Opinião

Impactos operacionais do novo Regulamento Geral de Protecção de Dados

A publicação do Regulamento Geral de Protecção de Dados tem vindo a gerar uma preocupação generalizada nas empresas.

A publicação do Regulamento Geral de Proteção de Dados (RGPD), aplicável a partir de 25 de maio de 2018, tem vindo a gerar uma preocupação generalizada nas empresas. A preocupação resulta do valor das coimas que introduz (até 20 milhões de euros ou 4% do volume de negócios mundial da empresa), e das alterações operacionais necessárias para que as empresas estejam em conformidade.

O RGPD, num contexto de digitalização da economia e de crescente relevância dos dados nos modelos de funcionamento das empresas, cria desafios operacionais quanto à conformidade que implicam a necessidade de reavaliar os processos e sistemas internos que envolvam o tratamento de dados e interações com parceiros.

Os cinco principais desafios operacionais que se destacam são:

  1. Notificação das violações de dados

As empresas que sofram uma violação de dados têm, obrigatoriamente, que notificar o regulador em 72 horas deste facto. Nas situações de violações graves, esta notificação é estendida ao titular dos dados.

As empresas devem avaliar a sua exposição aos riscos de violações de privacidade e realizar ações que melhorem a segurança da sua organização em todas as vertentes.

Adicionalmente às ações preventivas que implementarem, será necessário prepararem-se para responder a situações concretas de violações de privacidade, instituindo processos e atribuindo responsabilidades que garantam os tempos de notificação indicados.

  1. “Direito a ser esquecido”

O “direito a ser esquecido” pode implicar um esforço considerável às empresas que têm dados pessoais distribuídos por vários repositórios. Os repositórios podem ser estruturados (e.g. bases de dados) ou não estruturados (e.g. documentos de texto, imagens, ficheiros sonoros).

Este novo requisito introduzido pelo RGPD permite, ao titular dos dados e mediante determinadas circunstâncias, o direito de solicitar o apagamento de todos os seus dados pessoais guardados por uma empresa (ou em empresa na cadeia de subcontratação).

Os dados guardados com o objetivo de cumprimento de obrigações legais, fiscais ou regulamentares estão excluídos desse direito.

As empresas terão que ponderar qual a melhor forma de abordar estes pedidos. Se recorrendo a processos manuais, ou instituir modelos de governação de informação e, potencialmente, alterar sistemas de informação para que possam tratar eficazmente estes pedidos.

  1. Avaliações de impacto de privacidade

O RGPD obriga a realização de data protection impact assessments (DPIA), ou seja, avaliações de impacto de privacidade, sempre que existam operações de tratamento de dados invasivas. Estas avaliações devem evidenciar que os riscos de violações de dados pessoais estão anulados ou amplamente mitigados e que os requisitos do RGPD são cumpridos.

O cumprimento do RGPD neste ponto obrigará a que as atividades relacionadas com a privacidade deixem de estar isoladas nos departamentos jurídicos e passem a envolver toda a organização..

  1. Privacidade “por desenho e por padrão”

O novo regulamento obriga a que novos bens, serviços, produtos, sistemas, dispositivos e processos sejam construídos, desde o início, cumprindo requisitos de privacidade. Deste modo, espera-se que as empresas introduzam, genericamente em todos os processos a preocupação com a privacidade. Para o regulador, será muito relevante ter evidências deste facto.

Estas evidências devem abranger o modelo de governação da privacidade na organização com políticas, procedimentos e regras que abordem a privacidade “por desenho e por padrão”. Adicionalmente, devem implicar o desenvolvimento de competências de “engenharia” de privacidade por toda a organização, que garantam a aplicação e o controlo da tecnicidade associada ao regulamento.

  1. Encarregado de proteção de dados

O regulamento prevê a criação da função de data protection officer (DPO), ou seja, um encarregado de proteção de dados, nas organizações.

As organizações têm o dever de designar um DPO quando há tratamento de dados pessoais que, devido à natureza, âmbito ou finalidade, exija um controlo regular e sistemático, ou quando há tratamento de dados sensíveis em grande escala.

O DPO deve exercer a sua atividade sempre com independência e pode pertencer aos quadros da empresa ou um funcionário de um serviço externo. Terá como principais tarefas a monitorização da conformidade com o RGPD, a metodologia e, quando realizar DPIA, atuar como ponto de contacto com o regulador, o acompanhamento do risco associado às operações de tratamento de dados e garantir o registo das provas necessárias para demonstrar a conformidade.

Sugerir correcção