Por António Teixeira (*)

O Novo Regulamento de Proteção de Dados com aplicação direta a partir de 25 de Maio de 2018 em todos os estados da EU será aplicado a todas as “entidades” que tratem dados. Quer sejam pessoas singulares ou coletivas de direito público ou privado. Destas entidades, devem apressar-se as que já iniciaram o processo de adaptação e as que nada fizeram devem preocupar-se e apressar-se ainda mais.

Esta preocupação justifica-se pela necessária adequação das condutas às normas e pelo regime de coimas previsto. Regime que do nosso ponto de vista foi elevado ao absurdo! São dezenas, centenas, milhares de milhões de euros de coimas que podem estar em causa. Cremos que este novo regime é desfasado da realidade empresarial portuguesa que é principalmente composta por empresas micro, pequenas ou médias.

Por outro lado, o Regulamento avança com um sistema de autorresponsabilidade na decisão pelo tratamento de dados, o que suscita preocupação acrescida. Questionamos relativamente a este ponto, se haverá muitas entidades que se encontram preparadas para decidir sobre a regularidade de cada tratamento de dados? As que quiserem estar preparadas deverão criar sistemas de gestão de segurança ou de avaliação do risco amplamente automatizados.

Se colocámos reservas à preparação das entidades para decidirem pela completa legalidade de cada tratamento, o mesmo sucede relativamente à sua capacidade para assegurar o exercício dos direitos dos titulares dos dados. Este exercício pode exigir que as entidades responsáveis pelo tratamento parem o processo produtivo para se ocuparem do processo administrativo de concretização do exercício dos direitos dos titulares.

Muitas das entidades públicas ou privadas serão obrigadas a nomear um encarregado de proteção de dados que terá assumida importância no processo de gestão, devendo ter o exercício das suas funções assegurado de forma independente e sem interferência dos muitos centros de poder das empresas. Muitas interrogações subsistem relativamente a este tema, nomeadamente no que respeita à identificação da “pessoa certa” para o lugar.

O Regulamento poderá criar obstáculos ao “flow” da gestão, principalmente pela necessidade de pedir o consentimento aos titulares dos dados, uma vez que os novos requisitos são muitos. Acresce a necessidade de se corrigir as situações do passado, reobtendo consentimentos que respeitem as novas normas. Tarefa hercúlea, mas interessante face ao necessário apelo à criatividade na busca de soluções. Trabalhar a montante dos tratamentos de dados passará a ser a palavra de ordem para evitar problemas a jusante.

Muitas organizações contratam entidades para que tratem os dados em sua substituição. O Regulamento prevê um sistema alargado e solidário de responsabilidade. Este regime trará dificuldades à mesa das negociações entre os contratantes, pois além de terem que cumprir com um clausulado previsto na lei, poderá criar situações de exigência de cauções acauteladoras do incumprimento.

Este Regulamento leva-nos para novos caminhos na gestão, na liderança, nas competências das empresas e de cada pessoa nas empresas. Trata-se de uma nova era do comportamento que se exige ético para cumprir o regulamento. Estamos no campo dos códigos de conduta. Este subtema prediz um tempo de necessária formação de todos os stakeholders.

Para cumprir o Regulamento exige-se em primeiro lugar o conhecimento do estatuído na lei, em segundo lugar o desenvolvimento de competências que viabilizem o seu cumprimento e, por último, a fixação de atitudes de todos para que se equilibre os interesses do mercado e os interesses dos titulares dos dados, que vêm o seu direito à privacidade amplamente reforçado.

(*) Consultor Organizacional Externo da CEGOC