Só 16 entidades públicas gastaram mais de meio milhão de euros para se adaptarem às novas regras de protecção de dados, que nesta sexta-feira começam a ser aplicadas. Os contratos com consultoras, sociedades de advogados e empresas de tecnologia para concretizar as novas exigências do Regulamento Geral de Protecção de Dados (RGPD) que o PÚBLICO encontrou no portal Base — plataforma onde são disponibilizados os contratos realizados pela administração pública — são uma gota de água, num oceano de muitos milhares de entidades públicas.

Mas mesmo assim não deixam margem para dúvidas: a protecção de dados vai ser um negócio de muitos milhões. Não só no sector público mas essencialmente no privado, onde um só projecto de implementação do regulamento em Portugal pode atingir os 400 mil euros, um número avançado por Filipe Pereira, da consultora LCG.

O encarregado da protecção de dados — uma figura criada pelo RGPD que será obrigatória em todas as entidades públicas e nos privados que tratem dados em larga escala ou dados sensíveis — poderá implicar um encargo significativo para muitas organizações: no mínimo obrigará a desembolsar valores próximos dos mil euros mensais para quem contratar fora o serviço. A estimativa é de Daniel Reis, coordenador da área de tecnologia da PLMJ, uma das maiores sociedades de advogados do país. Sem mãos a medir nos últimos meses, o jurista diz: “Desde Janeiro estamos na fase de histeria.” E reconhece que a procura de serviços directamente ligados ao cumprimento das exigências do regulamento subiu tanto que o obrigou a reforçar a equipa com mais três pessoas. O mesmo número de pessoas que outra grande sociedade de advogados, a Morais Leitão, contratou no último ano e meio para a mesma área, adianta Tiago Félix da Costa, coordenador da equipa de Protecção de Dados.

Aumentar

Empresas: só 8% dizem estar totalmente preparadas

Apesar de o RGPD ter sido publicado em Maio de 2016 e prever um prazo de mais de dois anos para as entidades se adaptarem, a verdade é que chegamos ao dia D e muito está por fazer. Isso mesmo reconhecem as empresas num inquérito lançado pelo Instituto de Apoio às Pequenas e Médias Empresas e à Inovação (IAPMEI), com o apoio da consultora LCG, divulgado pelo Jornal de Negócios. Das cerca de 1500 que participaram, só 8% dizem estar totalmente preparadas.

“Continuamos a receber pedidos urgentes a dois ou três dias do início da aplicação do regulamento”, reconhece Daniel Reis, que diz que as entidades públicas só começaram este ano a pensar na adaptação ao regulamento.

A escassez de contratos no portal Base parece confirmar o atraso da administração pública, ainda que alguns contratos não tenham sido publicados e outros não refiram explicitamente a protecção de dados. A maior parte das 16 entidades que contrataram serviços neste âmbito fê-lo apenas este ano. Exemplo é o Instituto do Emprego e da Formação Profissional (IEFP), que foi o que mais gastou na preparação para o RGPD. Foram 144 mil euros, divididos por dois contratos. O primeiro, de 16 de Fevereiro de 2018, custou 74.160 euros e foi fechado por ajuste directo com uma empresa de soluções informáticas. Para que, entre outras coisas, se procedesse à encriptação e anonimização dos dados pessoais detidos por esta entidade. Já este mês fechou acordo com uma consultora, também por ajuste directo, para obter apoio especializado. O valor do contrato, apresentado sem IVA, corresponde a 69.900.

A própria ministra da Presidência e da Modernização Administrativa, Maria Manuel Leitão Marques, reconheceu em entrevista à TSF o atraso das entidades públicas. Também disse que o Governo não tem uma estimativa sobre o custo da implementação das novas regras no sector do Estado, mas assume que será caro. O argumento foi até usado para defender que as entidades públicas deverão ficar isentas de sanções pelo menos durante três anos. “Os dados que temos disponíveis permitem-nos antever que os custos são significativos essencialmente para pequenas e microempresas”, afirmou à TSF, Maria Manuel Leitão Marquês. Questionado pelo PÚBLICO sobre os orçamentos existente nas entidades públicas para cobrir os gastos com o RGPD, o ministério não respondeu.

Trabalhar sob pressão

Sobre as PME, Paulo Nunes de Almeida, presidente da Associação Empresarial de Portugal, apenas reconhece que estão a trabalhar em contra relógio. Sublinhando que esmagadora maioria das empresas são microssociedades, com capacidade de resposta limitada, defende: “Temos de dar algum tempo às empresas para se adaptarem.” A Strongstep, uma empresa de tecnologia que oferece um pacote integrado para responder às três dimensões do regulamento — processual, tecnológico e jurídico — é das poucas que aceita falar do preço.

“Cobramos 4000 euros pelo diagnóstico e pela formação inicial e pelo projecto de implementação entre 10 a 30 mil euros”, resume o director, Pedro Castro Henriques. Também oferece serviços de encarregado de protecção de dados, “uma espécie de auditor especializado em matéria de privacidade”, nas palavras de Tiago Félix da Costa, que assegura o cumprimento do regulamento dentro da empresa e faz a ponte com a autoridade fiscalizadora e também com os titulares dos dados. “No mínimo por um pacote de oito horas/mês cobramos 600 euros mais IVA. Se o cliente precisar de mais horas paga o que gastar”, adianta Castro Henriques, que estima que um projecto para implementar o RGPD pode demorar entre dois a cinco meses.

Uma duração muito diferente da estimada por Sofia Castro, da consultora LCG, que fala de um período entre um ano e meio a três anos por projecto. Percebe-se que inclui no pacote outro tipo de serviços, que passam por uma análise detalhada da segurança informática dos vários sistemas usados pelas entidades visadas, da realização de planos complexos que incluem a recuperação de dados em caso de desastre e a implementação de ferramentas que permitem controlar acessos e consequentes fugas de informação.

Reconhece que o nível de serviços que oferecem não se justifica em todas as entidades, mas diz que, por vezes, até empresas pequenas são obrigadas a abrir os cordões à bolsa — por exemplo, quando fornecem serviços a grandes multinacionais, como a Vodafone. Isto porque de acordo com as novas regras, as grandes empresas têm de garantir que os seus prestadores de serviços também cumprem as novas exigência da protecção de dados. “Dizem-lhes ou estão by the book ou estão fora.” 

Daniel Reis até vai mais longe e fala em casos em que a implementação pode demorar cinco anos. “Num banco a retalho com base de dados muito antigas, a adaptação pode ser um projecto para quatro a cinco anos.” Poderá ser necessário substituir bases de dados, diz, porque as existentes não permitem apagar dados ou extraí-los, situações que decorrem de dois novos direitos previstos no regulamento. Para não criar mais pânico, explica que são situações muito específicas e que não se confundem com as de PME que podem estar adaptadas “em semanas”.

Cafés, cabeleireiros, restaurantes

O responsável da PLMJ considera que actividades como pequenos cafés ou cabeleireiro têm pouco com que se preocupar, mas tudo depende do que fazem com os dados dos clientes. Casos mais sensíveis, exemplifica, é o caso de uma loja de bairro que tem um cartão de fidelização que manda sms aos clientes ou de um restaurante que usa os números que garantem as reservas para efeitos de marketing. Para os pequenos empresários deixa um conselho: “No site da Comissão Europeia e noutros organismos oficiais há listas de verificação e teste de auto-análise que podem ajudá-los.” 

O modelo de negócio de Nuno Godinho, da Dayzero, aposta nesta ideia. Em parceria com uma empresa inglesa oferece aos empresários portugueses um guia detalhado sobre como implementar o RGPD. “Funciona como uma espécie de curso online, com vídeos explicativos”, descreve. A ferramenta vem num pacote que incluiu, no mínimo, quatro horas de consultadoria para responder às dúvidas dos empresários, que custa dois mil euros.

Soluções à parte, uma coisa é certa: todas as opções têm custos. E todas demoram tempo. “O respeito pela protecção de dados é um processo em construção”, prefere Tiago Félix da Costa. A mudança que se pretende é acima de tudo de mentalidade, realça Filipe Pereira, que resume tudo numa frase: “É preciso respeitar a privacidade dos dados pessoais, porque eles são dos seus titulares e não das organizações."