twitter

Objectivo: conhecer a minha organização através do RGPD até dia 24 de março

A Comissão Europeia estabeleceu como prazo máximo o próximo dia 24 de Março para que o Estado Português aprove e promulgue a lei nacional que executa o RGPD. Apesar do RGPD ser plenamente aplicável desde o dia 25 de Maio de 2018, será esta lei nacional que definirá os pontos deixados em aberto pelo RGPD para definição por cada Estado-Membro. Em Portugal, o Centro Hospitalar do Barreiro-Montijo foi a primeira entidade a ser autuada por infracções aos princípios da integridade e confidencialidade e minimização de dados, cifrando-se o valor total em 400.000,00€. No entanto, já foram autuadas entidades na Alemanha, França, Áustria, Reino Unido.

A coima aplicada em Portugal é a segunda mais alta da Europa, sendo apenas superada pela multa à Google aplicada pela CNIL (50.000.000,00€). Denota-se assim que, apesar do trabalho da CNPD não ser muito visível ao cidadão comum, ele está a ser de facto feito com o devido zelo e rigor pela lei.

Para uma organização se encontrar em conformidade com o RGPD, necessita, no mínimo, de realizar uma introspecção aos seus próprios processos, documentos e tecnologia, pois, só assim saberá em que fase da conformidade se encontra. Apesar de ser uma lei do século XXI, este Regulamento implica necessárias mudanças em todas as organizações, inclusive as que “ainda se encontram” no Século XX.

Quantas organizações já olharam para os contratos que possuem com os seus subcontratados e procuraram as devidas referências à protecção dos dados pessoais? Quantas organizações dispõem de uma política de privacidade, que não aquelas comuns relativas aoscookiesdos websites?

Quantas organizações ponderaram alguma vez sobre o que aconteceria com os seus clientes se houvesse uma violação de dados pessoais? Quais os danos que daí poderiam resultar? Quantas organizações têm documentos nos seus arquivos de titulares com quem já não se relacionam, ou até, nunca se relacionaram?

Todas estas situações, mas não só, devem ser analisadas internamente por cada organização, e alteradas em conformidade, por forma a não correrem riscos desnecessários. No entanto, o RGPD deve ser entendido como um artefacto útil para a adopção de novos paradigmas internos às organizações, com vista a simplificar os seus próprios processos, uma vez que o RGPD trata-se de simplificar procedimentos, ao invés de os complicar.

A observação integral do RGPD permitirá, por exemplo, definir como se deve proceder aquando do recebimento de curriculunsespontâneos, como reforçar a transparência para com o cliente, saber quando eliminar documentação arquivada, estruturar os acessos a informação de clientes e funcionários, tratar devidamente a correspondência recebida, suprimir eventuais inobservâncias com a restante lei respeitante aos dados pessoais (CCTV, por exemplo), como trabalhar fora do local de trabalho de forma mais segura, entre outros.

Além de reforçar uma boa governação das informações pessoais internas, o RGPD prevê ainda um conjunto de novas exigências (resposta a direitos dos titulares, avaliações de impacto sobre a privacidade dos dados, relações com subcontratados) que permitirão às organizações inclusive, conhecerem-se melhor e colocarem-se do lado da segurança numa era de pirataria informática e cibersegurança.

Reforça-se assim que, apesar do quadro sancionatório muito punitivo, o RGPD não deve ser visto como um fardo a carregar, mas sim como um meio para que toda a estrutura das organizações se torne mais eficiente, leve e transparente, por forma a ser observado em todo o ciclo de vida das organizações de forma positiva e permanente.


Autor: Ricardo Gomes
DM

DM

2 março 2019