Opinião de Filipa Costa, Consultora Sénior da Vexillum

"Se o tema e âmbito aparentam ser recentes, dada a massificação de informação nos últimos 6 meses (uma pesquisa simples na internet por RGPD devolve cerca de 1.800.000 resultados em 0,35 segundos) e a crescente publicidade, o seu objeto primeiro tem décadas de tentativa de implementação, avaliação, reformulação e adaptação às realidades em constante, e cada vez mais complexa, mudança...".

236

O Regulamento Geral de Proteção de Dados

O regulamento geral de proteção de dados (RGPD) (REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril de 2016) é um dos temas de 2017, 2018 e seguintes. Chegou para ficar.

Se o tema e âmbito aparentam ser recentes, dada a massificação de informação nos últimos 6 meses (uma pesquisa simples na internet por RGPD devolve cerca de 1.800.000 resultados em 0,35 segundos) e a crescente publicidade, o seu objeto primeiro tem décadas de tentativa de implementação, avaliação, reformulação e adaptação às realidades em constante, e cada vez mais complexa, mudança assente na matriz e primado do respeito pelas garantias, direitos e liberdades fundamentais dos indivíduos, do pós II grande guerra mundial, tem a sua génese nos princípios da OCDE para a privacidade e proteção de dados pessoais (OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data) e na sua transposição para um quadro de referência legal que integra a convenção 108 e a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados).

O RGPD integra um conjunto de ferramentas legislativas que tem como objetivo garantir uma maior proteção dos direitos, garantias e liberdades fundamentais dos cidadãos, titulares dos dados pessoais, salvaguardando que a privacidade e a proteção dos dados pessoais são um desígnio estratégico para a livre circulação de pessoas, bens e para o livre comércio.

Na raiz do RGPD e nos consequentes resultados desejados, cruzam-se 1) as leis e regulamentos, 2) a tecnologia e os processos organizacionais e de relacionamento entre as organizações e as suas partes interessadas e 3) as pessoas, visando inspirar o desenvolvimento de uma cultura de cidadania e de responsabilidade social que fomente a reciprocidade e a responsabilidade no tratamento dos dados pessoais e no seu fornecimento e utilização.

As leis e os regulamentos

Através de um quadro normativo mais complexo e exigente procura-se com este regulamento garantir que estão obrigados ao seu cumprimento e à conformidade:

– todos os estados-membros da União Europeia;

– todas as organizações que tratam dados pessoais de cidadãos na União Europeia;

– o conjunto de responsáveis, quer pelo tratamento dos dados pessoais, quer pelo processamento dos dados pessoais (subcontratante).

Adicionalmente:

– as autoridades de controlo (em Portugal, a Comissão Nacional de Proteção de Dados) assumem um papel mais fiscalizador;

– os processos e fluxos de comunicação com as autoridades de controlo são simplificados numa logica de “one stop shop”,isto é, ao invés de uma relação de 1 para “n”, passará a existir uma relação de 1 x 1;

– o não cumprimento dos regulamento pode conduzir à aplicação de multas, no valor de 20 milhões de euros ou 4% do volume total de vendas anual em caso de violações de dados graves, ou de 10 milhões de euros ou 2% do volume total de vendas anual, e de coimas / acionamento de responsabilidade criminal;

Desta forma, a framework legal visa promover uma maior confiança na relação com os cidadãos, e uma maior responsabilização e obrigação nos agentes económicos, para garantir e demonstrar a conformidade, quer os que tratem de dados pessoais, quer os que os processem em seu nome. A privacidade e a proteção dos dados pessoais deverão ser entendidos como um bem comum e a preservar, dado ser essencial ao normal funcionamento das trocas e fluxos no comércio, pessoas e bens.

A tecnologia e os processos organizacionais

Abordar as atividades e tarefas para dar resposta aos artigos do RGPD numa ótica simplesmente reativa, ou exclusivamente tecnológica, e de menor esforço e custo sistémicos, é desperdiçar uma oportunidade de repensar componentes fundamentas da estratégia, tornar mais eficientes as operações diárias da cadeia de valor e gerar melhores resultados.

Com efeito, e de acordo com os princípios de base que devem ser garantidos ao abrigo do regulamento, para efeitos de proteção e tratamento de dados pessoais, a saber:

→ legalidade/licitude e transparência

→ finalidade do tratamento

→ limitação do tratamento dos dados pessoais para a finalidade definida – minimização

→ exatidão e atualização dos dados pessoais

→ limitação ao armazenamento e retenção dos dados pessoais

→ segurança no tratamento dos dados pessoais – integridade e confidencialidade
é essencial e proveitoso para cada organização que trata dados pessoais, questionar:

→ que dados pessoais existem?

→ para que servem?

→ porque são retidos e guardados?

→ quanto custa ter dados a mais armazenados e ter que o manter?

→ que riscos estão associados à recolha, tratamento, utilização, armazenamento e alteração dos dados pessoais (quando maior o volume dos dado pessoais tratados e não necessários, maior o risco, naturalmente)?

Nesta ótica o regulamento pode ser um poderoso indutor da mudança organizacional e da transformação dos processos, quer ao nível da eficiência operacional, quer da própria estratégia (relacionamento, marketing, pessoas, sistemas e informação, organização documental interna, logística, …). Com a sua implementação poderão promover-se processos estruturados de transformação de hábitos ineficientes, em novas práticas, mais ágeis.

Trata-se de aproveitar e rever os custos de oportunidade investindo em sistemas integrados e interoperáveis, e não em aplicações ou soluções isoladas. Mais do que gerir os acessos, classificar informação, melhorar os sistemas anti-intrusão, definir procedimentos isolados e sistemas de resposta a incidentes “indesejados”, é fundamental olhar a organização e as várias politicas globalmente, integradamente. Só assim será possível não consumir recursos a gerir e manter processos, informação e dados desnecessários.

A tecnologia será um vetor fundamental para a conformidade, nomeadamente para garantir que as salvaguardas técnicas são implementadas nos sistemas de informação. Os pontos de acesso aos sistemas, a gestão de utilizadores e de acessos, a gestão de capacidade e da configuração dos sistemas, a capacidade dos sistemas para gerar alertas no âmbito de incidentes ou de compromissos, a capacidade de proteger a informação (ex: encriptar, pseudonimizar ou anonimizar informação), são algumas das medidas disponíveis para assegurar a conformidade.

Definir os processos chave para gerir a privacidade e a proteção de dados configura a necessidade de responder a perguntas nucleares para decidir o caminho das respostas:

→ em que contexto organizacional, no âmbito da visão, missão e quadro legal, bem como dos valores da organização, para quê e porquê, se processam dados pessoais;

→ quem é parte interessada no processamento dos dados pessoais e como é que são processados, desde a recolha à retenção e/ou eliminação;

→ qual é o modelo de governo da gestão dos dados pessoais;

→ como se gere o risco associado à gestão dos dados pessoais;

→ que áreas serão envolvidas e qual o impacto nas novas formas de processamento dos dados pessoais;

→ como se vai avaliar o retorno de um programa de privacidade e proteção de dados, …

Ao nível da gestão da cadeia de valor e dos processos e procedimentos, importa realçar que à eficácia deve corresponder um aumento da confiança dos clientes, sendo a boa gestão dos dados pessoais um dos resultados a atingir.

Tal como em todos os sistemas organizacionais, também ao nível de um programa de privacidade e proteção de dados, quanto mais cedo for implementada a proteção, na fase de conceção, melhor será a análise de risco a montante da operação com os dados, o que permite, desde logo, ganhos de eficiência e a adoção de medidas preventivas no momento certo e de forma sustentada – isso é, não se remedeiam soluções, pensam-se e existe escolha para a solução mais adequada.

Também a proteção por defeito, isto é, apenas tratar o que é necessário tratar, permite garantir que não existem atividades subsidiárias que consomem recursos adicionais, para tratar e gerir dados pessoais inúteis, durante mais tempo do que o estritamente necessário. É uma outra forma de diminuir o risco para o negócio e de focar nas atividades que aportam valor.

Finalmente, importa definir e implementar um processo de gestão de incidentes que contemple a temática da privacidade e da proteção dos dados pessoais, integradas na gestão da segurança da informação. Detetar e resolver adequadamente incidentes e identificar os problemas subsequentes atuando na causa raiz, permite tornar a prevenção uma prática diária e habitual, treinada e mecanizada. É este o segredo da continuidade do negócio e do sucesso das abordagens que permitem concretizar, no terreno, a fidelização e a confiança dos clientes. Com o tratamento dos dados pessoais importa olhar este ativo valioso e os ganhos de imagem e de reputação associados à sua boa gestão.

As Pessoas

O tratamento de dados pessoais é realizado por máquinas e por pessoas. Um programa de formação adequado, que sensibilize e que defina as práticas diárias de tratamento de dados pessoais, permite dar suporte à materialização das políticas e dos valores que são desejados para a gestão dos temas da privacidade. Ao alargar continuadamente o saber e o saber-fazer neste domínio, as pessoas da organização têm ao seu dispor as ferramentas para garantir a segurança e a proteção deste ativo.

Conseguem, essencialmente, garantir os direitos dos titulares dos dados, contribuindo para uma cultura de atualização de informação e de limitação do tratamento às operações necessárias. A palavra sobre a confiança e sobre as boas práticas “desta” organização passa mais rapidamente a mensagem do qualquer campanha publicitária e as pessoas são o primeiro garante desse processo comunicacional.

Resolver solicitações dos clientes no tempo certo, com a informação atualizada e no primeiro contacto, reduzindo o número de interações necessárias, é prestar um melhor serviço. Nos contextos atuais da relação com o cliente, voláteis, incertos, complexo e ambíguos, tratar menos dados pode significar tratar melhor os dados, mais rapidamente e com maior foco. No limite, a personalização do serviço pode depender da informação certa e não forçosamente de mais informação tratada.

Os programas de formação deverão permitir a consolidação dos conceitos sobre dados
pessoais (saber sobre o quê), para que se tratam dados pessoais (porquê e para quê), que estrutura, papéis e responsabilidades são necessários para dar suportes às operações de tratamento (quem e quando) e essencialmente, ter conhecimento sobre os princípios do tratamento dos dados pessoais e sobre os direitos dos titulares dos dados para ser eficaz nas respostas (como fazer e saber-fazer).

As políticas e os procedimentos organizacionais que suportam um programa de gestão de dados pessoais e da privacidade que dependem da ação humana, assentam na identificação, deteção e resolução de incidentes e em toda a gestão do relacionamento com os titulares dos dados, bem como, com quem está mandato para gerir incidentes, problemas, violação de dados, etc.

Assim, os programas de formação e de sensibilização deverão ser orientados para treinar os casos necessários para adequar os conteúdos ao trabalho desenvolvido, que terá, ao longo da estrutura organizacional, diferentes responsabilidades, momentos e papéis, neste domínio. Os recursos formativos com ferramentas E-Learning, por exemplo, poderão ser uma base interessante para disponibilizar conteúdos no dia-a-dia de forma acessível, flexível e continuada.

Um roteiro para implementar os processos e as medidas necessárias e garantir a conformidade

A Vexillum presta serviços de consultoria para o RGPD, através da implementação de processos, controlos e procedimentos de suporte às medidas técnicas e organizacionais adequadas para garantir a salvaguarda e a conformidade com o RGPD, em 5 etapas:

→ Diagnóstico

→ Consciencialização

→ Implementação

→ Avaliação

→ Follow Up

Cada uma destas etapas garantirá o conjunto de resultados necessários para assegurar que são endereçados e garantidos os princípios e medidas organizacionais e culturais preconizadas pelo RGPD, entre outros, a saber:

→ O Titular dos dados no centro da ação

→ Responsabilização de quem trata os dados;

→ Transparência;

→ Dizer o que se faz, como se faz e quando se faz com os dados pessoais;

→ Não existe um “the one best way”. Cada realidade organizacional exige adequação e medidas especificas para o seu contexto, grau de risco no tratamento e estratégia;

→ Realização de auditorias com carácter continuado e com abordagens preventivas;

→ Antecipação dos riscos com a realização de avaliações e impacto sempre que o sistema de gestão tenha alterações que coloquem em causa as garantias na privacidade e proteção de dados pessoais;

→ Direito a ser esquecido,

– …

A metodologia aqui descrita foi e está a ser aplicada pela Vexillum em várias empresas PME´s, com atividades diversas tais como o desenvolvimento de software, distribuição e venda de produtos, indústria, colégios, centros de formação entre outros, com elevados benefícios. O verdadeiro desafio à implementação está na resposta das PME’s, a globalidade do tecido empresarial Europeu, mediante a aposta na reflexão estratégica sobre o tema – devidamente alinhado com a estratégia e com o modelo de negócio e, na implementação de um modelo de governação de dados pessoais que não seja um constrangimento, mas uma ferramenta para fidelizar clientes e gerir com mais confiança a relação com parceiros e fornecedores.

O RGPD não é uma ameaça. É uma oportunidade de garantir que as salvaguardas técnicas e organizacionais permitem garantir a normalidade no acesso e boa gestão dos dados pessoais, analisando e mitigando o risco associado para preservar os direitos, garantias fundamentais e liberdades dos titulares dos dados.

A data de 25 de Maio de 2018 marca apenas o início de um caminho. Muitos darão os primeiros passos até lá. É sobretudo nas pessoas que se deverão suportar o foco e a ação dos projetos de implementação. A formação e a sensibilização contínuas permitirão redesenhar os processos e melhorar as funcionalidades dos sistemas de informação com 2 propósitos:

– garantir a conformidade com a lei;

– fidelizar e aumentar as relações de confiança com os clientes e fornecedores, contribuindo para melhores resultados.

Como nota final importa reter que este é um tema fundamental a implementar nos curricula no sistema de ensino e formação profissional, pois a boa gestão começa nessa fase dos futuros profissionais que irão integrar o mercado de trabalho e que são simultaneamente titulares de dados pessoais.