Inicio Tags RGPD

Tag: RGPD

RGPD: “confusão e desconhecimento mantêm-se”

O RGPD assenta no pressuposto que os dados pessoais devem ser protegidos e que são um direito individual, esta legislação foi criada para garantir que os dados pessoais, para além de protegidos, sejam utilizados apenas em caso de necessidade garantido, desta forma, a integridade dos mesmos.

Nas organizações, o RGPD não deve ser encarado como algo que só diz respeito às Tecnologias da Informação ou aos departamentos legais, mas sim a toda a organização uma vez que esta é afetada num todo – do departamento comercial, ao marketing e à comunicação, dos recursos humanos ao departamento financeiro. As mudanças devem ocorrer nas partes para que se materializem no todo.

Neste sentido, podemos dividir as organizações em dois grandes grupos:

  • As que trabalham no sentido de estar em conformidade com o RGPD para não estarem sujeitas a coimas.
  • As que aproveitam esta alteração na legislação para efectuarem alterações profundas na sua organização.

Não há nada de errado com nenhuma das abordagens anteriores, errada é a premissa de que existe uma solução milagrosa para se estar em conformidade com o RGPD.

Não existe uma fórmula secreta que ao ser cumprida termine num resultado mágico ou num certificado para que a organização esteja em conformidade com a legislação. Quando não se sabe o que uma legislação pretende, também não se conseguirá, certamente, atuar no sentido de se cumprir com ela.

Segundo um estudo lançado no final de Maio passado – no auge do buzz do RGPD – pela IDC e a Symantec, as organizações não podem, de maneira alguma ignorar o RGPD e, pelo contrário, devem inclui-lo nos processos de negócio:

  • Devem avaliar o estado de cumprimento com o RGPD
  • Devem formar parcerias com especialistas em ciber segurança
  • Organizar uma task-force multi-disciplinar para proceder à implementação de todas as alterações necessárias (o RGPD não é somente um problema de IT)

A conformidade com o RGPD é um caminho, é uma adaptação, é ser vigilante e estar ciente de que existe transparência suficiente em todos os processos da organização, os internos e os externos sendo necessário para isso iterar, reavaliar, alterar e aplicar todas as alterações necessárias até porque as organizações não são estanques, evoluem e reinventam-se.

Para acelerar o processo para a conformidade com o RGPD existem várias ferramentas no mercado, existem até alguns “certificados de compliance”, quando não é um certificado que o regulador pretende.

Escolher a melhor ferramenta ou parceiro poderá ser o primeiro grande passo para a conformidade com o RGPD porque, e voltamos a reforçar, ao não se ter conhecimento daquilo que é o resultado pretendido pelo regulador, não se consegue optar pelo caminho mais eficiente para lá chegar.

A dayzero_ apoia-se nos conhecimentos e experiência próprios e dos seus parceiros, para apoiar os clientes nos projectos de implementação do RGPD, com produtos pensados e desenhados para acompanhar e guiar na implementação, seja em consultoria in-house, ou com o Playbook RGPD ou com as soluções de cibersegurança.

Tornar a sua organização compliant com o RGPD pode e deve ser um projecto apoiado em conhecimento, parcerias e produtos que foram desenhados para esse fim.

No passado dia 10 de Julho,  a dayzero_ e a sua parceira Marbral Advisory levaram a cabo um Webinar explicativo do RGPD e daquilo que são as nossas soluções e produtos, em especial o Playbook RGPD.

Nuno Godinho, Managing Partner da dayzero_

Operadoras atualizam políticas de privacidade devido à nova lei de dados

Questionadas pela Lusa, a Vodafone, a NOS e a Altice admitiram que o RGPD cria “novos desafios” às companhias, mas as operadoras que representam a maioria do mercado asseguram que já estão a adotar medidas para cumprir a nova legislação. A Lusa também contactou a Nowo, que não respondeu até ao momento.

Relativamente à Vodafone, a operadora disse à Lusa que “uma das principais mudanças que o regulamento traz prende-se com o reforço da informação que já hoje é disponibilizada aos clientes no que diz respeito à proteção dos seus dados pessoais e ao exercício dos seus direitos”, tendo levado a companhia a “adaptar o seu processo de recolha de permissões para a utilização dos dados”.

A empresa está, por isso, a aplicar um “plano abrangente que inclui os vários pontos de contacto” para dar conta alterações às políticas de privacidade, nomeadamente através da página da internet, de carta ou de mensagem de texto, indicou a empresa à Lusa.

Até agora, segundo a Vodafone, “o processo está a decorrer dentro da normalidade e não há registo de aumento de contactos relativamente ao tema”.

Por seu lado, a operadora NOS explicou que tem “desenvolvido todos os esforços necessários para garantir o respeito pelos direitos dos titulares dos dados pessoais e a conformidade dos produtos e serviços que presta”, razão pela qual tem estado a contactar (através de e-mail, carta e mensagem de texto) os clientes para os informar “de forma clara”, solicitando ainda permissões para aplicar as novas políticas de privacidade.

“Para melhor levarmos a cabo o nosso compromisso, as medidas, direitos e obrigações plasmados no RGPD […] estão a ser endereçadas pela empresa, através de uma equipa de trabalho alargada e multidisciplinar com o objetivo de assegurar o cabal cumprimento da legislação”, notou a companhia.

Já a Altice Portugal, dona da Meo, admitiu que o novo regulamento “acarreta novos desafios para a generalidade das empresas e em especial para as que operam no mercado das comunicações eletrónicas”.

Ainda assim, assegurou que “se encontra preparada para garantir que, no momento em que o regulamento se tornar plenamente aplicável, todos os tratamentos de dados que efetua (clientes/utilizadores/colaboradores/bem como os seus subcontratados) cumprirão os novos requisitos”.

Como exemplo de medidas já adotadas, a Altice aludiu às formações dadas aos colaboradores.

À semelhança das outras duas operadoras, a Altice disse estar a utilizar o seu ‘site’ para disponibilizar “informação sobre as novas cláusulas alteradas”, estando ainda a enviar “informação de enquadramento” na fatura de abril (eletrónica e em papel).

As três empresas apontaram à Lusa que, apesar da mudança, já tinham em prática medidas de proteção dos dados.

Em resposta enviada à Lusa, a Associação dos Operadores de Comunicações Eletrónicas (Apritel) observou que o RGPD “levanta desafios de grande relevo” ao setor, uma vez que são tratados “grandes volumes de dados e informações pessoais”.

Porém, segundo a Apritel, as companhias “estão empenhadas no cumprimento do RGPD e têm vindo a dedicar a maior atenção a este tema de forma transversal nas suas organizações, através de equipas multidisciplinares que têm endereçado e operacionalizado todas as questões que lhe estão associadas, e realizado os desenvolvimentos técnicos e de sistemas necessários”.

O RGPD, que entra em vigor em 25 de maio, vai exigir que as empresas da União Europeia que lidem com o tratamento ou armazenamento de dados pessoais prestem informação sobre o tratamento, conservação e transferência desses mesmos dados.

As regras europeias preveem multas até 20 milhões de euros ou 4% do volume de negócios a grandes empresas no caso de infrações à lei consideradas contraordenações muito graves.

LUSA

PRIVASEE: Uma ponte entre as questões legais e o seu negócio

A Privasee escolheu Lisboa para instalar a sua hub europeia no final de 2017 por ser “uma excelente localização tendo em conta o sucesso da colaboração entre empresas portuguesas e suecas, e pelo facto de Portugal ser um país com recursos humanos com excelentes competências e bastante desenvolvido em termos de infraestruturas tecnológicas”.

Para a Privasee, o Regulamento Geral de Proteção de Dados (RGPD) resulta da IoT e transformação digital que tem potenciado muitos abusos em termos de privacidade.

O RGDP coloca o indivíduo em primeiro lugar, seja ele cliente, parceiro ou colaborador. Mas, mais do que isso, o RGPD vem ampliaram o conceito de conformidade em matéria de privacidade, que deixou de estar limitado à esfera jurídica e passou a respeitar os sistemas operacionais das empresas.

Qual é, portanto, o papel da Privasee? “Hoje, o maior desafio para muitas organizações é a criação de processos comuns que respeitem os direitos do indivíduo. Pelo que, a Privasee considerou essencial estabelecer uma ponte entre os departamentos comercial, jurídico e de TI”.

É necessário integrar a conformidade nas políticas de privacidade em todos os processos empresariais, através de uma «linguagem de privacidade comum».

“O RGPD é sobre confiança. É sobre saber que as empresas tratarão dos dados pessoais de todos os indivíduos, sejam eles colaboradores, clientes ou parceiros” e por isso mesmo a Privasse irá orientá-lo num percurso de maturidade em matéria de privacidade, estabelecendo as ligações necessárias para que consiga garantir que está em conformidade em todas as funções dentro da sua empresa.

EVENTO EXPORH: EXPERIENCE IS THE WAY

A ExpoRH é um evento corporate dirigido aos decisores e gestores de recursos humanos.

É o maior e mais importante evento de Recursos Humanos em Portugal, onde se realizam os grandes debates sobre o futuro do setor; Um espaço de interação entre todos os players e onde se apontam caminhos e ditam as tendências.

A partir da pergunta “Tenho tudo o que preciso para desafiar o futuro?”, a IFE desafiou expositores e visitantes para dois dias de networking, conteúdo poderoso, soluções e inspiração, num espaço onde as metodologias da área de Formação da IFE se fazem sentir em força.

A Privasse, em parceria com a IFE, apresentou os seus programas de formação e cursos sobre a privacidade dirigidos a todos os colaboradores de uma empresa:

Awareness E-learning (20 a 30 minutos) – O curso “Sensibilização para a proteção da privacidade (RGPD)” consiste numa formação eLearning criada pela Privasee para introduzir o conceito de Privacidade (RGPD) em qualquer empresa, no sentido de proporcionar uma melhor compreensão do que são informações e dados pessoais;

> Conhecer e compreender os princípios da privacidade e proteção dados

> Responsabilidades dos colaboradores no não cumprimento do RGPD

> Colocar em prática dicas simples de conformidade com o RGPD no seu local de trabalho

O curso “Sensibilização para a proteção da privacidade (RGPD)” também está disponível num formato de workshop presencial de 4 horas.

Formação em proteção de dados (7 horas) – Dirigido a advogados e juristas, responsáveis de marketing, gestores de bases de dados, responsáveis das áreas de regulação e compliance, futuros encarregados da proteção de dados e especialistas da área da segurança;

CPP – Certified Privacy Practitioner (24 horas) – Com o objetivo de dar a conhecer e utilizar ferramentas práticas para aplicar na implementação do RGPD, identificar responsabilidades e gerir os riscos de privacidade, entre outros aspetos.

Ainda durante o evento, Karen Lawrence Öqvist, CEO da Privasee, foi convidada como oradora para falar sobre a gestão da mudança e o impacto da digitalização global, principalmente das IoT, sob o tema “Criar confiança no seu ecossistema através do GDPR / privacidade”.

E porquê a IFE como parceiro de formação? Porque a Privasee procura parceiros de referência na área da educação e da formação, com um serviço de excelência e que atuam em conformidade com as melhores práticas de privacidade da indústria. Mas também porque a Privasee e a IFE partilham os valores confiança e transparência e ambas colocam as pessoas no centro da sua atuação.

O PROCESSO DE TRABALHO DA PRIVASEE DIVIDE-SE EM QUATRO PASSOS:

RGPD significa Mudança

Trataremos o seu pedido de RGPD como (parte de) um programa de gestão de mudanças, que envolve processos, pessoas e questões jurídicas (e, obviamente, um grande investimento a nível de TI).

Mobilizar pessoas

A gestão da mudança começa com a adoção de uma linguagem comum, traduzindo-se numa ponte entre os departamentos comercial, jurídico e de TI. Após esta etapa, torna-se mais fácil tomar uma decisão no âmbito orçamental e de direitos de propriedade.

Processo comercial

O RGPD foca-se no indivíduo e os processos comerciais são criados em torno de interações centradas no ser humano. É natural que encaremos os nossos projetos por processo e não por sistema de TI.

Capacitação

Saber é poder, pelo que faz parte dos nossos serviços. O nosso objetivo passa por munir a sua empresa das melhores práticas da indústria e em matéria de privacidade, bem como de conhecimentos e aprendizagem em matéria de privacidade.

QUEM É KAREN LAWRENCE ÖQVIST?

Karen é autora, oradora e uma empresária bastante apreciada.

Obteve dois graus de mestrado e certificações de privacidade com o IAPP (Associação Internacional de Profissionais de Privacidade). É Professora da IAPP para certificação CIPP em Privacidade RGPD

Defensora da privacidade, trabalha na área da Privacidade desde 2007 e criou um quadro de compreensão fácil para toda a organização colaborar com os princípios de conformidade do RGPD.

Hoje, a é Fundadora e CEO da Privasee, uma start-up focada na Proteção de Dados e Privacidade. É autora do livro “Hands-On Guide to GDPR Compliance Privacy by Design, Privacy by Default”, lançado em março de 2018. É frequentemente convidada para discursar em várias conferências, como a Segurança de TI nórdica 2016, a conferência anual IDG: Cloud Confession 2017, a ExpoRH 2018 e, ainda, Portugal eHealth Summit 2018.

GoContact é exemplo no tratamento de dados

A GoContact é uma software house que desenvolve soluções para contact centers e tem um desafio duplo porque além de ter de ser preocupar com os dados que recolhem para a desenvoltura da própria atividade têm também a missão de salvaguardar os dados dos próprios clientes.

O grande objetivo da solução que apresentam ao mercado é a recolha e tratamento de dados sobre as mais diversas formas. “Estamos constantemente a trabalhar tais dados de forma a garantir a eficácia dos negócios dos nossos clientes. Começámos a trabalhar para entrar em conformidade com o novo Regulamento Geral de Proteção de Dados há sensivelmente um ano, com o acompanhamento de duas empresas consultoras. Este é um processo ongoing e na nossa opinião será sempre”, começa por dizer João Camarate.

DOIS VETORES DE MUDANÇA

“Uma mudança ocorre internamente, na forma de como acedemos aos dados dos nossos clientes em situações tão simples como o suporte técnico, dentro da nossa infraestrutura temos de saber quem acede ao quê e com que propósito. A segunda grande mudança acontece no produto que oferecemos. Estamos focados em implementar um software nos nossos clientes que os permite blindarem-se, ou seja, o nosso cliente típico é um grande contact center, com centenas de colaboradores, com um acesso natural à informação pessoal das pessoas. Estamos agora a culminar um período de dez anos em que todas as empresas na área do IT trabalhou para a centralização de dados foi esse o caminho que culmina agora em medidas para controlar os dados”. Medidas drásticas essas que segundo João Camarate serão conhecidas na sua plenitude apenas quando forem implementadas até porque “existe uma grande zona cinzenta acerca deste RGPD e, por isso, a lei será ditada pelos casos práticos”.

A questão do consentimento é na opinião de João Camarate uma medida que será das medidas mais difíceis de definir.

A partir de 25 de maio “haverá um escalar de preocupação em que as empresas e as pessoas se aproveitarão da legislação para fazer algum barulho. Sentimos isso mesmo junto dos nossos clientes”. João Camarate afirma que tudo partirá da atitude das autoridades “se forem muito proativos na caça das multas”.

Todos os dias partilhamos dados a toda a hora, tudo o que é comunicação envolve dados. Aqui na GoContact guardamos pouquíssimos dados dos nossos clientes, apenas guardamos aqueles que estão previstos contratualmente. Implementamos uma série de medidas informáticas que garantem uma maior segurança e controlo no acesso à informação, algo que nos causou problemas a nível operacional, porém, este é um processo que com o tempo vai sendo melhor estudado”, explica o gestor de desenvolvimento.

 

A DIFERENÇA QUE FAZ A GOCONTACT

A GoContact posiciona-se como uma empresa com um software de contact center orientado para o negócio/ operações. “Normalmente, os softwares de contact center são pensados e desenhados para os departamentos de IT, o nosso foi desenhado e pensado para as áreas de operações”, refere Rui Marques.

“Se tiver um problema com a fatura de eletricidade e ligar para um call center, a empresa regista toda a interação, os softwares são omnicanais, ou seja, são pensados para registar todas as interações entre a empresa e os clientes finais em todas as plataformas digitais e todos estes softwares são desenhados para que os sistemas de informação consigam implementá-los nas suas organizações”. E é neste aspeto que a GoContact marca a diferença, de acordo com Rui Marques, a empresa desenvolveu um software diferente uma vez que ele não foi desenhado nem pensado para quem está à frente do contact center – os diretores de operações – que até à data não tinham nenhum software disponível no mercado orientados para gestão.

O sortware da GoContact criou uma ferramenta que pode ser utilizada a 100% pelos responsáveis das operações.

Um outro fator diferenciador é visível no serviço de consultoria prestado. “A GoContact não disponibiliza apenas uma ferramenta informática mas sim uma consultoria aos processos de empresa, ou seja, especialistas em operações de contact center, contrariamente à concorrência, a par disso, implementamos também a ferramenta tecnológica”, explica o CEO.

“Garantimos uma solução completa em telecomunicações. Temos sempre soluções chave na mão. Os clientes encontram em nós uma única solução de interface com todas as soluções: tecnológica e comunicações”.

Com a pretensão de crescer em mercados sólidos estão em Espanha desde finais de 2016, com uma equipa 100% espanhola e estão a passar o modelo de negócio que praticam em Portugal.

A nível nacional foram a empresa que mais cresceram em quatro anos e contam com uma carteira de clientes como a NOS, CTT, Sonae, Tranquilidade, DHL, Grupo CUF, Randstad, Adecco. Para já Rui Marques garante que o grande próximo desafio é crescer nos mercados europeus.

“Nesta fase vamos centrar-nos no mercado europeu para depois ultrapassar mais desafios em mercados mais maduros”.

PORTUGAL E O NEGÓCIO DOS CONTACT CENTER

Em 2017, a Associação Portuguesa de Contact Centers (APCC) publicou os resultados do ‘Primeiro Estudo Nacional sobre Contact Centers em Portugal’. O estudo revelou um volume de negócios anual superior a mil milhões de euros em 2017.

O setor é responsável por um volume de negócios anual no país que ronda os mil milhões de euros e que é atribuível a Prestadores de Serviços (46%); Pequenos Clientes (29%); e Grandes Clientes (25%).

Este estudo foi realizado pela KPMG junto dos associados da APCC, que incluem empresas de setores como a banca; seguros; energia; distribuição; telecomunicações; outsourcing; e tecnologia.

Saiba tudo aquilo que ainda não descobriu sobre o RGPD

Maria Leitão Pereira é chefe de divisão nos serviços de Recursos Humanos na Universidade de Aveiro, e jurista especializada em Direito do Emprego Público, cujo interesse pelo tema proteção de dados culminou no lançamento do livro “Regulamento Geral de Proteção de Dados – Manual Prático, onde se pode encontrar todas as respostas às dúvidas sobre o que fazer.

“Sempre tive interesse na questão da proteção de dados, e há algum tempo que me apercebia que eram poucos aqueles que entendiam claramente o que é o RGDP. Assim quando tive de apresentar um trabalho no final do curso FORGEP (curso para os dirigentes da administração pública) escolhi este tema por ser tão atual, inclusive no âmbito da atividade dos serviços de Recursos Humanos”.

Além disso foi vendo que haveria algum aproveitamento pelo desconhecimento que o RGDP suscitava. Tornou-se fundamental para Maria Leitão Pereira informar bem as pessoas.

O novo Regulamento aplica-se a todos os países da União Europeia e por isso mesmo, uma vez que nem todos os Estados-Membros transpuseram a Diretiva anterior da mesma forma, a nossa entrevistadora refere que existem especificidades que, até agora, não estavam previstas em Portugal. “Existem novos conceitos que não existiam em Portugal e esses conceitos precisam de ser explicados”. Como prioridade a fazer, Maria Leitão Pereira explica que as empresas e as associações terão que fazer um levantamento de dados que detém, saber que tipo de operações e que tratamentos fazem, organizar tudo e verificar, nomeadamente se o tratamento que fazem é lícito. Numa fase posterior terão de verificar as lacunas entre o que fazem e o que está previsto no RGPD e desta forma perceber se o caminho até à conformidade é (ainda) longo ou não.

PRINCIPAIS DESAFIOS

Segundo a nossa interlocutora, o maior problema e desafio que as empresas estão a ter é o facto de não verem o RGDP como oportunidade e olharem para ele como uma enorme dor de cabeça. “As empresas querem ver-se livre do RGDP. No entanto, hoje as pessoas estão atentas aos seus dados e ao uso que lhes é dado, por isso, explico sempre que o novo Regulamento deve ser visto como uma oportunidade”.

DEPOIS DE 25 DE MAIO DE 2018

“Não haverá uma grande operação de fiscalização, pelo menos no início por parte da autoridade de controlo (creio que a CNPD apostará mais na sensibilização num primeiro tempo). No entanto acho que a partir desta data os particulares irão exigir das empresas, das associações, etc, o respeito dos seus direitos, tais como o direito a ser esquecido, “direito ao apagamento”. Por outro lado as empresas terão 72 horas para comunicar à Comissão Nacional de Proteção de Dados as falhas de segurança mas as empresas devem ter presente que não é porque houve uma quebra que serão multadas. No entanto serão aplicadas coimas se não tomarem as medidasno momento devido”.

AS MUDANÇAS SÃO SUFICIENTES?

“Na minha opinião, serão suficientes para uma mudança significativa mas não para uma mudança adequada aos objectivos do RGPD. Seremos mais eficazes na proteção de dados mas o trabalho que está agora a ser realizado já deveria ter sido feito há muito tempo. Hoje em dia os nossos dados andam por aí, sabemos isso. Será essencialmente uma mudança de paradigma, nomeadamente, para o titular de dados que percebe o princípio da titularidade. Muitas empresas que têm uma enorme base de dados consideram o RGPD como algo muito aborrecido e esquecem-se que os dados nunca foram deles mas sim das pessoas. Quantos telefonemas recebemos sem saber como empresa x conseguiu o nosso número? Este tipo de telefonema vai acabar e vai acabar já em maio. Este tipo de tratamento de dados depende do consentimento expresso do particular e, não havendo consentimento, o tratamento não é lícito e essas situações devem ser reportadas à CNPD. Por agora fica a pergunta: estarão as empresas prontas para se adaptarem ao Novo Regulamento de Proteção de Dados? E mais: já começaram a preparação?

Em contagem decrescente para o RGPD

O Regulamento Geral de Proteção de Dados (RGPD) passará a ser aplicado diretamente a partir de 25 de maio de 2018, e vem substituir a atual diretiva e lei de proteção de dados pessoais. Em concreto, o que vai mudar?

Nunca antes se falou tanto num Regulamento europeu! Estamos em contagem decrescente, anunciam todos os meios, faltam menos de três meses, mas muitas das empresas ainda não sabem por onde começar. É certo que a sua execução plena começa a partir de 25 de maio, no entanto, há que desmistificar tal execução! O legislador europeu pretende que o processo de aplicação deste Regulamento seja contínuo e evolutivo.

O RGPD – aplicável diretamente a todos os Estados-membros – não é exatamente uma novidade, mas comporta mudanças significativas para todas as organizações, com maior ou menor impacto consoante a natureza, atividade, dimensão, tipo e volume de tratamentos de dados pessoais que realizem.

O Regulamento prevê o reforço dos princípios da diretiva em relação aos direitos fundamentais dos titulares dos dados pessoais, tentando uniformizar a legislação ao nível de todos os Estados-membros, e introduz algumas novidades, em termos de novos direitos para os indíviduos, como é o caso da portabilidade e do direito ao esquecimento. É no entanto, na transferência de responsabilidades para as empresas quanto aos tratamentos dos dados pessoais que estas realizam, que surge a grande novidade. Passamos assim para um cenário de autoregulação, deixando de ser necessária a comunicação das atividades de tratamento de dados à autoridade local de proteção de dados, no nosso caso em Portugal, a CNPD, a qual passará a ter um papel predominantemente fiscalizador, mas mantendo o papel de conselheiro.

Inverte-se assim o ónus de prova em caso de incumprimento por parte do responsável de tratamento de dados, que por sua vez poderá ser ou não partilhada com o subcontratante. Esta responsabilização estruturada representa o conceito de accountability. Uma alteração impactante para as empresas em caso de incumprimento, são as avultadas multas, que vão até 20 milhões de euros ou 4% do volume total global do negócio (o que for mais alto). Também aqui, no regime sancionatório, existem algumas novidades a ter em conta e que estão a ser objeto de análise por parte do legislador nacional

Com esta inversão de papeis, surgem uma série de novas obrigatoriedades para as empresas, como a exigência documentar as atividades de tratamento, comunicar falhas de segurança e violação de dados à autoridade de proteção de dados com um prazo de 72 horas. De referir a necessidade de comunicar também aos titulares dos dados afetados, caso se trate de uma falha que ponha em risco os seus direitos e liberdades fundamentais.

O legislador exige ainda que os responsáveis pelo tratamento apliquem medidas adequadas para assegurar e comprovar a sua conformidade, tendo em conta, entre outros, «os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis». Estas medidas adequadas introduzem novos conceitos, como o Privacy by Design and by Default que estabelecem princípios de privacidade na fase de desenho e conceção de produtos e serviços, e também o recurso a ferramentas e abordagens de avaliação e mitigação dos riscos, como o DPIA.

Surge com o Regulamento,  a figura do Encarregado de Proteção de Dados (EPD ou DPO na sigla inglesa) a qual assume especial relevância, sendo o ponto de contacto para a autoridade de controlo e stakeholders.

Quanto às transferências internacionais, também objeto de reformulações, não serão permitidas transferências de dados para Países fora do espaço europeu que não cumpram os níveis de proteção considerados adequados. Entre empresas existirá ainda a obrigatoriedade de estabelecer códigos de conduta e BCR’s (bidding corporate rules).

Na sua opinião, em maio já estarão as empresas prontas para a questão da portabilidade de dados? A quem ainda não tomou quaisquer medidas, o que é que deve fazer?

O direito à portabilidade de dados está de alguma forma relacionado com o direito de acesso, mas difere em vários aspetos. A ideia é permitir facilmente copiar ou transferir dados pessoais de um ambiente informático para outro, de forma estruturada e segura, sem obstáculos à sua usabilidade. Um dos objetivos deste novo direito é capacitar o titular dos dados em causa e dar-lhe maior controlo sobre os dados pessoais que lhe dizem respeito. Uma vez que a portabilidade permite a transmissão direta de dados pessoais de um responsável de dados para outro (não válido entre subcontratantes), e é também uma ferramenta importante que irá apoiar o fluxo livre de dados pessoais na UE e promover a concorrência entre responsáveis de tratamento de dados. O legislador europeu pretendeu assim facilitar a mudança entre diferentes prestadores de serviços e, portanto, promover o desenvolvimento de novos serviços no contexto da estratégia digital de mercado único.

E o que é que precisam de saber antecipadamente?

O regulamento indica em que condições devem os dados ser exportados ou fornecidos a outro responsável de tratamento de dados. É aqui que a meu ver as empresas devem para já prestar maior atenção, de forma a darem resposta ao direito do titular dos dados pessoais. Os dados pessoais devem ser fornecidos de forma estruturada e em formatos abertos que incluem arquivos CSV, TXT, outros.

A informação deve ser fornecida gratuitamente. Se o indivíduo o solicitar, as empresas poderão ser obrigadas a transmitir os dados diretamente para outra organização, se isso for tecnicamente viável. De ressalvar que, se os dados pessoais disserem respeito a mais de um indivíduo, as empresas devem ter em consideração se o fornecimento da informação prejudica ou não os direitos de qualquer outro indivíduo.

Este novo regulamento vem substituir a atual diretiva e lei de proteção de dados pessoais. Na sua opinião, era algo urgente?

Sim, claramente. Com a rápida evolução tecnológica, e as particularidades inerentes do mercado único digital, urge o reforço dos direitos dos titulares dos dados pessoais e de estes usufruírem dos serviços e oportunidades proporcionadas pela transformação digital com confiança e transparência. Se olharmos para as tendências de tecnologia e informação mundiais e para as empresas que mais lucram com a era da informação (onde estão muito mais do que os nossos dados pessoais), percebemos esta necessidade urgente de regular o acesso e tratamento dos dados. Informação é poder!

Na minha opinião, a proteção dos dados vai trazer maior confiança aos cidadãos e uma maior transparência por parte das empresas, traduzindo-se numa oportunidade para as empresas a nível da inovação e num fator reputacional para as marcas, e não apenas mais uma legislação com peso financeiro para estas.

Qual o maior desafio?

Em termos globais o maior desafio será mesmo o de as empresas conseguirem estar 100% em conformidade com todos os pontos do regulamento até 25 de maio!

O que, na realidade, não poderá acontecer uma vez que muitos dos legisladores locais ainda não adaptaram totalmente o Regulamento à legislação interna. Outro desafio, será a capacidade de estruturação e gestão dos dados, o governance, e claro, as pessoas. Envolver e sensibilizar toda a organização, todos os stakeholders, para a importância da proteção de dados, é claramente um desafio.

É igualmente desafiante a capacidade de deteção e reposta a eventuais violações de dados, “data breaches”.

Segundo a diretiva da Comissão Europeia existirá uma DPIA – Data Privacy Impact Assessment – (Avaliação de Impacto sobre Proteção de Dados) um processo destinado a descrever o processamento de dados. O que será avaliado e de que forma?

O DPIA visa assegurar uma revisão da legitimidade e cumprimento dos princípios e direitos. Permite identificar riscos face aos direitos e liberdades dos titulares dos dados e propor soluções que reduzam o risco residual e deve ser efetuada sempre que o tratamento é previsivelmente de alto risco. Sendo um documento formal e comprometedor para a empresa, deve ser tratado com muito rigor. Todos os stakeholders relevantes devem participar na realização do DPIA para estabelecer credibilidade e autoridade ao estudo. Os subcontratantes devem assistir os responsáveis de tratamento dos dados nesta avaliação, apesar da responsabilidade ser do responsável pelo tratamento.

PERFIL SANDRA VELOSO

EU GDPR e Data Privacy Certified CCIP/E, CIPM

Consultora e formadora em Data Privacy Management e Data Protection Compliance na DPON e na Calçada Advogados.

Formada em Data Privacy e EU GDPR pela Católica Lisbon School of Business & Economics (Lisboa) e ECPC (Maastricht University), e certificada pela IAPP – International Association of Privacy Professionals (EUA/Bruxelas), e pela ITGovernance (Londres).

Foi Consultora Senior na Capgemini Portugal, consolidando a larga experiência em TI com trabalho relevante em matéria de gestão e proteção de dados, em projetos de CRM e Account Based Marketing e outros.

EMPRESAS