RGPD: O Bom, o Mau e o Vilão

artigo por João Annes, Managing Security and Data Protection Solutions @Quidgest e formador na Academia Data Protection Officer @Rumos

 

Se está a ler este artigo, podemos concordar que o mundo não acabou a 25 de maio de 2018!

As reclamações e pedidos de exercício de direitos começaram a chegar a bom ritmo, e as organizações que fizeram o “trabalho de casa” têm sido capazes de responder a este primeiro desafio. Mas estas organizações cumpridoras são a exceção que confirma a regra, pois o que mais encontramos no dia a dia, pós 25 de maio, são entidades que evidenciam fragilidades ou total inexistência de controlos de conformidade que seriam a espinha dorsal de um projeto sério.

Podemos assim considerar 3 cenários que estão a evoluir em sentidos distintos:

Primeiro Cenário

Em primeiro lugar, temos as organizações que implementaram um projeto de conformidade.
O sistema que prepararam vive agora o seu batismo de fogo, com especial foco na resposta aos pedidos dos titulares, mas também na manutenção diária da conformidade e implementação de medidas de remediação. Assistimos também à alteração do posicionamento do Encarregado de Proteção de Dados, que em muitas organizações liderou a implementação do projeto de conformidade, mas que agora procura transitar para o papel de aconselhamento, sensibilização, controlo e auditoria que o RGPD lhe destinou (art. 39º do RGPD).

Segundo Cenário

Em segundo lugar, observamos as organizações que abordaram este desafio de forma superficial. Nestes casos as fragilidades começaram já a revelar-se, seja pelo “spam de emails” com pedidos de consentimento mal formulados, ou pela incapacidade em corresponder aos pedidos de exercício de direitos dos titulares, ou pela nomeação de encarregados de proteção de dados com potenciais conflitos de interesse que nem sequer foram analisados (Ex: CEO; CFO; Diretor de HR ou de IT).

Terceiro Cenário

Em terceiro lugar, temos as organizações que ainda não começaram o seu caminho. Nestas, o risco em que vivem aumenta de dia para dia, seja por via de denúncias à CNPD (seja por parte de colaboradores, clientes, organizações sindicais ou associações, por exemplo), ou pela exposição de processos de negócio que evidenciam não-conformidades graves.

Em todos estes cenários é necessário sensibilizar as organizações para que não se deixem confundir com alguma desinformação que causa ruído, como a ideia de “jogar com a inércia do regulador”, ou que um projeto de conformidade se resume a preencher uma qualquer checklist descarregada da internet, publicar uma política no website e nomear um encarregado de proteção de dados.

Outro dos desafios comuns nestes cenários é a  resposta a pedidos ilegítimos por parte de titulares que não estão bem informados acerca dos seus direitos, e também de organizações que se substituem aos titulares seus colaboradores, oficiando outros responsáveis pelo tratamento exigindo saber informação detalhada sobre tratamentos de dados pessoais que apenas dizem respeito aos respetivos titulares. O que muda neste desafio em relação aos cenários é o esforço requerido para responder e a qualidade da resposta dada, sendo que uma resposta errada pode transformar-se numa potencial nota de culpa que as organizações estão inadvertidamente a entregar a um titular.

Independentemente dos cenários em que se possa encontrar a sua organização, existe uma figura central cujo perfil e competências é um fator crítico de sucesso, trata-se do seu encarregado de proteção de dados.

Ele precisa de ser apoiado pela organização para cumprir de forma adequada as funções que o RGPD lhe atribuiu, e para tal é crucial dotá-lo das competências (via formação especializada) e apoios, externos e/ou internos, necessários.  A consciencialização da gestão de topo e demais stakeholders para esta questão torna-se imperativa por força da responsabilidade acrescida que é frequentemente imposta ao encarregado de proteção de dados, quando a organização lhe entrega a missão de liderar a execução de um projeto de conformidade que mais tarde ele terá de auditar (este é um tema que levanta diversas questões, mas de um ponto de vista pragmático o importante é reconhecer esta realidade, e lidar com ela).

Em suma, independentemente do estado da arte da sua organização neste momento, é importante compreender o âmbito e a complexidade da missão que está a entregar ao seu encarregado de proteção de dados, que ele não pode nem deve trabalhar sozinho, nem conseguirá entregar-lhe os resultados que pretende se não o dotar das competências, meios e tempo necessário, sob pena da sua organização falhar o objetivo de ser “o bom”, falhar a qualificação para ”o mau”, e acabar como “o vilão” desta “história da proteção de dados”.


» Conheça a oferta formativa em Proteção de Dados da Rumos!