10 de Novembro de 2017

RGPD, o bicho de sete cabeças

A nova legislação sobre a proteção de dados não diz respeito apenas às redes sociais, às empresas de marketing ou de segurança, não diz respeito apenas às tecnologias de informação. Este novo regulamento impacta em todos os sectores: seja nas finanças, no retalho, nos transportes ou nos serviços. Este ato normativo da EU regula a forma como todas as empresas recolhem, registam, organizam, estruturam, conservam, adaptam, alteram, recuperam, consultam, utilizam ou divulgam os dados pessoais. Todas as empresas serão afetadas.

Através deste ato normativo, a EU além de regular o exercício e a proteção de um direito fundamental, considera poder intervir no mercado de diversas formas. Essa intervenção poderá concretizar-se através da criação de novos produtos e novos serviços e até criar novos mercados ou profissões (por exemplo a de encarregado de proteção de dados).

O regulamento preconiza, afinal, uma nova cultura de respeito pela privacidade nas empresas e na vida em geral, potenciada por uma nova gestão estratégica, consequência de uma necessária mudança organizacional a qual exige toda uma nova gama de competências e comportamentos. Com um regime de novos direitos, novos conceitos, novos deveres e obrigações, o regulamento pressupõe um vasto conjunto de desafios à gestão de todas as entidades às quais se aplica.

São inúmeras as matérias tratadas por este novo regulamento, sendo de salientar as seguintes: i) o novo regime das coimas; ii) a figura do encarregado de proteção de dados; iii) a mudança da hétero regulação para a auto regulação no tratamento de dados; iv) o desenho de sistemas de segurança e avaliação de risco; v) novos direitos dos titulares dos dados; vi) os novos requisitos do consentimento para o tratamento de dados; vii) o regime de notificação de violação de dados pessoais; viii) a nova política de compliance. Estamos perante um enorme rol de temas e por isso toda a atenção por parte de todos: pessoas singulares, coletivas, privadas ou públicas.

Relativamente ao novo regime de coimas e dado os seus montantes tendencialmente ilimitados (volume mundial de negócios do último exercício), um dos grandes desafios para as entidades responsáveis pelo tratamento dos dados, consiste no modo como irão tratar contabilisticamente, um tema que passa a ser considerado um corporate risk. De facto sabendo que o montante das coimas pode ascender a 20.000.000€ ou mais – se o volume mundial de negócios do ano transato for superior a vinte milhões – o que fazer na perspetiva contábil e consequentemente que decisão tomar no que ao provisionamento para coimas diz respeito?

Quanto à nomeação do encarregado de proteção de dados, o desafio inicial passa, desde logo, por as entidades que são obrigadas a nomear um encarregado, conseguirem identificar alguém com as competências necessárias ao exercício excelente da função. A decisão pela “pessoa certa” exige também o evitar de conflitos de interesses, caso seja nomeado alguém que já pertence ao quadro de colaboradores permanentes da entidade nomeante e que, por isso, já exerce outras funções potencialmente conflituantes com as funções que vai passar a exercer. Desafio relacionado com este, será conseguir que um eventual profissional independente conheça profundamente a entidade e os sistemas dos quais terá que “encarregar-se”.

Ainda relativamente ao encarregado de proteção de dados, mais desafios se adivinham, desde logo a reestruturação orgânica e o conseguir, pela concretização de meios/mecanismos de gestão, assegurar a independência no exercício das funções que um cargo como este exige.

Por último, as entidades terão que mudar/assegurar novas metodologias de comunicação organizacional, uma vez que o encarregado de proteção de dados deverá ser permanentemente informado de todos os passos tendentes a eventuais tratamentos de dados, decididos por qualquer departamento.

A partir de 25 de Maio de 2018, o planeamento estratégico das empresas, entidades e organismos públicos deverá incluir como um dos principais objetivos estratégicos construir de raiz sistemas de segurança e sistemas de avaliação de risco a fim de aumentar o grau de cumprimento do regulamento. Os sistemas de segurança deverão ser concebidos de modo a assegurar o pleno exercício dos direitos por parte dos respetivos titulares dos dados.

A proteção de dados é um dos maiores e mais importantes temas do século. Torna-se claro que o conhecimento prévio sobre o comportamento de cada pessoa é fundamental para o sucesso económico, mas também para o sucesso de cada pessoa. Com a digitalização de todas as áreas da vida, todos se tornam mais previsíveis e a sua liberdade de escolha será cada vez mais limitada. O desafio consiste em equilibrar sem violar e construir sem proibir.

Concluindo, podemos dizer que se já será um enorme desafio para todos conhecer os contornos do regime jurídico do regulamento, dominá-lo então será uma tarefa hercúlea!

por António Teixeira,
Diretor de Recursos Humanos, Formador, Consultor em Comportamento e Gestão Organizacional, Advogado (Área Laboral)

Face a toda a complexidade inerente ao tema, conheça as soluções formativas da GALILEU e comece o quanto antes a iniciar o processo de criação e adaptação dos sistemas na sua empresa: Mãos ao desafio!