Opinião

Serão as áreas de IT das empresas as principais responsáveis por garantir a conformidade com o novo RGPD?

O Regulamento Geral sobre a Proteção de Dados regulamenta a utilização de dados e, residindo boa parte dos dados das empresas nos sistemas de informação, então a responsabilidade por garantir a conformidade é do IT

Numa análise simplista é fácil dizer que sim: O Regulamento Geral sobre a Proteção de Dados (RGPD) regulamenta a utilização de dados e, residindo boa parte dos dados das empresas nos sistemas de informação, então a responsabilidade por garantir a conformidade é do IT. No entanto, os dados são processados nos sistemas de informação de acordo com fins definidos por outras áreas. Assim, a responsabilidade pela conformidade com o RGPD deve ser partilhada, cabendo às áreas de negócio conhecer e balizar a utilização dos dados pessoais e ao IT garantir que os sistemas de informação suportam e estão alinhados com esse balizamento e utilização.

As áreas de negócio devem conhecer os dados pessoais que necessitam para executar os seus processos, bem como, diligenciar para que o tratamento previsto nestes processos seja lícito.

Por seu lado, o IT deve garantir que os sistemas de informação sobre a sua gestão implementam só o tratamento previsto e não mais do que este. Neste contexto, inclui-se a implementação correta do tratamento, bem como, a gestão dos acessos dos utilizadores às funcionalidades e aos dados inerentes a esse tratamento.

Para tal, o IT deve garantir, periodicamente, que nos sistemas de informação só residem os dados pessoais previstos nos processos de negócio da empresa e que o seu tratamento é realizado de acordo com a licitude existente.

Adicionalmente, deverá ser da responsabilidade do IT a operacionalização técnica de determinados direitos previstos no RGPD, como por exemplo, o direito ao esquecimento ou a remoção de consentimento pelo titular dos dados.

Por fim, o regulamento prevê a necessidade de as empresas garantirem a qualidade e a segurança dos dados pessoais sobre a sua guarda. Estes requisitos, apesar de terem impacto nos sistemas de informação e na organização do IT, não devem ser endereçados isoladamente para os dados pessoais e como tal devem estar a ser enquadrados por outras funções nas empresas, como por exemplo, funções de segurança (Chief Information Security Officer) ou funções de qualidade de dados (Chief Data Officer).

Conclui-se aconselhando-se as áreas de IT a iniciarem programas de transformação que garantam a adequação dos sistemas sobre a sua gestão, ponderando a introdução de novas aplicações nas suas arquiteturas e a necessidade de alterar a organização e o funcionamento do próprio IT.

Sugerir correcção