A partir de hoje, as empresas e a administração pública têm 84 dias até serem obrigadas a cumprir as novas regras da protecção de dados, mas nem todas estão a postos. O presidente da Associação Empresarial de Portugal (AEP), Paulo Nunes de Almeida, acredita que a 25 de Maio muitas empresas vão estar “em condições” de respeitar as novas regras do Regulamento Geral de Protecção de Dados (RGPD), mas também não tem dúvidas de que “nem todos os agentes económicos vão estar a cumpri-lo”.

Daniel Reis, coordenador da equipa de telecomunicações, media e tecnologias da informação na sociedade de advogados PLMJ, diz que o processo está a decorrer a “velocidades diferentes”, consoante o tipo de empresas. “Em 2016, só empresas multinacionais em Portugal é que nos estavam a contactar para projectos. Agora, ainda estou a receber pedidos de propostas para ajudar empresas com o regulamento. Tenho muitos projectos que já terminaram e outros que ainda não começaram”.

As multinacionais e as empresas cotadas em bolsa serão as mais bem preparadas. “Há uma parte que está a olhar com muita atenção” para as mudanças. “Estão a fazer levantamento interno sobre o tratamento de dados pessoais, estão a rever as políticas de privacidade que têm nas aplicações, site e outras ferramentas e nalguns casos já nomearam encarregados de protecção de dados [figura obrigatória introduzida com o novo regulamento]. Noutros casos, já decidiram o departamento que fica com o tema”, detalha o advogado.

Depois, “há projectos mais ou menos complexos consoante a realidade” da empresa. Para as PME, o caso muda de figura. Muitas não têm advogado interno, pelo que a “lei mudou e não sabem”. Quanto ao sector público “está muito atrasado”.

“Não está tudo feito”

Clara Guerra, responsável pelo Serviço de Informação e Relações Internacionais da Comissão Nacional da Protecção de Dados (CNPD), reforça que “as entidades tiveram dois anos para se adaptarem”. Ainda assim, “não está tudo feito”, uma vez que “estamos dependentes de alguns aspectos da legislação nacional”.

“Idealmente, a lei teria sido aprovada em Janeiro de 2017”, diz Daniel Reis. O advogado e especialista na matéria defende que “era bom conhecer as propostas do legislador” com antecedência. Agora, no melhor dos cenários, “no final de Março ou Abril” temos um decreto-lei nacional.

Ainda assim, Daniel Reis sublinha que “ninguém precisa de esperar pela lei. Vamos passar em Maio para um sistema de auto-regulação”. Neste novo cenário, as empresas passam a ser responsáveis pela forma como tratam e usam os dados. “Como as empresas hoje não fazem isso, a preparação para o regulamento passa por aprenderem a fazê-lo.”

Umas a postos, outras nem tanto

A “maior parte dos empresários com quem temos tido contacto sobre este tema ainda está numa fase inicial de sensibilização”, realça o presidente da comissão executiva da Associação Empresarial da Região de Lisboa (AERLIS), Vítor Ventura Ramos. O responsável avança que, do universo de empresas (cerca de 84 mil) com que a associação contacta, “a maior parte (cerca de 85%) ainda não começou a implementar medidas efectivas para garantir a conformidade com o regulamento".

O dirigente da associação acrescenta ainda que "mais de 60% das empresas não possui contratos com cláusulas de protecção de dados com as entidades terceiras que fazem o tratamento de dados pessoais e não tem procedimentos de resposta a incidentes com dados pessoais”.

Fonte da energética Galp conta que a implementação do regulamento na empresa começou no início de 2017. Sobre a inexistência, de um enquadramento destas regras na lei nacional, “estando a menos de 100 dias do início da aplicação do RGPD, estamos certos que qualquer regime nacional evitará a introdução de desvios ao padrão europeu”, acrescenta.

A empresa de telecomunicações NOS refere em termos genéricos que “as medidas, direitos e obrigações, plasmados no RGPD e todas as orientações que têm surgido" estão a ser tratadas "pela empresa, através de uma equipa de trabalho alargado e multidisciplinar”. Já a Vodafone faz saber que “está a fazer as adaptações necessárias para que a implementação da nova regulação aconteça dentro do prazo previsto” e que tem um "privacy officer", figura semelhante à do encarregado de protecção de dados, desde 2010.