twitter

Vou implementar o RGPD. O que devo fazer? (2)

No primeiro artigo sobre o processo de implementação do RGPD abordamos a necessidade de sensibilizar toda a organização para a importância deste processo e, abordamos também, a importância da recolha de dados e o rigor a incutir para que o resultado final possa conduzir ao maior grau possível de conformidade com o RGPD.

Neste segundo artigo, abordaremos as fases de análise dos dados recolhidos, proposta de medidas e a sua discussão com o órgão decisor.

Mesmo em fase de combate à pandemia, é importante observar as regras de proteção dos dados pessoais. Eu diria até que o RGPD assume particular relevância, pois o tratamento de dados sensíveis é maior do que alguma vez foi e é necessário tomar as devidas cautelas para não infringir o Regulamento. Conhecer os deveres e responsabilidades de cada um é fundamental, para se dar a resposta adequada neste tempo de crise.

(…)

Passo 3: Já conheço a minha organização. O que faço agora com a informação recolhida?

Serei a pessoa dos 7 ofícios? Estarei eu preparado para analisar e responder a todas as prerrogativas do RGPD?

O Regulamento prevê a figura do encarregado de proteção de dados e que este deve possuir conhecimentos especializados no domínio do direito e das práticas de proteção de dados. Dominará uma só pessoa todo o conhecimento que lhe permita simultaneamente avaliar contratos, produzir informação sobre os direitos, avaliar corretamente os riscos sobre a privacidade dos dados (PIA), opinar sobre software e robustecer a arquitetura dos sistemas tecnológicos?

A experiência vai-nos ensinando que quando pretendemos tocar vários instrumentos na mesma orquestra o resultado poderá ficar aquém do pretendido.

Por isso, nesta fase, a intervenção da equipa multidisciplinar é fundamental para que cada um na sua área possa efetuar uma análise rigorosa e precisa dos documentos e procedimentos levantados com vista a preparar a fase seguinte.

Passo 4: Analisei a documentação e informação recolhida e vou propor medidas.

O pior que pode acontecer é deixarmo-nos convencer por aqueles que dizem que o RGPD é igual em todos os lados e que há umas minutas na net que resolvem todos os nossos problemas. Não há soluções standard, porque cada organização é uma e distinta de qualquer outra. O contexto, o objeto, as pessoas que lá trabalham são diferentes. Logo, não há medidas-padrão, há um “fato à medida” que é necessário “costurar”.

É fundamental produzir um documento síntese de toda a atividade produzida, documentação analisada e medidas a adotar. Este documento deve ser debatido com quem tem a responsabilidade e autoridade de decisão, uma vez que a sua execução poderá ter um impacto significativo na organização. As medidas propostas devem ser encaradas como o ponto de partida para o debate das decisões a tomar.

Nesta fase, deve ter-se presente o seguinte: mais do que mudar o “ADN”, o RGPD pretende incutir em cada organização a responsabilidade de tratar dados pessoais, dados estes que não lhe pertencem, mas que constituem propriedade dos titulares que os fornecem com vista à aquisição de um produto, prestação de um serviço ou outro. O segredo, se assim se pode dizer, passa por solidificar a base de trabalho existente, com a introdução de melhorias documentais, processuais, organizativas e tecnológicas, fundamentais à garantia da conformidade com o RGPD e, por essa via, a melhoria da eficácia e eficiência das próprias organizações.

Num próximo artigo, concluiremos este tema, com os restantes passos, que vão da criação e implementação das medidas aprovadas à formação das equipas, terminando no processo de monitorização.


Autor: Filipe Cruz
DM

DM

18 abril 2020