Transformação Digital Protecção de dados: as regras do jogo mudaram

Protecção de dados: as regras do jogo mudaram

De que forma o novo Regulamento Geral de Protecção de Dados vai influenciar a relação entre as organizações e os seus clientes? A resposta a esta pergunta deve ser encontrada antes de Maio do próximo ano.
Protecção de dados: as regras do jogo mudaram
C-Studio 20 de junho de 2017 às 10:39

A transformação digital das empresas trouxe consigo um grande conjunto de vantagens, permitindo, por exemplo, estar mais próximo do cliente, perceber o que ele procura e direccionar a oferta nesse sentido. Através das novas ferramentas tecnológicas e das plataformas digitais é mais fácil conhecer o comprador, pelo cruzamento de dados que se vão adquirindo sobre o mesmo.

 

Na realidade, as novas tecnologias passaram a permitir às empresas privadas e igualmente a todas as entidades públicas a utilização de dados pessoais numa escala sem precedentes. Por seu turno, do lado do utilizador privado, é igualmente verdade que se passou a disponibilizar cada vez mais informações pessoais de uma forma pública e global. Feitas as contas entre o deve e o haver, o facto é que passa a existir um conjunto de questões de privacidade e igualmente de segurança de informação que não podem ser negligenciadas.

 

Na realidade, a criação de bases de dados nas empresas tem vindo a crescer de forma desenfreada, e a sua utilização, seja para fins comerciais ou outros, nem sempre tem sido a mais correcta.

 

Com o intuito de alterar as regras do jogo e reorganizar este cenário, tornando-o mais transparente e também mais justo para ambos os lados, a Comissão Europeia criou o novo Regulamento Geral de Protecção de Dados (RGPD). Embora tenha já entrado em vigor, as empresas têm ainda até Maio do próximo ano para adaptar as suas formas de trabalho ao regulamento e assegurar que estão em "compliance" com o mesmo.

 

Muito para mudar

Neste período, que é mais curto do que possa parecer, muito há ainda para fazer. O RGPD não é mais do que uma tentativa da UE de harmonizar a legislação de protecção de dados pessoais em toda a Europa comunitária, mas, a verdade é que ele vem impor profundas mudanças na forma como as empresas se relacionam com os seus clientes.

 

Segundo dados do "Survey Europeu de Cyber Risk 2016" da Marsh, 51% das empresas portuguesas apontam a fuga de informação dos clientes como uma das maiores ameaças num cenário de perda cibernética e 69% assumem que têm um conhecimento limitado sobre os riscos. E, apesar destes valores elevados, a verdade é que pouco mais de metade (53%) dos inquiridos admite ter já desenhado um plano de contingência para responder a eventuais ataques.

 

Já no que respeita ao próprio RGPD, um outro estudo levado a cabo pela CIONET em parceria com a Hewlett Packard Enterprise revela que a grande maioria dos líderes de TI nacionais tem consciência das intenções e do impacto no negócio independentemente do tamanho da organização. Ainda assim, só cerca de 30% conta já com um valor específico no seu orçamento de TI para resolver este tipo de problemática.

 

Multas avultadas… e não só!

Independentemente dos resultados dos vários estudos que têm vindo a público, a verdade é que em Maio do próximo ano, a esmagadora maioria das empresas (para não dizer todas) deverá estar em conformidade com as novas regras. E várias são as mudanças a ter em conta, começando, desde logo, pelos valores das multas a aplicar.

 

Em caso de violações mais leves, a multa poderá chegar aos 10 milhões de euros ou, em alternativa, aos 2% do volume de negócios mundial da empresa. Já no âmbito de crimes mais graves, o valor da multa sobe para um máximo de 20 milhões de euros ou 4% do volume de negócios mundial da empresa.

 

Outras mudanças dizem respeito à necessidade de as empresas passarem a ter de contar como um encarregado de protecção de dados, bem como ao facto de o direito ao esquecimento e o direito à portabilidade passarem a estar formalmente assegurados no âmbito do novo regulamento. Novidade é também a forma como será tratada a responsabilidade formal, que passa a ser atribuída ao subcontratante.

 

A partir de Maio do próximo ano, caberá à Comissão Nacional de Protecção de Dados (CNPD) a responsabilidade de fazer a supervisão e a fiscalização do cumprimento destas novas regras, quer nas empresas do sector privado quer em todas as entidades públicas.



Dez passos a ter em conta

A Comissão Nacional de Protecção de Dados lançou um documento no qual elenca as 10 principais medidas a seguir no sentido de preparar a aplicação do novo regulamento nas empresas:

1. Informação aos titulares dos dados;
2. Exercício dos direitos dos titulares dos dados;
3. Consentimento dos titulares dos dados;
4. Dados sensíveis;
5. Documentação e registo de actividades de tratamento;
6. Contacto de subcontratação;
7. Encarregado de protecção de dados;
8. Medidas técnicas e organizativas e segurança do tratamento;
9. Protecção de dados desde a concepção e avaliação de impacto;
10. Notificação das violações de segurança.

Como implementar as mudanças na sua empresa?

– Identifique quem ficará responsável por esta área;

– Certifique-se de que os dados pessoais recolhidos pela sua organização são tratados de forma lícita, leal e transparente;

– Certifique-se de que a recolha dos dados é feita de acordo com finalidades determinadas, explícitas e legítimas;

– Garanta que os dados são armazenados de forma que permitam a identificação dos seus titulares apenas durante o período necessário;

– Certifique-se de que os dados são tratados de forma que garantam a sua segurança e apenas se o titular tiver dado o seu consentimento para uma ou mais finalidades específicas.