Como as empresas portuguesas estão se preparando para o novo Regulamento Geral de Proteção de Dados (GDPR)?

O tema do momento na Europa é o Regulamento Geral sobre Proteção de Dados (GDPR), e Portugal não fica de fora, pois toda semana há um evento a respeito, que é apresentado das mais diversas formas, e por vários setores, o que demonstra uma preocupação geral de empresas, população e Administração Pública.

Os dados estatísticos são alarmantes. Em uma pesquisa[1] feita com 627 empresas portuguesas, verificou-se que:

  • 50% das empresas não conhecem o GDPR
  • 2,5% consideram-se preparadas para o GDPR

Lembrando que esse regulamento entrou em vigor no ano de 2016, oportunizando as empresas dois anos para se adequarem, tendo como data final o dia 25 de maio deste ano, ou seja, aproximadamente daqui a três meses.

A questão que se põe é: quem está preparado? Pelo que pude notar, seriam as empresas de grande porte, mas o que assusta a todos é a elevada porcentagem de “não preparadas”, como demonstrado acima, e essas seriam a grande massa (pequenas e médias).

Ainda nessa pesquisa[2], as empresas elencaram quais seriam os seus principais desafios frente à implementação do GDPR:

  • Definição de processos (65%)
  • Identificação, classificação e gestão de dados (64%)
  • Formação de colaboradores (51%)

Juntamente, existem outros pontos que foram alterados e/ou esclarecidos:

  • o consentimento é a palavra chave;
  • ônus de cumprir a lei passa para a empresa (antes era da Comissão Nacional de Proteção de Dados);
  • os dados são dos cidadãos, a empresa é mera depositária;
  • necessidade de informar quais são as atividades do uso dos dados;
  • linguagem clara e sucinta.

Com a intenção de auxiliar as empresas, para facilitar a implementação dos itens demonstrados acima, o pensamento deve ser o seguinte: “necessito de toda essa informação?”. A ideia de que se deve captar a maior quantidade de dados possíveis, para o futuro, não poderá mais ser aplicada, tendo em vista a necessidade de especificação dos dados coletados.[3]

Uma das palavras centrais deste regulamento é o consentimento (opt-in), e ao mesmo tempo a que gera mais dor de cabeça, pois não importa se esse já foi dado anteriormente, assim, deve-se solicitar novamente e de forma expressa (por e-mail, checkbox, telefone, entre outros). A inquietude dos portugueses é enorme nesse ponto, tendo em vista os possíveis prejuízos nos seus negócios, tendo em vista que as multas podem alcançar valores bastante expressivos. Assim, a título de exemplo, pensemos no caso de um site que trabalha com newsletter. Ele terá que requerer novamente o consentimento dos seus clientes. E, caso não haja respostas dessas mensagens, e os clientes recebam outro e-mail, sobre a mesma indagação, algo já não corre bem sob a ótica do GDPR. Dito isso, alguns consultores acreditam que a maioria das potenciais multas virão por denúncias feitas pelos utilizadores, tendo em vista a possível ausência de cumprimento das regras, conforme apresentado no exemplo.[4]

Outro tópico trazido nas conferências, que aparentemente algumas pessoas desconhecem, – já que, quando dito, traz surpresa ao público -, é o fato de o e-mail da empresa ser um dado pessoal, e portanto, não poder ser utilizado por outra pessoa, bem como cadastrado em redes sociais. Na hipótese de um empregado sair da empresa, por regra (exceção: caso de obrigações legais, pode e deve guardar certos documentos), a empresa deverá apagar os seus dados. Uma pessoa diversa da titular dos dados não pode continuar a utilizar o e-mail – após a saída do funcionário -, assim deve-se programar uma mensagem automática informando que os questionamentos devem ser direcionados ao e-mail “x”.

Aqui, muitas pessoas veem no GDPR uma ameaça e um custo, mas que, na realidade, pode trazer muitas oportunidades, porque as empresas passaram anos recolhendo dados e nunca souberam o que fazer com eles. Agora, com essas alterações, vão precisar revisar esses dados, categorizá-los e discriminar o seu tratamento. E isso pode trazer novas ideias de como esses dados (desde que consentidos, obviamente) poderão ser usados para gerar novos negócios.[5]

Além desses pontos, constata-se que vários setores das empresas terão que se comunicar, os quais talvez nunca tenham se comunicado antes (como IT & Legal, HR & IT, HR& Legal, etc), e isso gerará desafios internos em relação a gestão de pessoas, capacitação e integração entre as equipes (para entender um pouco mais, deixo um vídeo que demonstra essa aproximação: https://www.gdprandbeyond.com/video/backup-and-recovery/gdpr-affects-everyone/).

Voltando a algumas disposições do Regulamento, existe uma previsão de que os estados-membros devem elaborar uma lei nacional, entretanto, Portugal ainda não o fez (apenas Alemanha[6] e Áustria[7]), mas isso não impede o regulamento de entrar em vigor. Caso o estado-membro não cumpra as medidas, como por exemplo, não apresente a lei antes do dia 25 de maio, a Comissão poderá utilizar o procedimento de infração.[8]

Já existe uma proposta de lei elaborada (que não é pública, mas o site consultado teve acesso), e, entre as suas disposições, há a isenção ao Estado do pagamento “de contraordenações no caso de fugas de dados, acesso indevido ou irregularidades no tratamento de informação dos cidadãos”.[9]

E agora? Essa regulamentação será apenas aplicável às Entidades Privadas? Sinceramente, não me parece coerente, pois o Estado deve dar o exemplo – ou pelo menos deveria. Por óbvio, tal disposição é criticada, além de que, em alguns casos, gerará desequilíbrio no mercado, tendo em vista que o Estado por vezes compete com o ente privado (ex: bancos, saúde, transportes). Isso também nos faz pensar que as entidades públicas não estão preparadas para a aplicação do Regulamento.[10]

Também, outro questionamento sem resposta, ao menos por enquanto, é em relação às câmeras de vigilância, que não poderão captar imagens de vias públicas, segundo a proposta de lei. Nesse sentido, o que será feito dos circuitos existentes nas cidades?

A verdade é que, a cada evento que participo, percebo a grande preocupação e elevado número de dúvidas levantadas. Muitas dessas, por vezes, não conseguem ser respondidas, pois é uma situação nova, para a qual não há precedentes. Assim, acredita-se que, conforme as fiscalizações forem realizadas, saberemos melhor os procedimentos e medidas a serem seguidas, bem com as multas (para a aflição de todos).

A conclusão a que se chega é que será uma fase de portas abertas, na qual devemos ver o lado positivo, especialmente para a sociedade, e para as empresas uma chance de otimizar as informações adquiridas (vídeo interessante sobre compliance https://www.gdprandbeyond.com/video/information-governance/road-gdpr-compliance/), tendo em vista as novas regras criadas.

No meio eletrônico sabe-se que os dados estão sendo capturados, e aqui levanto um questionamento: e no caso das farmácias (do Brasil), que pedem o nosso CPF para verificarem um possível “desconto”? É algo que está omisso, uma vez que não se sabe exatamente para onde esses dados vão. Vale destacar que existem farmácia que possuem parcerias com planos de saúde, logo, esses dados poderiam, potencialmente, ser compartilhados.[11]

Por fim, todos sabem – ou deveriam saber – que os dados são o “novo petróleo” (muitos modelos de negócio tratam os dados como uma ‘moeda’ vital)[12], assim, nada mais justo do que aplicar a proteção adequada, já que a anterior estava defasada, razão pela qual concordo com as novas implementações de segurança, que visam resguardar nossa privacidade e dados pessoas, em face das novas tecnologias. Até porque, quem aqui nunca recebeu uma ligação no meio da tarde, oferecendo algum serviço e ficou se questionando como conseguiram o seu contato? Pois bem, temos que enxergar essa legislação como um medida de proteção ao nosso futuro nada distante.

 

[1] Microsoft Portugal. Conferência Breaking GDPR: Become a Master (Microsoft), 30 de Janeiro, 2018, Lisboa.

[2] Microsoft Portugal. Conferência Breaking GDPR: Become a Master (Microsoft), 30 de Janeiro, 2018, Lisboa.

[3] PEIXINHO, Mário. O novo Regulamento Geral Protecção de Dados. In: Breakfast & Networking, Ávila Spaces, 02 de Fevereiro, 2018, Lisboa.

[4] PAÇO, Renato. Regulamento Geral de Proteção de Dados — A privacidade não será o que era. IT Channel. Disponível em: http://www.itchannel.pt/news/a-fundo/regulamento-geral-de-protecao-de-dados–a-privacidade-nao-sera-o-que-era. Acesso em: 05/03/2018.

[5] Microsoft Portugal. Conferência Breaking GDPR: Become a Master (Microsoft), 30 de Janeiro, 2018, Lisboa.

[6] Legislação Nacional Alemanha sobre RGPD. https://www.bgbl.de/xaver/bgbl/start.xav?start=//*%5b@attr_id='bgbl117s2097.pdf'%5d#__bgbl____1520152965805. Acesso em: 05/03/2018.

[7] Legislação Nacional Áustria sobre RGPD. Disponível em: http://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2017_I_120/BGBLA_2017_I_120.pdfsig. Acesso em: 05/03/2018.

[8]  Comissão Europeia. Disponível em: http://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX%3A52018DC0043&qid=1517578296944&from=EN. Acesso em: 05/03/2018.

[9] SÉNECA, Hugo. Governo quer isentar Estado de multas por fugas de dados, mas prevê coimas de 20 milhões para privados. Disponível em: http://exameinformatica.sapo.pt/noticias/mercados/2018-03-01-Governo-quer-isentar-Estado-de-multas-por-fugas-de-dados-mas-preve-coimas-de-20-milhoes-para-privados. Acesso em: 02/03/2018.

[10] SÉNECA, Hugo. Governo quer isentar Estado de multas por fugas de dados. Exame Informática. Disponível em: http://leitor.exameinformatica.pt/#library/exameinformatica/02-03-2018/edicao-54/ei-negocios/governo-quer-isentar-estado-de-multas-por-fugas-de-dados. Acesso em: 05/03/2018.

[11] MARCHETTI, Brunno. Como a coleta de dados pessoais pelas farmácias pode ser a ponta do iceberg de uma sinistra política que prejudica humanos e privilegia empresas. Vice. Disponível em: https://www.vice.com/pt_br/article/9kzbx5/por-que-farmacias-insistem-para-ter-seu-cpf. Acesso em: 03/03/2018.

[12] PAÇO, Renato. Regulamento Geral de Proteção de Dados — A privacidade não será o que era. IT Channel. Disponível em: http://www.itchannel.pt/news/a-fundo/regulamento-geral-de-protecao-de-dados–a-privacidade-nao-sera-o-que-era. Acesso em: 05/03/2018.

 

Por Suzan Heine

Fonte: http://www.lexmachinae.com/2018/03/09/como-as-empresas-portuguesas-estao-se-preparando-para-o-novo-regulamento-geral-de-protecao-de-dados-gdpr/

Comentários

Comentários