Ao contrário do que muitas empresas e organizações pensam, o dia 25 de maio de 2018 não é a data de entrada em vigor do “temido” Regulamento Geral de Proteção de Dados (RGPD). É a data para a aplicação da fiscalização. O regulamento já está em vigor e os últimos anos foram considerados como um período de adaptação, embora existam ainda algumas questões a definir em vários países, entre os quais Portugal.

Na prática isso não muda nada. É a partir de 25 de maio que a forma como os dados são geridos nas organizações pode ser controlada, e, em caso de incumprimento, é a partir desta data que podem ser aplicadas as milionárias multas que têm assustado meio mundo. 4% do volume de faturação, até um máximo de 20 milhões de euros é um número que realmente é assustador.

Nos últimos meses têm-se multiplicado iniciativas de esclarecimento, formações e workshops, cursos para preparação dos Responsáveis de Tratamento de Dados (DPO – Digital Protection Officer) uma figura obrigatória em muitas organizações e que já foi até classificada como Super Herói. Mas as empresas continuam com uma baixa maturidade na preparação para cumprir o regulamento.

“A maturidade das empresas portuguesas para o tema da proteção dos dados pessoais é muito reduzida. A maioria das empresas e das entidades do setor público em Portugal estão atrasadas. Há muitas organizações que ainda não começaram a sua preparação para o Regulamento”, refere Daniel Reis, Sócio Coordenador da equipa de TMT, da PLMJ.

O escritório de advogados tem trabalhado com empresas e entidades do setor público na sua preparação, dando formação, fazendo auditorias, criando programas de compliance, formando DPOs, criando e implementando politicas e procedimentos, e por isso mesmo Daniel Reis tem uma visão bem clara das principais fragilidades e dificuldades nesta área.

Em entrevista ao SAPO TEK, o advogado sublinha que é fundamental que as organizações façam o levantamento da realidade atual, identificando os tratamentos de dados que são realizados, percebendo onde estão os dados, de onde veem, quais as divulgações, mas também identificando os fornecedores que têm acesso aos dados, revendo as condições de segurança física e informática, e os documentos que servem de base à recolha de dados.

“A complexidade desta tarefa depende necessariamente de empresa para empresa”, explica Daniel Reis que defende que a questão do tempo é falaciosa.

“Todas as organizações que tratem dados pessoais têm que se adaptar às novas regras, se ainda não começaram terão de começar o mais rapidamente possível”, avisa.

Desafios a enfrentar e multas milionárias

Um estudo recente realizado pela IDC para a Microsoft indica que apenas 2,5% das empresas consideram estar preparadas para o RGPD. As empresas com mais de 250 pessoas são as que têm melhor conhecimento sobre o regulamento, mas a baixa taxa de preparação é uma preocupação, isto até porque 43% dos inquiridos afirmam que estarão preparados depois de maio de 2018, ou não sabem especificar a data.

Com um tempo curto para se prepararem, as empresas enfrentam alguns desafios. E não são só tecnológicos. Daniel Reis aponta a necessidade de criar uma visão horizontal dentro das organizações, até porque “as organização estão organizadas por silos verticais (recursos humanos, marketing, informática, etc.), mas há tratamentos de dados pessoais em todas as áreas”.

Mas a conjugação das valências jurídica, tecnológica e operacional é outras das questões relevantes. “Como conjugar estas valências não é evidente, especialmente em empresas mais pequenas”, explica.

Apesar de existirem ainda algumas áreas a precisar de regulamentação, que deverá ser feita através de um projeto de lei que o Governo está a preparar, isto não deve impedir as empresas de começarem – ou avançarem – nos seus processos de conformidade.

E é de esperar que as primeiras fiscalizações comecem logo a seguir a 25 de maio? Embora ainda não tenha sido designada a autoridade supervisora, Daniel Reis acredita que esta deve ser o atual regulador, a Comissão Nacional de Proteção de Dados (CNPD). E mesmo com os seus poucos recursos, uma realidade que espera que comece a mudar, a aplicação do regulamento será feita.

“É expectável que a atividade de fiscalização comece logo no início da aplicação do Regulamento”, explica ao SAPO TEK. “Não obstante, não serão fiscalizadas todas as empresas ao mesmo tempo. A CNPD (como de resto qualquer autoridade reguladora) terá que fazer opções”, admite.

Os valores das coimas são uma das matérias mais relevantes. E Daniel Reis acredita que podem atingir valores elevados também em Portugal. “Os valores dependem do caso concreto. Aspetos como o número de pessoas afetado, os dados em questão, o grau de culpa, entre outros serão relevantes para a determinação da medida da coima”, detalha.

Até que valores? “Seguramente teremos montantes de milhões de euros, como de resto já acontece na área do direito da concorrência”, alerta Daniel Reis.

No fim, quem beneficia são os cidadãos. “O sistema de autorregulação criado pelo Regulamento, associado ao valor das sanções, vai forçar as organizações a alterarem a forma como abordam o tema. Os cidadãos vêm os seus direitos reforçados e terão à sua disposição mecanismos mais eficientes para reclamarem e exigirem o cumprimento dos seus direitos”, lembra o sócio e coordenador da equipa de TMT da PLMJ.