. Terminado este primeiro passo, será necessário pensar e redefinir os mecanismos e procedimentos internos e adotar soluções capazes de fazer face às não-conformidades detetadas. Essas soluções poderão ser de ordem informática, documental ou procedimental. Importa referir que este é, talvez, o ponto mais sensível no que toca à implementação do RGPD, dado que cada organização tem as suas especificidades e é imperativo garantir que as soluções implementadas são exequíveis no quotidiano organizacional. Em paralelo, deverá ainda equacionar-se a necessidade de realizar ações de formação e sensibilização dos colaboradores, de forma a garantir que a política de proteção de dados pessoais adotada é transversal a toda a organização.

Por fim, ressalta-se ainda que poderá ser conveniente instituir um plano ongoing que permita a cada empresa medir o nível de adequação e eficácia de todo o trabalho desenvolvido aquando do processo de implementação. A adoção de regras de processamento para o futuro é um dos pontos que tem sido descurado.

Ora, tendo em conta o exposto, pode concluir-se que garantir a conformidade com as novas regras comunitárias não é tarefa fácil. De facto, a implementação do RGPD é na maioria dos casos um processo longo, complexo e dispendioso, porém, imprescindível para diminuir o risco de incumprimento das novas regras e fundamental para assegurar os direitos e garantias de cada um de nós.




Mais notícias
PUB
PUB
PUB