Opinião: Proteção de Dados – Sprint final

Por Carlos Marques Figueira, Services Development Director, Rumos Serviços

  • Exin Privacy and Data Protection Foundation Certified
  • Especialista em Processos de Negócio e Gestão e Proteção de Dados

A menos de três meses da entrada em vigor do Regulamento Geral de Proteção de Dados

A menos de três meses da entrada em vigor do Regulamento Geral de Proteção de Dados (RGPD), já é percetível a existência de uma consciência por parte das empresas em relação ao novo normativo. O mesmo não se pode afirmar quanto ao nível de preparação ou de conformidade. Para grande parte das empresas no nosso país, este é ainda um caminho desconhecido a trilhar. Mas que ninguém se iluda: o regulamento aplica-se a todas as empresas, com maior ou menor impacto, e vem exigir uma especial atenção a todos os processos de suporte ao negócio que envolvam operações de tratamento de dados pessoais dos cidadãos da União Europeia.

Consentimento explícito recolhido de forma lícita

O regulamento vem estabelecer que a recolha e o tratamento de dados pessoais são realizados com o consentimento explícito recolhido de forma lícita, leal e transparente junto dos seus titulares e obrigar as empresas a evidenciarem o cumprimento de medidas técnicas e organizativas que garantam confidencialidade, integridade, atualização, disponibilidade e segurança dos dados, com novas regras ao nível da finalidade da recolha e do tratamento, período de conservação, minimização e especialização do objetivo da recolha e do tratamento. Isto implica uma necessária sensibilização de todos os colaboradores da organização responsável pelo tratamento e a cadeia de fornecedores com quem esta tenha necessidade de partilhar estes dados.

O objetivo é simples, garantir um nível de conformidade que corresponda ao mínimo risco para a organização

É por isso que, num contexto de sprint final, convém perceber onde está a linha de partida e que direção tomar. Este é necessariamente um processo de mudança, que envolve pessoas, processos e tecnologia a par de um entendimento jurídico do normativo. O objetivo é simples, garantir um nível de conformidade que corresponda ao mínimo risco para a organização sem pôr em causa as operações de negócio. A melhor forma de se encarar esta mudança é reconhecer que estamos perante uma oportunidade de melhoria e otimização dos processos de negócio, da qualidade da informação, da segurança e da privacidade dos dados e não apenas num esforço para evitar as anunciadas coimas milionárias. Esta é também uma oportunidade para as empresas melhorarem os seus sistemas de informação. O maior desafio que as organizações têm pela frente é incorporar e automatizar a conformidade com as exigências do regulamento nos seus processos e sistemas de informação e minimizar o impacto nas normais operações do negócio.