Por Ricardo Mendes (*)

Assistimos a uma rápida evolução tecnológica e cada vez mais global. Esta nova realidade veio exigir a criação de um novo regulamento, relativo à proteção de dados pessoais, que impusesse novas obrigações às empresas, bem como aos cidadãos.

Aprovado pelo Parlamento Europeu em abril de 2016, o Regulamento Geral sobre Proteção de Dados (GDPR, na sigla original) tem como primeiro objetivo harmonizar a legislação relacionada com a proteção de dados pessoais em toda a Europa. Desta forma, a União Europeia ambiciona criar aquele que será uma das referências futuras na proteção de dados - o GDPR, que proporcionará novos direitos para os indivíduos e, consequentemente, novas obrigações para as empresas. Os cidadãos europeus passam então a ter o controlo sobre os seus dados pessoais.

Este regulamento que entrará, formalmente, em vigor em maio de 2018, preconiza que as organizações criem e adaptem procedimentos que permitam o cumprimento das novas normas de proteção de dados, bem como a criação de mecanismos de controlo mais eficazes, no sentido de garantir o cumprimento da norma. O GDPR tem assim uma amplitude extraterritorial, ou seja, terá impacto, quer nas empresas sediadas na União Europeia quer nas empresas fora do espaço europeu, em que as atividades de tratamento estejam relacionadas com serviços ou visem a utilização de dados dos titulares na União Europeia.

Desta forma, nesta data, a esmagadora maioria das empresas terá de estar em conformidade com o GDPR. Caso contrário, existem sanções que podem chegar até aos 20 milhões de euros, ou até 4% do volume de negócios anual, total a nível mundial correspondente ao exercício financeiro anterior (o que for mais elevado). Estes valores são, de facto, propositadamente altos, de modo a que o esforço para estar em conformidade seja sempre inferior ao custo de não estar.

Neste contexto regulativo e com o objetivo de apoiar as empresas na promoção de um ambiente de proteção da privacidade e no alinhamento com os requisitos decorrentes do novo regulamento, tem vindo a ser desenvolvido um conjunto de medidas sobre a Gestão de Privacidade de Dados, que abrangem diversas dimensões de atuação macro, relacionadas com o conjunto de ações necessárias para garantir a cobertura de compliance exigida pela norma.

Ao longo do tempo, várias são as abordagens definidas para o GDPR. Consoante os níveis de risco identificados na organização, no que diz respeito às dimensões de legal, governance, data management e segurança, a abordagem deve assentar, fundamentalmente, numa posição de pragmatismo relativamente aos objetivos que são necessários atingir. Para tal, é necessário apostar no desenvolvimento de ações concretas que resultem na realização de atividades como legal gap analysis assessments, process and data management mapping, desenho de novos processos de governance e operacionais e planos de mapeamento tecnológico priorizados por nível de risco analisado.

Desta forma, as organizações devem, urgentemente, entrar em conformidade com o regulamento, dentro dos sistemas analíticos. Do conjunto de ações que têm demonstrado ser uma mais valia na análise ao planeamento necessário para um processo de compliance GDPR adequado, podemos destacar os seguintes pontos: a formação inicial para o alinhamento entre as equipas envolvidas no GDPR corporativo e o que efetivamente representa o GDPR na sua organização. Assim sendo, a formação afirma-se como fundamental na identificação de exemplos e tipos de dados que são relevantes, de modo a eliminar efeitos de contaminação pela dúvida e tornar mais eficiente e precisa a interpretação do trabalho de classificação e análise que fará parte dos processos de GDPR que se irão realizar.

Por outro lado, outra ação importante a desenvolver é a realização de um relatório orientado às questões de legal com gap analysis sobre os artigos não cumpridos pela organização e ações necessárias para o cumprimento das mesmas. Deve-se também elaborar um relatório que incorpore a identificação e levantamento dos repositórios de dados estruturados e não estruturados da organização, ownership e fluxos de dados mais importantes ou que apresentem pontos de maior risco.

Por último, mas não menos importante, é essencial que se construa um mapa de recomendação tecnológico e roadmap de adoção e implementação de soluções de cobertura de Governance, Data Management e Segurança, consoante os níveis de risco identificados para cada uma das ações compliance-oriented definidas.

Com esta aproximação, é possível construir um mapa sequencial de ações concretas que pretendem servir como guideline para um processo continuado de compliance GDPR, adequando-se tanto para iniciativas de primeira aproximação ao GDPR como para contexto de continuidade operacional e manutenção evolutiva da norma ao longo do tempo.

É, por isso, essencial e urgente que olhe para a forma como os dados pessoais, quer sejam de colaboradores ou de clientes, são tratados na sua organização, bem como identifique qual a sua finalidade.

Posto isto, e a sua organização? Está, verdadeiramente, preparada para o GDPR?

(*) Infastructure Solutions, Manager, Noesis