Home / Publicações / Proteção de dados. Saiba tudo o que muda com a nova...

Proteção de dados. Saiba tudo o que muda com a nova lei a partir de maio

Jornal Económico

2/02/2018

Jornal Económico | 2/2/2018

Proteção de dados. Saiba tudo o que muda com a nova lei a partir de maio  
 
 
PROTEÇÃO DE DADOS  
 
Como se prepara a revolução que traz o novo regulamento  
 
A implementação do novo Regulamento Geral sobre a Proteção de Dados (RGPD) em Portugal vai afetar a generalidade dos cidadãos e, especialmente, a generalidade das empresas, pela verdadeira revolução que traz ao nível dos direitos, dos deveres e do enquadramento em que vão ter de desenvolver a sua atividade. No entanto, podemos dizer que produzirá um maior impacto nos setores designados como "big handler data", isto é, naqueles que gerem e tramitam um maior volume de dados e informação. Este universo integra, principalmente, cinco setores: saúde, banca, educação, retalho e o setor público.  
 
"Considerando que os dados pessoais e a informação prosperam nestes setores, é evidente que o RGPD trará maiores desafios por virtude da complexidade dos seus sistemas e redes, volume de informação e dados pessoais, inúmeros subcontratados e cadeia de abastecimento e outras tantas complexidades", explica Andreia Teixeira, associate partner da AON Portugal, ao Jornal Económico. Apesar de grande parte das organizações não ter uma política de proteção de dados e informação definida, evidencia-se um elevado nível de confiança por parte dos consumidores no que diz respeito à solidez da segurança informática do setor da banca e seguros. Enquanto a banca, por razões legais e regulatórias, sempre esteve sujeita a um escrutínio maior, os seguros, estão a atravessar a sua revolução tecnológica e têm de conciliar o impacto tecnológico com as exigências do RGPD.  
 
Na análise que é feita neste Caderno Especial dedicado à protecção de dados, as consultoras contactadas pelo Jornal Económico consideram que já há caminho feito, mas que persistem desafios sérios a ser ultrapassados, a começar por uma alteração cultural. Aliás, Hugo Veríssimo Oliveira, advisory sénior manager da PwC diz-nos que a transformação cultural poderá revelar-se, mesmo, como o principal obstáculo na adaptação e implementação do RGPD. E será um esforço generalizado a todas as organizações, a começar pela Comissão Nacional de Proteção de Dados, que será, no final, o regulador do mercado, mas que ainda carece do enquadramento necessário para operar na nova realidade e, também, dos recursos para ser eficaz e cumprir o papel que lhe está destinado.  
 
Não se pense, porém que os desafios que se colocam em Portugal diferem, estruturalmente, do que se passa em outros dos Estados-membros. A adaptação envolve riscos e esforço em cada um dos países e, nos 28 da União Europeia, são reconhecidas outras tantas velocidades de adaptação, o que faz com que a importância da teia que tem de ser tecida em Portugal tenha a importância do todo europeu, porque se trata aqui, em última análise, de criar um mercado único. Como a informação é o novo ouro, como referem os especialistas da Universidade Católica que ouvimos, será preciso uma profissionalização consistente, com especialização de funções. No Fórum, ouvimos quase duas dezenas de protagonistas da mudança que está a ser operada. E avaliado o processo de implementação do RGPD e feito um ponto de situação sobre em que ponto os agentes se encontram no processo de adaptação à nova realidade. •  
 
 
Portugal está "a uma transformação cultural" de cumprir o RGPD  
 
O Regulamento Geral sobre a Proteção de Dados permite o livre fluxo de dados em todo o Mercado Único Digital. A cada país cabe ultrapassar os seus entraves e chegar a 25 de maio a uma só voz europeia.  
 
SÓNIA BEXIGA  
sbexiga@jornaleconomico.pt  
 
O Regulamento Geral sobre a Proteção de Dados (RGPD), com entrada em vigor agendada para 25 de maio deste ano, permite o livre fluxo de dados em todo o Mercado Único Digital. Tendo como principal meta uma maior proteção da privacidade dos cidadãos europeus, pretende reforçar a confiança e a segurança dos consumidores, e abrir oportunidades para as empresas, sobretudo as de menor dimensão. Este regulamento traduz-se num conjunto único de regras para todo o continente que garanta segurança jurídica às empresas e o mesmo nível de proteção dos dados dos cidadãos em toda a UE. Por outro lado, aplica as mesmas regras a todas as empresas que prestam serviços na UE, mesmo que tenham sede em países terceiros.  
 
Para o consumidor, as grandes alterações passam pelo reforço do direito à informação, de acesso e "direito a ser esquecido". Também um novo direito à portabilidade permitirá transferir os seus dados de uma empresa para outra. Contudo, proceder a todas alterações, a um só ritmo entre os 28 Estados-membros não foi possível. Já no início deste ano, a Comissão Europeia confirmou que os preparativos estão a avançar a ritmos diferentes e, nesta fase, apenas dois já adotaram legislação nacional relevante.  
 
Se por um lado a Comissão vem sublinhar que os Estados-membros devem acelerar a adoção de legislação nacional e garantir que as novas medidas estão em conformidade com o regulamento, por outro, reafirma que devem assegurar que as respetivas autoridades nacionais sejam dotadas dos recursos financeiros e humanos necessários para garantir a sua independência e eficiência. Neste capítulo, a Comissão consagra 1,7 milhões de euros para financiar as autoridades de proteção de dados, mas também para garantir a formação de profissionais na área. Estão disponíveis 2 milhões de euros adicionais para apoiar as autoridades nacionais em campanhas de sensibilização junto das empresas, em especial das PME.  
 
E agora ou... agora. E há entraves por ultrapassar  
 
Os desafios que se colocam a todos os Estados-membros podem agigantar--se em Portugal e para Carlos Basto, partner da EY, a principal explicação para esta situação prende-se com a maturidade do nosso tecido empresarial que "nunca se preparou verdadeiramente". Hoje, defende, "o nível de maturidade das nossas organizações seja extremamente baixo comparado com outros países da CE, tais como Alemanha ou Espanha, onde estes temas tiveram já a devida atenção". Em seu entender, este 'gap' faz com que o nível de transformação necessário para adequar as organizações ao RGPD implique "um forte investimento da organização", quer nos processos de negócio e nas tecnologias de informação, quer "no mais difícil, ou seja, a mudança de cultura que é preciso incutir nas pessoas relativamente à forma como tratam este tipo de informação", sublinha ainda Carlos Basto.  
 
Outro dos fatores de peso nesta equação, é o preço. Ou seja, para o gestor, constitui igual entrave ter de decidir entre propostas díspares na abordagem de implementação e nos preços finais. Afirmando que, neste momento, "há de tudo na abordagem ao mercado", Vitória Pinhão, partner da Auren, explica que há empresas que oferecem apenas uma abordagem jurídica, outras, mais tecnológica, e ainda há empresas que se propõem a desenhar todos os procedimentos e processos ou só os relacionados com os clientes. "A Auren tem encontrado, até, empresas com um diferente entendimento do âmbito de aplicabilidade do RGPD.  
 
As diferentes abordagens refletidas na disparidade dos preços deixam quem decide pouco confortável para fazer uma escolha informada", reforça Vitória Pinhão. Em matéria de entraves, elege ainda a necessidade de envolver a recolha de informação de muitas áreas de operação, obrigando à constituição de grupos multidisciplinares (uma forma de organização, defende, ainda "pouco comum" nas PME portuguesas); bem como a ausência de metodologias de trabalho e de 'compliance'; incapacidade financeira para investir em tecnologia de segurança; e ainda, uma "insuficiente" sensibilização dos colaboradores para a relevância da proteção de dados.  
 
Transformação cultural e RH também pesam  
 
As mudanças na arquitetura tecnológica e no 'modus operandi' dos sistemas de informação da organização, obrigando a um esforço financeiro e processual que poderá fazer estender o prazo de implementação, Hugo Veríssimo Oliveira, advisory senior manager da PwC, junta, e sublinha, a transformação cultural que poderá revelar-se como o principal obstáculo na adaptação e implementação do RGPD. Assim, a velocidade a que esta transformação ocorre é, em seu entender, "naturalmente mais lenta", dependendo do nível de resistência à mudança da organização. A este cenário acresce ainda o papel que o regulador irá desempenhar. Hugo Veríssimo Oliveira considera que ainda não foi definida a linha de atuação da CNPD, facto que entende poder vir a " limitar e/ou inibir a atuação das organizações no que diz respeito à conformidade".  
 
Esta 'check list' não fica fechada sem referirmos a questão dos recursos humanos e das suas competências. Considerando que um dos principais desafios colocados pelo RGPD é o assegurar do nível de competência ideal e especialização, Paulo André, managing partner da Baker Tilly explica que 50% das empresas não reservaram orçamento para a formação dos seus recursos em RGPD, e 6896 ainda não atualizou os seus processos. Por outro lado, apenas 40% das empresas nomearam um encarregado de proteção de dados para regular a conformidade com o RGPD e quase 50% dos encarregados por esta conformidade não têm uma qualificação formal ou relevante. Paulo André não deixa de salientar a questão do 'budget limitado' para este tema, sobretudo nas PME, mas nas quais os recursos são escassos e as limitações financeiras são os maiores problemas. Adiantando ainda quem, em média, o orçamento típico para a conformidade com o RPGD é inferior a 5800 euros.  
 
Vencer barreiras? E por aqui  
 
Para cumprir, e idealmente até 25 de maio próximo, a implementação do RGPD, cada empresa terá de encontrar a sua forma de ultrapassar os entraves. Para Carlos Basto, as empresas têm, desde já, iniciar um programa de sensibilização, comunicação e formação intenso, abrangente a toda a organização, que tenha como objetivo a transformação do modo como as pessoas agem perante este tema. Adicionalmente torna-se "imperioso" construir uma análise criteriosa de gestão de risco relativamente às áreas/ processos com maior impacto em dados privados sensíveis. Esta análise permitirá balancear o investimento nessas áreas, mostrará quais mais críticas e qual deverá ser o roadmap' de prioridades.  
 
Vitória Pinhão, por seu turno, chama a atenção para a necessidade da oferta de serviços dever ser operacionalizada numa "lógica de customização", sendo obrigatório um diagnóstico multidisciplinar inicial da realidade da empresa, antes de apresentar quaisquer soluções. E, as soluções em si, devem ser construídas com metodologias de trabalho assentes em processos de gestão e 'compliance', que otimizem a empresa como um todo, e não sirvam, apenas, para cumprir o RGPD.  
 
Para endereçar a já sublinhada "transformação cultural", Hugo Veríssimo Oliveira, afirma que é essencial a definição de um modelo de governação e relacionamento com níveis de participação, funções e responsabilidades "claramente atribuídos e que conjugue os princípios do RGPD, bem como a aderência à realidade da organização, resultando na produção de políticas sólidas para a gestão da proteção de dados". Este modelo deverá ser seguido da estruturação de um plano de comunicação, a difundir pela organização e que suporte a consciencialização do tema da privacidade e da gestão da mudança, assim como da definição de um plano de formação que garanta o envolvimento de todos os colaboradores.  
 
Ainda em matéria de recursos humanos, Paulo André salienta a importância de o DPO ter de ser "um bom comunicador, diplomata e com muita independência", sendo que as empresas, por uma questão de eficiência interna, podem nomear pessoas existentes para ocupar o cargo. E apesar de os consultores externos serem a escolha da maioria das empresas, estas devem identificar um "embaixador" do RGPD dentro da organização (DPO ou não) que centralize o levamento dos dados e dos processos, sendo que as valências técnicas a exigir serão as de marketing, informática, segurança e jurídicas. •  
 
 
COMISSÃO NACIONAL DE PROTECÇÃO DE DADOS  
 
CNPD precisa de mais leis para se preparar  
 
O regulador destaca que a Assembleia da República é que decidirá sobre os meios que vai disponibilizar para o seu funcionamento.  
 
MARIANA BANDEIRA  
mbandeira@jornaleconomico.pt  
 
O novo petróleo são dados, e o regulamento europeu quer garantir que a matéria-prima não se torna um propulsor de guerras e fonte de rendimento de vários países, tal como o seu "antecessor". A Comissão Nacional de Protecção de Dados (CNPD), enquanto futuro regulador por excelência, já começou a discutir a sua adaptação interna ao documento, mas precisa de mais detalhes regulatórios. "Não é possível concluir esse trabalho sem que o quadro legal esteja completo. Aguarda-se a legislação complementar que tem de ser feita para dar plena aplicação ao Regulamento, pelo que para já é prematuro falar sobre isso", disse fonte da CNPD ao Jornal Económico.  
 
O legislador começou por renovar o mandato de cinco anos de Filipa Calvão enquanto presidente da CNPD no final de outubro de 2017, nos termos do artigo 166.° da Constituição, do 25° da Lei n.° 67/98,e do 3° da Lei n.° 43/2004. A publicação em Diário da República refere ainda que José Grazina Machado se mantém como vogal. Atualmente composta por sete membros, a CNPD tem como principal função controlar e fiscalizar o cumprimento das disposições legais e regulamentares em matéria de proteção de dados pessoais. Terá recursos para as novas responsabilidades? O mesmo por-ta-voz frisou que será também a Assembleia da República a decidir que meios vai disponibilizar para o funcionamento da CNPD, "num cenário de obrigação do Estado-Membro em dotar a autoridade de proteção de dados dos recursos técnicos, humanos e financeiros necessários para cumprir as suas competências".  
 
Enquanto autoridade nacional de controlo de dados pessoais, a entidade começou a alertar os portugueses desde cedo, dado que o RGPD se encontra em vigor desde abril de 2016. No início de janeiro, a CNPD publicou um conjunto de 10 medidas para preparar a aplicação do regulamento europeu da proteção de dados' e dedicou um "Espaço RGPD" a orientações específicas sobre o tema destinadas a todos. "O RGPD aplica-se a todo o setor privado e setor público.  
 
Ninguém está excluído da sua aplicação, com exceção dos tribunais na sua função jurisdicional e das autoridades competentes para a prevenção e investigação criminal e repressão de infrações penais, as quais têm uma legislação própria de proteção de dados. Quem já tinha um bom nível de cumprimento da Lei de Proteção de Dados terá menos trabalho para fazer agora", explicou o regulador. Sobre o todo-poderoso D ata Protection Officer, a profissão emergente da nova lei, a comissão refere que desempenhará "seguramente um papel muito importante dentro da organização, contribuindo para um alto nível de cumprimento das obrigações legais de proteção de dados". • 

PROFISSÃO  
 
DPO. Quem é o responsável pela proteção de dados?  
 
O Encarregado de Proteção de Dados (DPO) vai integrar o 'job description' de muitas empresas e de muitas organizações. 
 
ANTÓNIO SARMENTO  
asarmento@jornaleconomico.pt  
 
A partir de Maio, as empresas têm de nomear um responsável pela protecção de dados, criado pelo novo regulamento europeu, estimando-se que serão necessários 75 mil profissionais. "O cargo do Responsável da Proteção de Dados é particularmente exigente, constitui o ponto de contacto para a autoridade de controlo, tendo que ter conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como a capacidade para desempenhar as funções de informar e aconselhar, controlar a conformidade, sensibilizar e formar, auditar e cooperar com a autoridade de controlo, entre outras", resumem os organizadoras na página de Internet criada para a formação destes profissionais (as formações estão a cargo da Associação Empresarial de Portugal, em Leça da Palmeira, e decorrem entre fevereiro e março).  
 
Só pelo facto de não designarem este encarregado de protecção de dados, que irá monitorizar o cumprimento do regulamento e ser o ponto de contacto com o regulador (a Comissão Nacional de Protecção de Dados), as empresas arriscam pagar uma multa. "O quadro sancionatório do regulamento. Ou seja, aquilo que hoje devia ser já uma preocupação generalizada das organizações, passou a sê-lo com a aplicação de coimas até 10 milhões ou 20 milhões de euros, consoante a gravidade da infração, ou 2% ou 4% do volume de faturação", explicou João Costa Quinta, sócio da DLA Piper numa entrevista ao Jornal Económico.  
 
Criada no âmbito do novo Regulamento Geral de Proteção de Dados (RGPD), que vem revolucionar o enquadramento jurídico da proteção de dados pessoais, o DPO é uma das novidades deste novo quadro legal, que, por exemplo, impõe um prazo de 72 horas para comunicar incidentes com dados e limita a capacidade das empresas pedirem e usarem dados pessoais ao fim para que realmente se destinam e com uma janela temporal definida. "O DPO personifica a autorregulação dos dados pessoais nas organizações. Parte das funções que eram da Comissão Nacional de Proteção de Dados (CNPD) passam para a responsabilidade das organizações que devem designar um DPO sempre que estejam perante as situações previstas no RGPD", explicou ao Jornal Económico, Andreia Teixeira, Sénior partner da AON.  
 
Esta responsável acrescenta que as situações previstas no RGPD parecem incluir um vasto leque de organizações e empresas vinculadas a designar um DPO, pois são utilizados conceitos indeterminados e deixa-se também alguma margem para a lei nacional definir o que se enquadra no conceito de "autoridades ou organismo público". Uma vez que o RGPD pretende salvaguardar a independência do DPO, este só responderá perante a administração/gerência e não deverá receber instruções sobre o exercício das suas funções, não podendo ser destituído por tal, esclarece a especialista.  
 
"Na hora de nomear um DPO são vários os aspetos a ter em consideração, nomeadamente, verificar se não existe um eventual conflito de interesses com a função que o DPO já desempenhava previamente e continuará a desempenhar cumulativamente (ex.°: diretor de IT ou de recursos humanos)", acrescenta Andreia Teixeira. A sua relação com as outras áreas da empresa deverá ser potenciada com vista a promover a conformidade com o RGPD. O recomendável é que o DPO seja coadjuvado por uma equipa multidisciplinar que o apoie e contribua para o cabal cumprimento das obrigações impostas pelo RGPD. "Em suma, o DPO será o garante do cumprimento do RGPD na empresa e o interlocutor entre os vários stakeholders (titulares dos dados, autoridade de controlo, entre outros)", conclui a responsável. • 

SÓNIA BEXIGA  
sbexiga@jornaleconomico.pt  
 
QUAIS SÃO OS BENEFÍCIOS PARA OS CIDADÃOS?  
 
Com as novas regras, os cidadãos passam a ter o "direito a ser esquecido"; um acesso mais fácil aos seus dados com informações mais detalhadas obre como são processados (essa informação deve estar disponível de forma clara e compreensível). O direito à portabilidade de dados tornará mais fácil para transmitir dados pessoais entre fornecedores de serviços; o direito de saber quando os dados foram alvo dos hackers: as empresas e as organizações devem notificar a autoridade nacional de supervisão da proteção de dados e comunicar ao visado, o mais rapidamente possível, para que este possa tomar as medidas adequadas.  
 
O QUE É O "DIREITO ASER ESQUECIDO"?  
 
A diretiva atual já dá aos indivíduos a possibilidade de pedir para apagar os seus dados, particularmente quando se entende que já não são necessários para o fim para o qual foram solicitados. Por exemplo, se um cidadão tiver dado o seu consentimento ao processamento para um propósito específico (como exibir numa das redes sociais) e deixa de querer este serviço, não há motivo para manter os dados no sistema. Particularmente nas situações em que envolve crianças que tornaram os seus dados acessíveis, muitas vezes sem entender completamente as consequências, não devem ficar presas a esta situação para o resto de suas vidas. Isto não significa que, a cada pedido apresentando, todos os seus dados pessoais devam ser apagados para sempre.  
 
Se, por exemplo, a retenção dos dados for necessária para a execução de um contrato, ou para o cumprimento de uma obrigação legal, os dados podem ser mantidos o tempo que for necessário para esse fim. As disposições propostas sobre o "direito a ser esquecido" são muito claras: a liberdade de expressão, bem como a pesquisa histórica e científica são salvaguardadas. Por exemplo, nenhum político poderá ter declarações anteriores apagadas da internet. Isso permitirá, por exemplo, que os sites noticiosos continuem a operar com base nos mesmos princípios.  
 
QUAIS SÃO OS BENEFÍCIOS PARA AS EMPRESAS?  
 
O RGPD proporciona clareza e consistência das regras a aplicar e restaura a confiança do consumidor, permitindo assim que as empresas aproveitem em pleno as oportunidades no mercado único digital. As empresas só terão que lidar com uma única autoridade de supervisão, e não 28, tornando mais simples e mais barato para as empresas fazer negócios na UE. As mesmas regras para todas as empresas, independentemente de onde estão estabelecidas, sendo que também para as que têm sede fora da Europa passa a ser obrigatório aplicar estas mesmas regras quando oferecerem bens ou serviços no mercado da UE.  
 
HÁ VANTAGENS ESPECÍFICAS PARA AS PME?  
 
O RGPD destina-se a estimular o crescimento económico, reduzindo os custos e a burocracia para as empresas europeias, entre as quais constam as pequenas e médias empresas (PME). A partir do momento em que passa a existir uma só regra, e não 28, a reforma ajudará as PME a entrar em novos mercados. Na nova realidade, as PME não precisam de nomear um encarregado (responsável) de proteção de dados, a menos que a atividade principal exija a monitorização regular e sistemática de pessoas em grande escala ou se forem processadas categorias especiais de dados pessoais, nomeadamente raciais ou étnicas reveladoras ou crenças religiosas.  
 
Ainda assim, não precisarão de ter um colaborador a tempo inteiro, podendo recorrer a um consultor pontualmente. As PME não precisam de manter registos de atividades de processamento, a menos que este não seja ocasional ou suscetível de resultar em risco para os direitos e liberdades da pessoa em causa. As PME não terão a obrigação de denunciar todas as violações de dados, a menos que as violações representem um alto risco para os direitos e liberdades dos cidadãos envolvidos.  
 
EMPRESAS EM FALTA PODEM SER MULTADAS?  
 
O RGPD estabelece uma variedade de ferramentas para fazer cumprir as novas regras, incluindo penalidades e multas. Quando se trata de decidir uma multa adequada, cada caso será cuidadosamente avaliado e há uma série de fatores que serão tidos em consideração: gravidade/duração da violação; número de pessoas envolvidas e nível de danos sofridos; caráter intencional da infração; quaisquer ações tomadas para mitigar o dano; grau de cooperação com a autoridade de supervisão. O regulamento estabelece ainda dois limites máximos para as multas se as regras não forem respeitadas: o primeiro teto fixa multas até um máximo de 10 milhões de euros ou, no caso de uma empresa, até 2% do volume de negócios total anual. O teto mais alto tem como limite máximo 20 milhões de euros ou 496 do volume de negócios anual mundial. As multas serão sempre ajustadas às circunstâncias de cada caso. • 

JOÃO LEITÃO FIGUEIREDO  
CMS Rui Pena & Arnaut  
Advogado Associado  
 
NOVOS MODELOS DE AVALIAÇÃO DE RISCO  
 
O RGPD revolucionou o quadro regulamentar no que concerne à proteção de dados, obrigando as entidades a um esforço de adaptação legal, organizacional e técnico significativo. O maior desafio das organizações será a criação de uma nova cultura no tratamento de dados, congregando, harmonizando e unificando esforços de departamentos internos que vão desde o jurídico, aos sistemas de informação, recursos humanos, marketing ou de risco. As organizações enfrentam desafios significativos de integração das mudanças que o RGPD traz na sua atividade diária, designadamente a proteção de dados desde a conceção ou por defeito, cujo impacto real ainda não conseguem efetivamente mesurar, mas que deverão acautelar através da internalização de algumas tarefas atualmente na esfera da CNPD. As organizações são ainda desafiadas a desenvolver modelos de avaliação de risco robustos e adequados e incorporar os mesmos como um pressuposto essencial da sua atividade. Os titulares dos dados estão, dia após dia, mais informados sobre os seus direitos e atentos à atividade das organizações, pelo que estas deverão definir e implementar os mecanismos adequados ao exercício dos direitos dos titulares previstos no RGPD.  
 

Advogados

Retrato deJoão Leitão Figueiredo
João Leitão Figueiredo
Sócio
Lisbon