Muito se tem falado sobre o tema, mas há ainda muito por fazer. O Regulamento Geral de Proteção de Dados (RGPD) faz parte da reforma da UE em matéria de proteção de dados pessoais e passará a ser aplicado obrigatoriamente a 25 de maio de 2018, com impactos significativos na vida das empresas.

Faltam menos de dois meses, e face à complexidade de processos a que obriga, é enorme o risco para as empresas que continuam a achar que tudo se resolve de véspera ou com a compra de um equipamento de segurança. É urgente que todas as empresas percebam que isto envolve os processos da empresa e mexe com a sua estrutura e organização.

Não se trata de um regulamento aplicável apenas a grandes empresas, aplica-se a todas, independentemente da dimensão. Este regulamento vem reforçar a segurança e privacidade dos dados pessoais dos cidadãos que estejam na posse das empresas ou outras instituições públicas ou privadas, e torna-as responsáveis pelos dados pessoais que processam.

Para cumprir o regulamento, é preciso regular o registo e circulação de dados pessoais com medidas rigorosas quanto à sua origem, armazenamento, tratamento e acesso. Como? Implementando uma estratégia de gestão de registos com procedimentos conformes com o RGPD e revendo toda a estrutura de TI, implementando medidas tecnológicas que visem a segurança dos dados.

Mas o RGPD não se resume a infraestruturas tecnológicas. É muito mais do que isso. É garantir que a origem dos dados pessoais é rastreável. Sabermos a origem e data de inserção, possuir prova de que o titular aceitou e deu autorização aos termos do tratamento de dados, conhecendo o objetivo da empresa em reter essa informação pessoal.

Sabe onde estão armazenados dados pessoais na sua empresa? Numa multiplicidade de suportes e plataformas: papel, e-mails, pens, cloud, computadores, documentos do office, pastas de rede, software de gestão, dispositivos móveis, relógios de ponto, portais entre muitos outros. Perante este cenário de dispersão de suportes, normal nas empresas, é um grande desafio cumprir o RGPD.

Mas o que arriscam as organizações que não tiverem todos os processos conforme o RGPD até 25 de maio? Consequências legais e reputacionais, com coimas máximas previstas pelo regulamento de 4% da faturação anual ou 20 milhões de euros. No entanto, de acordo com a transposição do regulamento para a lei portuguesa, já aprovada pelo Conselho de Ministros, foram estabelecidos tipos de contraordenações, graves e muito graves, com coimas mínimas associadas, no caso das PME de 1000€ e 2000€, respetivamente.

Para apoiar os nossos clientes, na Alidata definimos uma metodologia de atuação em quatro fases, que garante o escrupuloso cumprimento do regulamento: auditoria, plano de adequação, implementação e, finalmente, manutenção.

Para chegar à conformidade, é essencial que os empresários estejam conscientes de que este é um tema que tem que ser levado a sério. Têm que prever um orçamento para a sua implementação, eleger um responsável de proteção de dados, criar um grupo de trabalho para implementação do RGPD, e que têm que integrar e sensibilizar todas as partes envolventes: colaboradores, clientes, fornecedores, etc. Quando é atingida a conformidade (‘compliance’), o processo não termina. São criados mecanismos de monitorização do cumprimento e melhoria contínua, com documentação de tudo o que evidencie o cumprimento integral do RGPD.

Razões de sobra para a sua empresa não correr riscos. Para as empresas que ainda não deram o primeiro passo, é urgente colocar este tema no topo da lista de prioridades, porque há muitas necessidades de adaptação para o pouco tempo restante.

LER NA ÍNTEGRA