A nova legislação de Data Privacy está ainda em processo de negociação mas é importante que as organizações se preparem desde já para o impacto que esta irá ter nos seus processos. Paulo Empadinhas, Head of Administration da ENISA, agência europeia de cibersegurança, esteve em Portugal para uma formação no âmbito do curso Intensivo de Data Privacy da Shadowsec e explicou os principais desafios.

“A legislação não vai ser uma diretiva como a atual e vai ter um efeito vinculativo, tem de ser cumprida pelos Estados Membro, mas a informação que chega às entidades nem sempre é completa”, adiantou ao TeK. A sensibilização das pessoas para com questões de privacidade está longe de ser completa, começando na definição, nos processos e na razão porque é importante.

“A questão foi bipolarizada ao início: só as pessoas más têm coisas a esconder as outras não, por isso não há problema”, explica o executivo da ENISA que lembra que o direito à privacidade está consagrado na carta dos direitos fundamentais e que foi subscrita por todos os Estados membros.

A atual diretiva de Data Privacy já cobre cerca de 85% dos casos relacionados com a privacidade, mas o problema é que outros 15% são deixados à interpretação de cada país, em termos de transposição das normas. E por isso esta nova legislação terá um carácter vinculativo, evitando as divergências que ainda existem.

“Há questões muito específicas em que os 15% de liberdade dão origem a interpretações muito diferentes. Se olharmos o que se passa em Portugal, França e Alemanha o tratamento de algumas questões é feita de forma muito diversa. Isso vai deixar de existir”, sublinha Paulo Empadinhas.

Todos os países vão ser obrigados a ter uma autoridade nacional de proteção de dados – um organismo que em Portugal já existe – e cada organização terá de ter um Data Protection Officer e um Data Controler, que em muitos casos será o CEO ou o Diretor Geral.

As questões relativas à forma como a informação é tratada, para que serve, quanto tempo fica alojada, o que se faz com ela, os mecanismos de proteção e como é que a violação das regras pode dar azo a multas que podem chegar a 2, 3 ou 4%, estão a ser definidas no âmbito da nova legislação que deverá estar finalizada até 2016 para aplicação imediata.

“São questões que vão ter um impacto muito grande”, alerta Paulo Empadinhas que admite que as organizações têm de mudar de estratégia e começar a definir a Privacidade by design, começando a desenhar estas questões logo no início do desenvolvimento dos produtos e serviços e não no final, onde já é mais difícil readaptar os processos.

“Estas questões são muito sensíveis e cada Estado membro tem uma visão e interesses distintos. A Comissão Europeia tem de agir no interesse dos cidadãos e do desenvolvimento da cultura europeia”, salienta.

Há ainda muitas áreas que estão em discussão e que podem vir a sofrer alterações antes dos princípios passarem a letra de lei, até porque uma das grandes preocupações que existe é a de conciliar o direito à privacidade com a garantia da competitividade das empresas europeias face às congéneres internacionais que se movem com outras regras.