A sua empresa está preparada para o GDPR?

E se 160 caracteres de um SMS não forem suficientes para si?
20 Abril, 2018
Quanto Vale Informação Do Seu Negócio
Quanto vale a informação do seu negócio?
4 Maio, 2018
General Data Protection Regulamentation

Há uma data para a qual todas as organizações devem estar particularmente atentas: 25 de maio de 2018. É neste dia que entra em vigor o GDPR (General Data Protection Regulamentation) - ou RGPD (Regulamento Geral de Proteção de Dados), em português - , e que vem marcar um ponto de viragem na forma como as empresas encaram as políticas de gestão e de controlo de dados.

A nova regulamentação europeia Regulation (EU) 2016/679, que vem amplificar e substituir a Diretiva Comunitária 95/46/CE, reforça a proteção dos dados pessoais dos cidadãos e prevê medidas firmes contra as organizações que violem as normas. Por outro lado, traz consigo a desejada unificação já que toda a União Europeia passa a estar regida sob um conjunto normativo único, logo aplicável de igual forma em todo o seu território.

Apesar de haver alguma complexidade neste novo enquadramento jurídico, a mensagem fundamental é, na verdade, bastante simples e clara: o GDPR chega já no final de maio e as organizações têm de estar em conformidade logo desde o primeiro dia, sob pena de poderem incorrer em infrações cujas multas podem ir até aos 20 milhões de euros.

Este não é um tema novo – aliás, já o abordámos no passado relativamente às questões fundamentais sobre o GDPR e ao seu possível impacto nas PME. Embora pareça que se esteja sempre a falar de um copo meio vazio, na verdade é possível ver esta nova realidade também pela perspetiva do copo meio cheio. Efetivamente, e embora tudo isto possa soar a algo de ameaçador e até constituir um fardo psicológico e (sobretudo) financeiro para as organizações, o GDPR representa uma oportunidade estratégica para que as empresas melhorem os seus processos de negócio, protegendo-se de uma forma mais eficaz contra o risco.


Uma oportunidade estratégica única

Mais do que ter que ver com cumprir, o General Data Protection Regulamentation significa também inovar. Por exemplo, o GDPR vem proporcionar às organizações uma oportunidade única para que se tornem mais competitivas, na medida em que vão finalmente poder rever e repensar as suas estratégias e reforçar as políticas de gestão e de governance de dados. Ao tornarem-se mais eficazes, serão também mais rentáveis.

Outra vantagem é a maior qualidade das métricas que o GDPR vai permitir criar. As empresas vão poder claramente identificar, proteger e gerir os dados que têm em sua posse, independentemente da sua natureza: pessoais, comerciais, entre outros. Graças a esta visão holística e mais detalhada, passam a poder ter melhor informação em seu poder, tornando-se também mais eficazes por este prisma.

O GDPR deve ser visto como uma oportunidade de evolução, e não uma obrigação. É um desafio? Sem dúvida alguma que é – deve ser muito bem estudado, devidamente abordado e eficazmente colocado em prática. Há que ter presente que o GDPR não é um exercício único – é um processo que irá manter-se vigente nos anos seguintes. É essencial que se faça o trabalho de casa com pés e cabeça, para que a entrada em vigor do GDPR se torne num marco histórico na evolução das empresas.

A chegada do General Data Protection Regulamentation constitui também uma oportunidade única para se assumir a privacidade como um princípio e não como uma obrigação. É fundamental que as empresas percebam que a transparência e a confiança potenciadas pelo GDPR resultam num fator chave para a inovação e criação de novas oportunidades de negócio. O consumidor está cada vez mais atento e sabe quais são os seus direitos, pelo que a transparência terá um papel fundamental enquanto vantagem competitiva. A transparência gera confiança e a confiança reduz a insatisfação do cliente, e por conseguinte, a taxa de cancelamento de clientes.

Elementos do GDPR a não esquecer

O GDPR é tão cativante quanto desafiante. Também por essa razão, convém não esquecer as alterações que estão a ser exigidas às empresas tendo em vista a conformidade com esta nova realidade. Recordemos alguns dos fatores fundamentais do General Data Protection Regulamentation:

- Verificação de falhas anteriores ao nível da segurança de dados. É necessário compreender a capacidade de resposta que uma organização tem face a ataques futuros. Não esquecer que, segundo o GDPR, os casos de violação de dados têm de ser reportados no prazo máximo de 72 horas após serem descobertos, sob pena de pagamento de multas avultadas.

- Privacy by design (ou privacidade desde a conceção). A cada novo processo de negócios ou serviço que use dados pessoais, deve-se ter em conta a proteção desses mesmos dados. Quer isto dizer que, durante todo o ciclo de vida do desenvolvimento ou processos de tratamento de dados pessoais numa organização, a privacidade dos mesmos deve ser entendida como algo prioritário por parte do seu departamento de TI.

- Consentimento transparente para recolha e tratamento de dados pessoais. Aquando da recolha, os titulares dos dados passam a ter de dar o seu consentimento concreto, específico e objetivo sobre os dados pessoais facultados, sendo-lhes garantido acesso em caso de respetiva retificação e direito ao esquecimento (por simples pedido de remoção ou apagamento dos seus dados).

- Criação do cargo de Data Protection Officer e nomeação do responsável. A introdução da figura do DPO (ou Encarregado da Proteção de Dados) é uma das principais inovações do GDPR. Trata-se de alguém nomeado pelas empresas responsáveis (ou que atuem como subcontratadas para o tratamento de dados pessoais) e que terá como função supervisionar e aconselhar a empresa face às obrigações do GDPR.

- Verificação sobre subcontratantes e do modo como gerem a informação. É muito provável que os contratos existentes necessitem de alterações para respeitar os novos termos. Nos contratos de subcontratação de serviços realizados no âmbito de tratamentos de dados pessoais, deve verificar-se se contêm todos os elementos exigidos pelo regulamento. Em caso de sub-subcontratação, é o subcontratante que tem a responsabilidade de verificar se detém as autorizações respetivas dos responsáveis pelo tratamento, exigidas expressamente pelo GDPR – caso contrário, deve obtê-las até maio de 2018.

- Notificação do regulador e indivíduos em caso de violação de dados pessoais. As organizações passam a ter o dever de reportar determinados tipos de violação de dados à entidade supervisora de cada país e ainda aos indivíduos afetados, consoante determinadas condições. Uma violação de dados consiste numa falha de segurança que pode levar à destruição, perda, alteração, divulgação não autorizada, ou acesso a dados pessoais – ou seja, é mais do que “simplesmente” perdê-los. No entanto, a autoridade supervisora só tem de ser notificada de uma violação de dados pessoais se essa falha apresentar riscos para os direitos e liberdades dos indivíduos – e se esse risco for elevado (isto é, mais grave do que para notificar a autoridade supervisora), também terão de ser notificados diretamente..

- Cumprimento do Direito ao Esquecimento. É um dos Direitos ARCO (de Acesso à informação, à Retificação, ao Cancelamento ou Esquecimento, e de Oposição) consagrados no GDPR aos titulares dos dados. Segundo o "right to be forgotten", o titular dos dados tem o direito de obter do responsável pelo tratamento dos mesmos o apagamento dos seus dados pessoais, e este tem a obrigação de os apagar única e exclusivamente em determinadas condições. O Direito ao Esquecimento também pode ser pedido se os dados pessoais forem tratados ilicitamente ou tiverem de ser apagados por cumprimento de uma obrigação jurídica decorrente do direito da União ou de um Estado-Membro a que o responsável pelo tratamento esteja sujeito. Quanto aos menores de idade, se os dados pessoais forem recolhidos no contexto da oferta de serviços da sociedade da informação a crianças e sem o respetivo consentimento parental, deverá poder exercer-se o Direito ao Esquecimento.

- Encriptação dos dados. Encriptar os dados pessoais nos sistemas pode ajudar as empresas a satisfazer muito dos requisitos previstos no GDPR. Isto inclui encriptar de forma segura discos rígidos, drives amovíveis, ficheiros e correio eletrónico, entre outros exemplos. Neste capítulo, a conformidade com as obrigações de segurança de dados é obtida através do reforço das políticas de encriptação, um aspeto que não deve ser descurado e que não implica necessariamente um impacto de relevo no departamento de TI ou ciclos de implementação longos.

Todas estas alterações acarretam obviamente custos para as empresas. No entanto, trata-se de um investimento inicial que permite evitar coimas a médio e longo prazo. As multas devem ser desvalorizadas pois podem ter um impacto financeiro de até 20 milhões de euros. Pesando os pratos da balança, é preferível assumir-se algum custo inicial com a segurança de que não surgirão mais dores de cabeça, ou poder vir a pagar-se mais tarde um preço demasiado elevado pela falta de ação? A escolha sensata parece ser óbvia.

Posto isto, urge perguntar novamente: A sua empresa está preparada para o GDPR? Na Ar Telecom temos um know-how consolidado em matéria de segurança informática e podemos ajudar a sua empresa a garantir a conformidade com o GDPR. Se precisar de ajuda nesta matéria, contacte-nos.

Mantenha-se a par das principais novidades de TI para aumentar a produtividade do seu negócio subscrevendo a nossa newsletter.