Um ano depois o que é feito do RGPD?

Faz um ano em Maio que o país parou por força da entrada em vigor do diploma publicado em 2016 sobre protecção de dados, o Regulamento Europeu de Protecção de Dados (RGPD).
Realmente, em início de 2018 poucas eram as organizações que estavam sensibilizadas para a existência de tal diploma e as exigências inerentes ao mesmo. Recordamos que a Regulamentação veio inverter o ónus e permitir que as organizações propusessem as medidas adequadas às salvaguardas dos dados pessoais tratados no âmbito das suas actividades.
Quando se percebe que as coimas poderiam atingir 4% da facturação instalou-se o pânico e naqueles primeiros meses de 2018 fomos todos bombardeados por informação, publicidade, serviços e soluções milagrosas para implementar em tempo recorde o RGPD.
Também a Comissão Nacional de Protecção de Dados parecia ter sido apanhada de surpresa, afinal não existia ainda a Regulamentação Nacional. Enfim… parecia o caos!
Contudo, passado dia 26 de Maio… Nada aconteceu de relevante e o pânico inicial transformou-se rapidamente numa apatia face ao assunto. O RGPD deixou de ser o tema prioritário das organizações, deixou de estar nas prioridades dos gestores passando a ser mais um assunto a tratar.
O que melhor recordo dessa altura é alguém afirmar que o mundo não acabava após 26 de Maio e de facto não só não acabou como o receio da aplicação imediata de coimas não se veio a concretizar.
A obrigação existe, a possibilidade de aplicação de coimas mantém-se mas o susto passou!
A CNPD criou um segmento no seu site direcionado para esta matéria
https://www.cnpd.pt/bin/rgpd/rgpd.htm onde esclarece, nomeadamente que “O registo das atividades de tratamento é uma obrigação imposta pelo RGPD para os responsáveis pelo tratamento e para os subcontratantes.” disponibilizando algumas minutas para o efeito.
O que nos leva à questão principal sobre este assunto, afinal volvido um ano o que é que as organizações já fizeram? E por organizações, referimo-nos às micro, pequenas e médias empresas e organizações equiparadas, as mesmas que foram surpreendidas em início de 2018 e que recearam a aplicação de coimas.


Mais do que a perspectiva jurídica sobre o assunto, interessa-nos no presente, partilhar a experiência que temos tido com as organizações com quem colaboramos, directa ou indirectamente, e sucintamente podemos dividi-las em três situações:
1 – As organizações que implementaram as normas do Regulamento, maioritariamente com o recurso a prestadores externos, ligados à consultoria ou informática, o que representou um investimento significativo, e que procuraram fazer um diagnóstico do tratamento de dados pessoais nas suas realidades, implementando medidas de segurança ajustadas, quer físicas, quer informáticas, e documentando todos os procedimentos, nomeadamente com Regulamentos Internos e Políticas de Privacidade, analisando o verdadeiro impacto dos mesmos na protecção dos dados pessoais, com vista a dar cumprimento ao ónus da prova em caso de se afigurar necessário;
2 – As organizações que decidiram apenas começar o processo, maioritariamente com o esforço interno, por oposição às anteriores, recusando investimentos nestas matérias e cumprindo o básico, maioritariamente junto dos trabalhadores, recolhendo os devidos consentimentos nos casos aplicáveis, nomeadamente para a divulgação dos dados em campanhas publicitárias ou na sua partilha com terceiros no âmbito do tratamento ao nível dos Recursos Humanos. As mesmas que se encontram a fazer um percurso mais lento mas com algumas iniciativas ao nível da elaboração de Políticas de Privacidade ainda que simples; e por último,
3 – As organizações que nada fizeram e que adiaram as decisões nestas matérias, as quais salvo melhor opinião, vão reagir na próxima fase de susto, porquanto, mais cedo ou mais tarde, a incidência da fiscalização e consequentemente a aplicação de coimas será inevitável. Contudo, nessa altura provavelmente em meados de 2020, já terão 2 anos da entrada em vigor, pelo que mais difícil será explicar a inércia face à obrigatoriedade que existe e que é indubitavelmente do conhecimento de todos.

Face ao exposto, e em jeito de conclusão cumpre reiterar a necessidade de implementação de salvaguardas no tratamento de dados pessoais, remetendo para as informações iniciais da CNPD que resumiam 10 medidas a adoptar:
1) Informação aos titulares dos dados
2) Exercício dos direitos dos titulares dos dados
3) Consentimento dos titulares dos dados
4) Tratamento de dados sensíveis
5) Definição de documentação e registo de atividades de tratamento
6) Criação dos procedimentos para contratos de subcontratação
7) Definição do encarregado de proteção de dados
8) Medidas técnicas e organizativas e segurança do tratamento
9) Proteção de dados desde a conceção e avaliação de impacto
10) Notificação de violações de Segurança
Esta é uma das matérias em que, por maioria de razão, não justifica protelar, – para além de se evitar a aplicação de coimas – quanto mais cedo se iniciar o processo, à semelhança do que sucede na implementação de um Sistema de Qualidade, mais cedo se constatará a sua mais-valia e as oportunidades de melhoria.

Rita Baptista – Partner/ HR Consultant

Deixe uma resposta

O seu endereço de Email não será publicado.

Podemos ajudar?

CONTACTE-NOS

Topo

Sempre a pensar em Si.

Criámos uma Mailing List exclusiva para que você receba em primeira mão as nossas notícias e publicações.

" >CONTACTE-NOS
close slider
  • Escreva aqui a sua Mensagem.
  • Este campo é para efeitos de validação e deve ser mantido inalterado.