Embora já esteja em vigor, o Regulamento Geral de Proteção de Dados (RGPD) começa a ser aplicado a 25 de maio de 2018 e as organizações estão preocupadas com a capacidade de prepararem as suas estruturas de dados e os sistemas para cumprirem as novas regras definidas. Mas da preocupação á execução vai uma grande distância e um estudo hoje revelado pela Microsoft, desenvolvido com a IDC, mostra que apenas 2,5% dos decisores de empresas portuguesas consideram que estão preparados para lidar com as novas regras.

O estudo foi apresentado num evento que decorre no Centro de Congressos de Lisboa, o "Breaking GDPR: Become a master", e a grande participação, que ultrapassa as 1.200 pessoas a que se somam algumas centenas de interessados que estão a acompanhar as transmissões online, é prova da necessidade de informação que as organizações sentem para se prepararem.
Paula Panarra, diretora-geral da Microsoft Portugal explica ao SAPO TEK que o interesse é elevado, e que há ainda vários mitos que é preciso desmontar, e que essa foi uma das intenções iniciais da organização deste evento. “Esta é uma oportunidade para as empresas repensarem os seus processos e as suas estruturas de dados, e para se prepararem para os usar mais eficazmente no âmbito do seu negócio”, defende.

Curiosamente a maior parte das empresas e organizações inquiridas não estão preocupadas com as coimas, apesar de serem elevadas e poderem chegar aos 20 milhões de euros. A definição de processos (320 dos inquiridos), a identificação, classificação e gestão de dados (319 inquiridos), e a formação dos colaboradores (253 inquiridos), o estabelecimento de medidas de segurança (219 inquiridos) e a capacidade de lidar com a gestão do consentimento (183 inquiridos) estão entre os principais desafios identificados.

Segundo o estudo, as empresas com mais de 250 pessoas são as que têm melhor conhecimento sobre o regulamento, mas a baixa taxa de preparação é uma preocupação, isto até porque 43% dos inquiridos afirmam que estarão preparados depois de maio de 2018, ou não sabem especificar a data.

E as PME, mini, micro e nano empresas? Paula Panarra admite que esta é também uma preocupação, mas que há soluções no mercado para que todas as empresas possam preparar-se, recorrendo a organizações legais, tecnologia e fornecedores de serviço que possam ajudar a preparar os processos e estruturas de dados.

Apesar dos resultados, André Azevedo, diretor executivo de tecnologias da Microsoft Portugal, admite ao SAPO TEK que há um longo caminho a percorrer, em pouco tempo, mas acredita que ainda há tempo para as organizações conseguirem os requisitos para estarem compliant (cumprindo as regras) com o RGPD. E embora a resposta não passe só pela tecnologia, a Cloud pode ser um acelerador, até porque aqui as empresas e organizações têm a garantia de que o trabalho de conformidade já foi feito pela Microsoft, e que nesse sentido estão protegidos.

Algumas incertezas e indefinições que ainda existem, e que ainda precisam de ser regulamentadas, não podem ser uma justificação para que as empresas não avancem com a preparação para o RGPD. A situação da falta de regulamentação, e até da definição da entidade responsável pela implementação e monitorização do RGPD, não acontece só em Portugal e Patrick Grant, conselheiro para a Economia Digital da BusinessEurope, lembra que o quadro regulatório é uma realidade dinâmica. “As empresas querem ver materializada a intenção de criar um conjunto único de regras, mas a elaboração incompleta de diretrizes em vários níveis de governance e os debates em torno do Data protection Act estão a limitar esse objetivo.

O DPO como super herói e a forma de escolher “a melhor pessoa”

Entre os oradores do evento promovido pela Microsoft, Gonca Dhont, presidente da associação de data protection officers, trouxe a sua visão e experiência de seleção e contratação dos responsáveis de tratamento de dados, os DPO (Data Protection Officer) que passam a ser obrigatórios em muitas organizações.

Apesar de serem vistos como os novos super heróis da implementação do RGPD, Gonca Dhont lembra que os DPO não são equiparados a um herói da ficção, como o Homem Aranha, porque têm uma missão que não é impossível mas que é difícil.

Na sua função, Gonca Dhont também tem a tarefa de ajudar as organizações a recrutar os DPO e a encontrar os melhores perfis. “Falamos com toneladas de organizações que estão a tentar fazer as coisas certas, mas o mais importante é ter as pessoas certas”, avisa. O mesmo perfil pode não servir a todas as empresas, e é essencial que o DPO tenha conhecimento do negócio e apoio ao mais alto nível da organização para conseguir executar as suas tarefas.

Capacidades diplomáticas e de negociação, conhecimento da área legal (e não apenas do RGPD) e um perfil proactivo são algumas das características apontadas como essenciais, mas Gonca Dhont destaca também que o DPO deve ser “um homem com um plano” e que não pode deixar de olhar para todas as áreas da empresa de forma holística, e não focar-se apenas no cumprimento das regras.

A presidente da associação avisa também que encontrar uma pessoa que consiga cumprir todos os requisitos não é fácil, e que há neste momento muita concorrência, porque não são apenas as organizações europeias que estão à procura de um DPO e que os Estados Unidos e a Ásia, sobretudo a China, estão a recrutar ativamente na Europa para estas tarefas.