Autor:
Rui Batista, Development Manager na Alidata.

RGPD. Provavelmente, a sigla mais referida neste último ano. Significa Regulamento Geral de Proteção de Dados, e, na verdade, não é uma novidade. Está em vigor desde maio de 2016, mas será aplicável já a partir de dia 25 de maio próximo. Isso mesmo. Daqui a pouco mais de um mês.

Acreditamos que não há quem não tenha lido ou ouvido muito sobre o tema. Mas, vamos a aspetos práticos: sabe exatamente do que se trata, o que é, como vai afetar a atividade da sua empresa, que medidas terá de tomar para responder a estas novas exigências ou quais as consequências (e são graves!) se não se adaptar?

Não se trata de um regulamento aplicável apenas a grandes empresas. Aplica-se a todas, independentemente da dimensão. Seja a um importador automóvel, seja a uma empresa de distribuição de peças, rede de oficinas ou uma pequena oficina independente, todos têm de cumprir com o RGPD.

Para começar, temos de entender o que é e o porquê do regulamento, perceber como o podemos cumprir e responder às novas exigências.

O RGPD surge da necessidade de uniformização das diversas leis existentes na União Europeia sobre proteção de dados pessoais. Uma necessidade presente e futura premente, face ao crescimento do mercado digital e às novas tecnologias, que são omnipresentes.

No essencial, reforçar a segurança e privacidade dos dados pessoais dos cidadãos que estejam na posse das empresas ou outras instituições públicas ou privadas, e torna-as empresas responsáveis pelos dados pessoais que processam.

O RGPD vem assim regular o registo e circulação de dados pessoais com diretrizes rigorosas quanto à sua origem, armazenamento, tratamento e acesso, o que obriga, para responder a estas exigências, à revisão da estrutura de tecnologias de informação em que assentam esses dados. É aqui que é estabelecida a relação direta do novo regulamento com o software de gestão.

Mas, onde estão armazenados dados pessoais na sua empresa? Não apenas no software de gestão, mas numa multiplicidade de suportes: papel, e-mails, pens, cloud, computadores, documentos do office, pastas de rede, aplicações de gestão, dispositivos móveis, relógios de ponto, portais entre muitos outros.

Perante este cenário de dispersão de suportes, normal em muitas empresas do pós-venda, é um grande desafio cumprir o RGPD. Mas é sempre possível. Vejamos todos os aspetos que tem de respeitar para a sua empresa estar dentro da lei.

Na Alidata definimos uma metodologia de atuação em quatro fases, que garante o escrupuloso cumprimento do regulamento: auditoria, plano de adequação, implementação e, finalmente, manutenção.

No primeiro momento é fundamental perceber a real situação presente, fazer uma análise legal, processual e tecnológica da empresa, avaliando o ponto de situação face à conformidade, o nível de risco e produzindo um relatório com todas as recomendações.

Uma das situações frequentemente identificadas é a cedência de dados a entidades subcontratadas, como por exemplo a empresa que faz e envia a newsletter. Um caso corrente, possível à luz do regulamento, mas apenas quando devidamente contratualizado.

Segue-se a criação de um plano de adequação para o cumprimento do RGPD. Nesta fase é feito um levantamento exaustivo de todos os dados pessoais e das suas formas de tratamento e conservação: Que dados pessoais existem? Onde estão localizados? Que tratamentos são feitos, por quem e com que finalidade? Qual o período de conservação e transmissões?

Após a auditoria e plano de adequação, segue-se o momento de definir o modelo de gestão de privacidade dos dados, de criar políticas e procedimentos de proteção, definir requisitos de cibersegurança e de avaliar o impacto o impacto da proteção e dados.

Ultrapassada esta terceira fase, vem a manutenção da conformidade com o RGPD por parte da empresa, com a criação de mecanismos de monitorização do cumprimento e melhoria contínua, bem como documentação de tudo o que evidencie o cumprimento integral do RGPD. Claro que, faz parte do processo a formação dos colaboradores para esta responsabilidade crítica.

A este processo, é fundamental, para qualquer empresa, independentemente da sua dimensão ou sector de atividade, implementar medidas tecnológicas que visem a segurança dos dados.

Sistemas de detecção de intrusões, garantir que existe um sistema de autenticação e segurança no acesso às redes, implementar rotinas de cópias de segurança, encriptar e-mails e todos os dispositivos que tenham dados de pessoas singulares, como telemóveis, computadores, tablets e outros, bem como os serviços cloud.

Mas, o RGPD não se resume a infraestruturas tecnológicas. É muito mais do que isso. É garantir que a origem dos dados pessoais é rastreável. Sabermos a origem e data de inserção, possuir prova de que o titular aceitou e deu autorização aos termos do tratamento de dados, conhecendo o objetivo da empresa em reter essa informação pessoal.

Para chegar à conformidade, é essencial que os empresários estejam conscientes de que este é um tema que tem que ser levado a sério. Têm que prever um orçamento para a sua implementação, eleger um responsável de proteção de dados, criar um grupo de trabalho para implementação do RGPD, e que têm que integrar e sensibilizar todas as partes envolventes: colaboradores, clientes, fornecedores, etc.

Com o RGPD, chegam novos direitos e obrigações, mas também graves penalizações para as empresas que, a 25 de maio, não cumpram as suas disposições. As coimas máximas previstas pelo regulamento são de 4% da faturação anual ou 20 milhões de euros. No entanto, de acordo com a transposição do regulamento para a lei portuguesa, já aprovada pelo Conselho de Ministros, foram estabelecidos tipos de contraordenações, graves e muito graves, com coimas mínimas associadas, no caso das PME de 1000€ e 2000€, respetivamente.

Razões de sobra para a sua empresa não correr riscos. Se ainda não tinha dedicado tempo a este tema, então está na hora de atuar de imediato. Prevenir é o melhor remédio. Poupa tempo, dinheiro e constrangimentos graves.

LER NA ÍNTEGRA