RGPD: Regras essenciais para a conformidade
15 Setembro, 2017
IDC Directions 2017
27 Outubro, 2017

Qual o impacto do GDPR nas PMES

Em maio do próximo ano entrará em vigor o UE General Data Protection Regulation (GDPR) que apresenta um âmbito mais amplo e punições mais severas do que o Data Protection Directive (DiretivA 95/46/EC), atualmente em vigor, para quem não cumprir com as novas regras sobre armazenamento e manuseamento de dados pessoais. As PMEs deverão ter em consideração que o GPDR, sendo um regulamento, não requer ser vertido para a legislação nacional pelo que estará em vigor a partir de maio de 2018 e que alegar a sua ignorância não constituirá defesa para o não cumprimento do que nele está estipulado.

Em maio do próximo ano entrará em vigor o UE General Data Protection Regulation (GDPR) que apresenta um âmbito mais amplo e punições mais severas do que o Data Protection Directive (Diretiva 95/46/EC), atualmente em vigor, para quem não cumprir com as novas regras sobre armazenamento e manuseamento de dados pessoais.

Até há alguns anos atrás apenas as grandes empresas tinham capacidade e meios para recolher e armazenar quantidades significativas de dados. Nos últimos anos a tecnologia trouxe essa capacidade para as PMEs, tornando-as num alvo mais apetecível para os cibercriminosos que as consideram mais desprotegidas que as grandes empresas.
As PMEs deverão ter em consideração que o GPDR, sendo um regulamento, não requer ser vertido para a legislação nacional pelo que estará em vigor a partir de maio de 2018 e que alegar a sua ignorância não constituirá defesa para o não cumprimento do que nele está estipulado.

Imposições mais significativas do GDPR nas PMEs

O GPDR traz aos cidadãos da União Europeia mais direitos sobre a sua informação pessoal (o direito a “ser esquecido”, direito de saber quando os seus dados caem em mãos erradas e o direito de exigir o seu consentimento explicito para o processamento desses dados), direitos esses que se traduzem em deveres acrescidos para as empresas protegerem eficazmente essa informação.

Talvez uma das maiores alterações com que as PMEs vão ter de lidar diz respeito ao consentimento dado pelos indivíduos para o processamento dos seus dados pessoais. O regulamento impõe que o consentimento não pode ser inferido (como, por exemplo, através de uma caixa pré-selecionada) exigindo que este seja dado através de um acordo explícito e que as empresas mantenham registos auditáveis desses consentimentos.

Mais, o regulamento dá aos indivíduos o direito de revogar o consentimento, em qualquer altura, de forma fácil e rápida, e esta revogação implica que todos os seus dados pessoais devam ser total e definitivamente apagados. O indivíduo tem o direito a ser esquecido. Dá-lhes ainda, nalgumas circunstâncias, o direito de exigir que os seus dados pessoais sejam portados para si ou para terceiros em formato máquina legível.

O novo regulamento requer também que as empresas, na altura da recolha dos dados pessoais, informem os indivíduos, de forma clara, concisa, transparente, inteligível e facilmente acessível (especialmente se o indivíduo é menor de idade) sobre a forma e propósito do processamento, do intervalo de tempo em que os seus dados serão armazenados e de alguns dos seus direitos (por exemplo o direito a retirar o consentimento).
As empresas têm o dever de reportar à autoridade nacional competente (julga-se que será a ANPD), num prazo de 72 horas, qualquer violação de segurança envolvendo dados pessoais junto com medidas de como se propõem mitigar as eventuais consequências e devem informar os indivíduos detentores dos dados violados dessa violação.

O GDPR impõe a “privacy by design and by default” como uma obrigação legal. Isto quer dizer que as empresas devem ter em conta a privacidade dos dados ao longo de todo o seu ciclo de vida na empresa (recolha, armazenamento, processamento e destruição) implementando medidas técnicas e organizacionais apropriadas, tendo em conta o estado da tecnologia e os custos de implementação, para assegurar que, por defeito, apenas os dados pessoais necessários para cada propósito específico de processamento sejam efetivamente processados.

Outro ponto importante do novo regulamento e que tem impacto direto em muitas PMEs é o de, pela primeira vez, as empresas que processam dados em nome de terceiros (empresa controladora dos dados) terem obrigações diretas perante estes, que incluem manter um registo escrito das atividades de processamento que realizam em seu nome, designar um DPO (Data Protection Officer) quando necessário e notificar, sem atraso, a empresa terceira sempre que detectarem uma violação dos dados. Assim o novo estatuto dos processadores de dados tem impacto direto na forma como a proteção de dados é abordada nos contratos comerciais e de outsourcing.

O que devem fazer as PMEs?

Estas imposições por si só, e existem muitas mais, mostram quão exigente o novo regulamento é para todas as empresas, em particular para as PMEs que têm, normalmente, menos recursos e capacidade financeira.
O regulamento obriga as PMEs a saber exatamente os dados pessoais que guardam e onde estão armazenados (seja em PCs, em servidores internos, em servidores externos por contratos de outsourcing ou na Cloud) e a terem implementados procedimentos que assegurem a sua completa remoção quando existe um pedido nesse sentido. Protocolos de monitorização devem ser capazes de reconhecer e atuar em violações de informação logo que estas aconteçam e devem ter planos de contingência para lidar com as consequências.

Preparar-se para tudo isto requer que as PMEs realizem, quanto antes, uma auditoria completa aos seus processos e procedimentos de negócio e uma avaliação cabal dos seus sistemas de TI para identificarem o fosso entre o seu estado atual face à segurança dos dados pessoais e o exigido pelo GPDR e que estabeleçam uma estratégia e um plano de implementação das medidas necessárias para eliminar, em tempo útil, esse fosso.
Mas atenção! A conformidade com o regulamento não é o resultado de uma atividade one-shot mas antes o resultado de uma gestão contínua dos sistemas de proteção de dados. As empresas devem rever e atualizar regularmente os processos, procedimentos, políticas e sistemas de TI de modo a adaptarem-se às alterações do negócio, legais, regulatórias e tecnológicas que, entretanto, vão ocorrendo.

A Ar Telecom encetou uma parceria com uma empresa de advogados e uma consultora para poder ajudar os seus Clientes a conseguirem, da melhor forma possível, dar o passo para a conformidade com o GPDR e assim evitarem eventuais multas e danos de imagem.