Um ano depois o que é feito do RGPD?

Um ano depois o que é feito do RGPD?

Faz um ano em Maio que o país parou por força da entrada em vigor do diploma publicado em 2016 sobre protecção de dados, o Regulamento Europeu de Protecção de Dados (RGPD).

Realmente, em início de 2018 poucas eram as organizações que estavam sensibilizadas para a existência de tal diploma e as exigências inerentes ao mesmo. Recordamos que a Regulamentação veio inverter o ónus e permitir que as organizações propusessem as medidas adequadas às salvaguardas dos dados pessoais tratados no âmbito das suas actividades.

Quando se percebe que as coimas poderiam atingir 4% da facturação instalou-se o pânico e naqueles primeiros meses de 2018 fomos todos bombardeados por informação, publicidade, serviços e soluções milagrosas para implementar em tempo recorde o RGPD.

Também a Comissão Nacional de Protecção de Dados parecia ter sido apanhada de surpresa, afinal não existia ainda a Regulamentação Nacional. Enfim… parecia o caos!

Contudo, passado dia 26 de Maio… Nada aconteceu de relevante e o pânico inicial transformou-se rapidamente numa apatia face ao assunto. O RGPD deixou de ser o tema prioritário das organizações, deixou de estar nas prioridades dos gestores passando a ser mais um assunto a tratar.

O que melhor recordo dessa altura é alguém afirmar que o mundo não acabava após 26 de Maio e de facto não só não acabou como o receio da aplicação imediata de coimas não se veio a concretizar.

A obrigação existe, a possibilidade de aplicação de coimas mantém-se mas o susto passou!

A CNPD criou um segmento no seu site direcionado para esta matéria https://www.cnpd.pt/bin/rgpd/rgpd.htm onde esclarece, nomeadamente que “O registo das atividades de tratamento é uma obrigação imposta pelo RGPD para os responsáveis pelo tratamento e para os subcontratantes.” disponibilizando algumas minutas para o efeito.

O que nos leva à questão principal sobre este assunto, afinal volvido um ano o que é que as organizações já fizeram? E por organizações, referimo-nos às micro, pequenas e médias empresas e organizações equiparadas, as mesmas que foram surpreendidas em início de 2018 e que recearam a aplicação de coimas.

Mais do que a perspectiva jurídica sobre o assunto, interessa-nos no presente, partilhar a experiência que temos tido com as organizações com quem colaboramos, directa ou indirectamente, e sucintamente podemos dividi-las em três situações:

Esta estratégia traz três vantagens diretas: a redução de custo na medida que a adjudicação externa representa um menor investimento comparativo do que a contratação de um trabalhador, maior rapidez na implementação de medidas porquanto existe alguém cuja prioridade é precisamente essa (por contraposição à equipa interna que está absorta em medidas imprescindíveis à prossecução do core business da organização) e a melhoria da qualidade por via da especialização dos prestadores desses serviços.

1 – As organizações que implementaram as normas do Regulamento, maioritariamente com o recurso a prestadores externos, ligados à consultoria ou informática, o que representou um investimento significativo, e que procuraram fazer um diagnóstico do tratamento de dados pessoais nas suas realidades, implementando medidas de segurança ajustadas, quer físicas, quer informáticas, e documentando todos os procedimentos, nomeadamente com Regulamentos Internos e Políticas de Privacidade, analisando o verdadeiro impacto dos mesmos na protecção dos dados pessoais, com vista a dar cumprimento ao ónus da prova em caso de se afigurar necessário;

2 – As organizações que decidiram apenas começar o processo, maioritariamente com o esforço interno, por oposição às anteriores, recusando investimentos nestas matérias e cumprindo o básico, maioritariamente junto dos trabalhadores, recolhendo os devidos consentimentos nos casos aplicáveis, nomeadamente para a divulgação dos dados em campanhas publicitárias ou na sua partilha com terceiros no âmbito do tratamento ao nível dos Recursos Humanos. As mesmas que se encontram a fazer um percurso mais lento mas com algumas iniciativas ao nível da elaboração de Políticas de Privacidade ainda que simples; e por último,

3 – As organizações que nada fizeram e que adiaram as decisões nestas matérias, as quais salvo melhor opinião, vão reagir na próxima fase de susto, porquanto, mais cedo ou mais tarde, a incidência da fiscalização e consequentemente a aplicação de coimas será inevitável. Contudo, nessa altura provavelmente em meados de 2020, já terão 2 anos da entrada em vigor, pelo que mais difícil será explicar a inércia face à obrigatoriedade que existe e que é indubitavelmente do conhecimento de todos.

Face ao exposto, e em jeito de conclusão cumpre reiterar a necessidade de implementação de salvaguardas no tratamento de dados pessoais, remetendo para as informações iniciais da CNPD que resumiam 10 medidas a adoptar:

1) Informação aos titulares dos dados

2) Exercício dos direitos dos titulares dos dados

3) Consentimento dos titulares dos dados

4) Tratamento de dados sensíveis

5) Definição de documentação e registo de atividades de tratamento

6) Criação dos procedimentos para contratos de subcontratação

7) Definição do encarregado de proteção de dados

8) Medidas técnicas e organizativas e segurança do tratamento

9) Proteção de dados desde a conceção e avaliação de impacto

10) Notificação de violações de Segurança

Esta é uma das matérias em que, por maioria de razão, não justifica protelar, – para além de se evitar a aplicação de coimas – quanto mais cedo se iniciar o processo, à semelhança do que sucede na implementação de um Sistema de Qualidade, mais cedo se constatará a sua mais-valia e as oportunidades de melhoria.

Rita Baptista
Partner, HR Consultant
ritabaptista@humangext.com