//
Acepi
//
eMobile
//
Notícias
As mudanças do RGPD e o seu impacto para as empresas
As mudanças do RGPD e o seu impacto para as empresas
27 de Março de 2018
A data de aplicação do RGPD aproxima-se a passos largos e as organizações têm de acelerar a sua preparação para conseguirem cumprir as normas definidas já a partir de 25 de maio de 2018. Os desafios são extensos e não há um caminho fácil.

A preocupação com a preparação para o Regulamento Geral de Proteção de Dados (RGPD) tem tornado este tema um dos tópicos mais relevantes na agenda das empresas no início deste ano, embora os últimos números conhecidos mostrem que apenas 2,5% das organizações admitiam estar preparadas para a aplicação das regras, e a larga maioria revelem não conseguir cumprir a data.

As coimas elevadas previstas, e que podem chegar aos 20 milhões de euros, fizeram disparar os sinais de alarme, mas a necessidade de preparar regras e metodologias internas em empresas cada vez mais digitais é o tema que deve ser prioritário.

O regulamento foi aprovado em 2016 e tem por objetivo, em traços gerais, definir o regime aplicável ao tratamento de dados pessoais relativos a pessoas singulares e à livre circulação dos mesmos. Vem substituir a Diretiva 95/46/CE, que “remonta a uma era ainda quase ‘pré-internet’, sendo hoje em dia incapaz de dar resposta à ‘revolução dos dados’ trazida pela quarta revolução industrial”, explica Jorge Silva Martins, associado coordenador da PLMJ Advogados e Vice-presidente da ACEPI. 

O novo regulamento já está em vigor e começa a ser aplicado a partir de 25 de maio, data a partir da qual as empresas e organizações em geral podem ser fiscalizadas sobre o cumprimento das novas regras sobre o tratamento dos dados e a livre circulação dos mesmos. Isto mesmo antes de se conhecerem algumas das opções de aplicação a nível nacional, já que a lei ainda não foi aprovada.

De uma forma geral, o RGPD traz três grandes mudanças. “Uma primeira, e talvez a mais importante, é uma mudança profunda na cultura das organizações (e, principalmente, na cultura das pessoas que integram as organizações)” refere Jorge Silva Martins. Ao eliminar os procedimentos de notificação e autorização que estavam previstos na legislação ainda em vigor (a Diretiva de 95 e a Lei de Proteção de Dados), o Regulamento vem deslocar o centro de gravidade da autoridade de controlo (no caso nacional, a CNPD) para dentro de cada organização, confiando-lhe o cumprimento das disposições do Regulamento, obrigando-a a “auto-regular-se” e acenando com a ameaça de aplicação de coimas de enorme severidade pelo seu incumprimento. Os valores previstos no Regulamento podem chegar a uma coima máxima de 20 milhões de euros, ou até 4% do volume de negócios anual a nível mundial de uma empresa.

“Esta mudança de paradigma, disruptiva pela amplitude com que surge consagrada, constitui, efetivamente, uma das principais alterações introduzidas pelo RGPD e que obrigará a um esforço de adaptação interno nas organizações que irá muito para além da data de início de aplicação do novo diploma”, sublinha o vice presidente da ACEPI.

A segunda alteração é jurídica, impondo a todas as entidades sujeitas ao império do Regulamento uma (auto-)avaliação crítica e minuciosa das suas metodologias, das suas práticas internas e de toda a documentação que diga respeito ao tratamento de dados pessoais. Isto “torna o compliance em matéria de dados pessoais um elemento crítico e nuclear dentro de cada organização e no âmbito de cada atividade”, acrescenta.

Uma terceira mudança está ligada a uma componente técnica ou tecnológica que é transversal ao Regulamento, e que surge nele francamente reforçada, e que obriga as organizações à adoção das medidas técnicas e organizativas que se mostrem adequadas para assegurar um nível de segurança adequado ao risco. Aqui cabem por exemplo a pseudonimização dos dados pessoais, a implementação de mecanismos que assegurem a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento. 

Implicações diretas na área da Economia Digital e do eCommerce

“Considerando que, por natureza, as empresas de eCommerce necessitam de tratar grandes quantidades de dados pessoais no âmbito das suas atividades, é indiscutível que o RGPD terá um impacto muitíssimo significativo nas mesmas”, lembra o vice presidente da ACEPI que refere que os desafios andam em torno de três aspetos fundamentais, aos quais é necessário dar resposta para garantir a adequada adaptação das organizações:

- A criação de regras e metodologias internas de proteção de dados, que contribuam para a formação de uma verdadeira “cultura de proteção de dados” que sirva de farol a toda a sua atividade e que seja geradora de confiança;

- O mapeamento dos dados pessoais que são objeto de tratamento, cabendo aí identificar, desde logo, que dados são tratados, como foram recolhidos, como são conservados, para que finalidades foram recolhidos e durante quanto tempo são mantidos. “Este ponto é particularmente crítico para as empresas de eCommerce, que dependem em importante medida de campanhas de marketing e email marketing e que, com o RGPD, passam a estar sujeitas a obrigações de transparência muitíssimo mais apertadas, desde logo em matéria de obtenção de consentimento (agora imperativamente sujeita a uma regra de opt-in)”, explica;

- A decisão de “levar a sério” o tema da proteção dos dados pessoais. “Na verdade, o RGPD corporiza uma importante mudança a nível europeu (e talvez mesmo global) nos domínios da privacidade e da proteção de dados pessoais, trazendo agarrado a si uma nova cultura “datocêntrica” (chamemos-lhe assim), nos termos da qual os dados pessoais e o seu titular ocupam o centro da moderna cosmologia digital”, adianta Jorge Silva Martins. “O que se pede às empresas de eCommerce, portanto, é que assimilem os novos conceitos, que os adotem e adaptem às suas atividades e que introduzam a dimensão de proteção dos dados pessoais como parte integrante e fundamental dos respetivos negócios”, justifica. 

Como podem as empresas preparar-se para o RGPD? 

Como acontece noutras áreas, não há um plano único de compliance, mas vários caminhos que poderão ajudar as empresas nesta “travessia” rumo ao RGPD. Jorge Silva Martins elenca sete medidas prioritárias e que assumem uma relevância muito semelhante nos “pratos da balança” do novo regime:  

  1. Levantamento dos dados pessoais que são objeto de tratamento e identificação do fluxo a que os mesmos obedecem dentro de cada organização,;
  2. Criação de regras e metodologias internas by design (desde a conceção) e by default (por defeito) de proteção de dados, em face do já assinalado fim dos procedimentos de controlo prévio (notificações e autorizações) anteriormente tramitados junto da CNPD;
  3. Revisão dos documentos internos e contratos com terceiros com implicações em matéria de dados pessoais;
  4. Avaliação da necessidade (por imposição legal) ou conveniência de designação de um Encarregado de Proteção de Dados, dando-lhe adequada formação;
  5. Comunicação aos titulares dos dados do leque de direitos de que estes dispõem à luz do Regulamento (entre os quais os de acesso, retificação, portabilidade e apagamento) e da criação de mecanismos que permitam o exercício cabal, efetivo e célere dos mesmos;
  6. Avaliação das medidas de segurança existentes; 
  7. Criação de procedimentos expeditos de notificação à autoridade de controlo e, nos casos mais sensíveis, de comunicação aos titulares dos dados sempre que ocorram violações de dados pessoais. De certa forma, à semelhança do que já sucede no âmbito do tratamento de dados pessoais e proteção da privacidade no setor das comunicações eletrónicas.

 Jorge Silva Martins sublinha que estas são apenas algumas das medidas cuja adoção se afigura prioritária e urgente num contexto de iminente vigência do novo Regulamento. Mas alerta ainda para o facto de o cumprimento do Regulamento não poder ficar apenas “nas mãos” das organizações. “A maior responsabilização trazida pelo Regulamento deve ser amparada, compensada por um quadro de reforçada robustez e previsibilidade jurídica, que permita dar passos seguros em terrenos que são por natureza instáveis”, refere, lembrando que “a pouco mais de dois meses do início de aplicação do RGPD, não foi ainda aprovada pela Assembleia da República a lei que densifica aspetos deixados em aberto pelo legislador comunitário no Regulamento (a Proposta de Lei do Governo apenas foi aprovada no passado dia 22 de março), tal como não se conhecem ainda quaisquer orientações, instruções ou interpretações da CNPD a propósito do novo regime, o que constitui, sem margem para dúvidas, uma barreira adicional numa corrida já por si cheia de obstáculos”.

A proposta de lei já foi aprovada pelo Governo e há algumas medidas que já são conhecidas mas não foi ainda tornado público o detalhe proposto, embora a Ministra da Presidência tenha referido que o objetivo foi causar o menor impacto institucional possível. Mesmo assim, as propostas ainda podem ser objeto de alterações na Assembleia da República e não há garantia de que a aprovação e publicação aconteça antes de 25 de maio de 2018, o que não isenta as organizações de estarem preparadas para a aplicação do RGPD a partir dessa data.