Impactos operacionais do novo Regulamento Geral de Proteção de Dados (RGPD)

O novo regulamento obriga a que, por padrão, novos bens, serviços, produtos, sistemas, dispositivos e processos sejam construídos, desde a fase de desenho, cumprindo requisitos de privacidade. 

A publicação do Regulamento Geral sobre a Proteção de Dados (1) (RGPD) tem vindo a gerar uma preocupação generalizada nas empresas. A preocupação resulta, desde logo, do valor das coimas que introduz (até vinte milhões de euros ou 4% do volume de negócios mundial da empresa), bem como, das alterações operacionais que pode implicar nas empresas para que estejam em conformidade.

No RGPD, são particularmente relevantes as alterações introduzidas ao papel do regulador, concentrando a sua atividade em ações de fiscalização em substituição do processamento dos pedidos de autorização prévia atuais. Esta alteração responsabiliza muito mais as empresas quanto ao cumprimento das regras de privacidade. 

O regulamento será aplicável a partir de 25 de maio de 2018, devendo as organizações, com atividade na União Europeia, usarem este hiato temporal para se prepararem. 
 

Os principais desafios operacionais são: 

1. Obrigatoriedade de notificar violações de dados 

A partir de 25 de maio de 2018, as empresas que sofram uma violação de dados têm, obrigatoriamente, de notificar o regulador e o titular dos dados pessoais do facto. Nas situações de violações graves, a notificação ao regulador deverá ocorrer no prazo máximo de 72 horas.

É expectável que as empresas queiram evitar não só as coimas associadas, mas também a publicidade negativa dessas divulgações. Para tal, devem avaliar a sua exposição aos riscos de violações de privacidade e realizar ações que melhorem a segurança da sua organização. 
 

2. "Direito a ser esquecido" 

Este requisito introduzido pelo RGPD permite, ao titular dos dados e mediante determinadas circunstâncias, o direito de solicitar o apagamento/destruição de todos os seus dados pessoais guardados por uma empresa. Os dados guardados com o objetivo de cumprimento de obrigações legais, fiscais ou regulamentares estão, à partida, excluídos desse direito. 
 

3. Avaliações de impacto de privacidade 

O RGPD obriga as empresas a realizarem Data Protection Impact Assessments (DPIA) sempre que existam operações de processamento de dados invasivas. Estas avaliações devem evidenciar que os riscos de violações de dados pessoais estão anulados ou amplamente mitigados e que os requisitos do RGPD são cumpridos.

Considera-se que um dos fatores mais relevantes na preparação das organizações para o RGPD será a formação dos colaboradores nos modelos de gestão de privacidade que vierem a ser definidos e de os manter sensibilizados para o espírito que o legislador teve aquando da produção do regulamento: proteção dos dados pessoais dos cidadãos. 
 

 4. Privacidade por desenho e por padrão 

O novo regulamento obriga a que, por padrão, novos bens, serviços, produtos, sistemas, dispositivos e processos sejam construídos, desde a fase de desenho, cumprindo requisitos de privacidade. As evidências desta preocupação devem abranger o modelo de governação da privacidade na organização com políticas, procedimentos e regras que enderecem a privacidade por desenho e por padrão. Adicionalmente, devem implicar o desenvolvimento de competências de "engenharia" de privacidade por toda a organização. 

5. Encarregado de proteção de dados 

O regulamento prevê a criação da função de Data Protection Officer (DPO), ou seja, de encarregado de proteção de dados.

As organizações devem designar um DPO quando há tratamento de dados pessoais, que devido à natureza, âmbito ou finalidade exija um controlo regular e sistemático, ou quando há tratamento de dados sensíveis em grande escala.

O DPO terá como principais tarefas a monitorização da conformidade com o RGPD, a metodologia e quando realizar DPIA, a cooperação com o regulador, o acompanhamento do risco associado às operações de processamento de dados e o garantir do registo das evidências necessárias para demonstrar a conformidade junto do regulador. 

Face aos desafios operacionais apresentados, a primeira diligência deverá ser a avaliação da conformidade com o RGPD e a identificação de iniciativas que minimizem o risco de incumprimento à data do início das ações inspetivas, constituindo o "roadmap" para a conformidade.

O "roadmap" incluirá, necessariamente, iniciativas jurídicas, processuais e tecnológicas. Conclui-se aconselhando-se as empresas, e caso ainda não tenham iniciado esse caminho, a com a maior celeridade possível definirem o seu "roadmap" para a conformidade e lançarem a sua execução. O dia 25 de maio de 2018 é já amanhã!!! 
 

(1) Regulamento (UE) n.º 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (OJ L119, p. 1), oficialmente designado Regulamento Geral sobre a Proteção de Dados (RGPD)

Hugo Veríssimo Oliveira, Senior Manager da PwC 

In Canal de Negócios, 6 de novembro de 2017

Contacte-nos

Pedro Palha
Manager
Tel: +351 213 599 651
Email

Siga-nos