O Regulamento Geral de Proteção de Dados (RGPD) tem aplicação direta e imediata a partir de 25 de maio de 2018 vindo substituir a atual diretiva e lei de proteção de dados pessoais. O novo quadro legal traz algumas mudanças significativas que terão impacto na vida das organizações, consoante a sua natureza, área de atividade, dimensão e tipo de tratamentos de dados pessoais que realizem. Assim, empresas e entidades públicas devem começar, desde já, a preparar internamente a sua organização para a aplicação do RGPD.
Neste sentido, convidamos a Drª Elsa Veloso através de entrevista, a informar os nossos leitores sobre esta temática.
É essencial conhecer as novas regras, analisar as novas obrigações, verificar o nível atual de cumprimento e adotar as medidas necessárias durante este período de transição para assegurar que tudo está pronto atempadamente.
Quais as preocupações que estiveram em cima da mesa na hora de produzir o Regulamento Geral de Proteção de Dados?
Ao produzir o Regulamento Geral sobre Proteção de Dados da UE, o Parlamento Europeu e o Conselho da União Europeia visaram criar um Regulamento destinado a reforçar a proteção de dados pessoais para os residentes na UE e fornecer um quadro consolidado para orientar a utilização de dados pessoais em toda a União, substituindo o mosaico de regulamentos e estruturas existentes. Devo sublinhar, o RGPD substitui a diretiva com 20 anos (95/46 / CE) e foi alvo de uma das mais fortes pressões negociais de toda a história legislativa europeia.
O legislador pretendeu que o RGPD fosse aplicado a todas as organizações e impactando todas as áreas, como sejam, as de Governance, Legal, Compliance, Segurança da Informação, Marketing, Engenharia e RH.
Tendo consciência que alcançar a Conformidade é um processo demorado, estando intrinsecamente relacionado com o tamanho e complexidade das organizações, bem como, do nível de maturidade das suas políticas de privacidade, o Legislador previu o prazo de dois anos para as empresas se prepararem. Entramos, agora, na recta final. Iniciando-se a sua exigibilidade em Maio de 2018, é minha recomendação que as organizações iniciem o processo de conformidade de imediato.
Dos temas que estiveram em cima da mesa, realço também, o alargamento do âmbito de aplicabilidade, uma demonstração de força da União face a terceiros.
O RGPD protege os dados pessoais dos residentes na UE, incluindo qualquer pessoa física que resida na UE, mesmo que não sejam cidadãos da EU.
Os sites e aplicações que acompanham as atividades digitais monitorizando o comportamento dos residentes na UE, extraindo destes dados pessoais, vantagens e valor, estão aqui regulados de modo a proteger o direito à privacidade.
O RGPD alarga, também, as obrigações e responsabilidade potencial dos responsáveis pelo tratamento de dados aos subcontratados para tratamento de dados.
Outro tema importante, o da coercibilidade e aplicabilidade da lei, o RGPD vem com penalidades significativas para o não-cumprimento, o que impulsionará os gestores a tomarem decisões quanto à respectiva prioridade.
O Legislador para além de sanções financeiras, desencadeou mecanismos para as empresas exigirem, que os seus fornecedores sejam totalmente compatíveis com o RGPD como condição para fazerem negócios. O não cumprimento pode levar a uma perda significativa de negócios a favor dos concorrentes capazes de demonstrarem sua conformidade com o RGPD.
Outra das preocupações do Legislador foi criar a figura do Encarregado da Proteção de Dados, também chamado de DPO – Data Protection Officer, na sua formulação inicial. Este deve ser nomeado sempre que as atividades principais do responsável pelo tratamento ou do processador envolvam um acompanhamento regular e sistemático dos dados em larga escala ou quando a entidade procede a um tratamento em larga escala de categorias especiais de dados pessoais, por exemplo, raça, etnia, crenças políticas.
O DPO pode ser um colaborador interno ou externo, mas deve reportar diretamente “ao mais alto nível de gestão” e deve operar com independência significativa.
Dados os direitos e as responsabilidades atribuídas ao Encarregado de Proteção de Dados, a seleção apropriada do indivíduo ou da empresa de prestação de serviços, é crucial.
O Legislador ao sujeitar as empresas a novos requisitos, subiu o nível das atuais práticas de privacidade. No entanto, apesar de sua complexidade e novas exigências, defendo que o cumprimento do RGPD pode ser realizada seguindo um processo de quatro passos.
O primeiro passo do processo, é a realização de uma Auditoria e Avaliação. Este visa obter uma compreensão de alto nível da organização e da sua conformidade presente. Na metodologia que defendo, as empresas são convidadas a rever uma lista de formalidades, sendo elas nas áreas da Transparência (ou seja, Política de Privacidade), Recolha e Limitação das Finalidade, Consentimento, Qualidade dos Dados, Management do Programa de Privacidade, Segurança no Contexto de Privacidade, Prontidão e resposta à Violação de Dados, Direitos Individuais e Soluções.
De seguida, segundo passo, deverá ser realizada uma Inventariação e Mapeamento dos Dados Pessoais, seguida de uma Análise de Conformidade e Avaliação de Risco.
Com o mapeamento e inventariação efectuados, avaliada a conformidade e o nível de risco, o terceiro passo é construir um plano atribuindo prioridades com base nos riscos e nível de esforço para as Organizações.
Depois de termos concluído o plano e obtido apoio organizacional, podemos dar inicio ao quarto passo, a implementação.
Existe um esforço do legislador para conciliar em justo equilíbrio a defesa da proteção das pessoas singulares relativamente ao tratamento de dados pessoais e, a circulação de dados dentro do mercado da União.
Quais as grandes expectativas para este Regulamento?
O Futuro Digital da Europa tem de ser construído com base na confiança dos cidadãos. Com o RGPD os titulares dos dados pessoais tem a garantia de poderem controlar melhor a sua informação pessoal.
O RGPD vem dar a oportunidade às pessoas, titulares de dados pessoais, de fruírem de todos os serviços e oportunidades proporcionadas pelo mercado único digital.
Na minha opinião, devemos ver o RGPD mais como uma oportunidade reforçada de defesa da privacidade de cada um e respectivos dados pessoais, do que um entrave à Economia.
A Privacidade e a Proteção de Dados devem ser encaradas como uma vantagem competitiva para as empresas, ao nível da Inovação, Clientes, Financeiro e Reputacional.
Ao Nível da Inovação, as empresas que estejam a cumprir, vão poder transmitir confiança acrescida a potenciais clientes. Estes podem confiar que os produtos ou serviços estão conformes e foram concebidos tendo a proteção de dados pessoais como um dos objectivos.
Ao Nível dos Clientes, as empresas vão ter a capacidade de demonstrar que as suas organizações controlam plenamente os dados pessoais, dando garantias acrescidas face a usos ilícitos, faltas de segurança ou inexistência de políticas de privacidade.
Ao Nível Financeiro, as empresas vão conseguir reduzir os riscos financeiros resultantes de eventuais aplicação de multas que neste Regulamento são especialmente impactantes podendo ascender a €20.000.000 (vinte milhões de euros) nos casos mais graves, ou a 4% do volume de negócios global do ano anterior.
Ao Nível Reputacional, a reputação das marcas que tanto tempo, recursos e empenho levam a construir pode ser seriamente abalada publicamente em casos como fugas de dados, utilizações negligentes ou dolosas, noticias e denúncias por parte dos clientes. Cumprindo o RGPD a reputação das marcas sairá reforçada tornando-se uma mais valia com a consequente valorização dos ativos.
Com quase 30 anos de experiência profissional, como analisa as alterações da privacidade no mundo digital?
Foi quase há 30 anos que estive em Coimbra, a estudar as Leis relativas à Proteção de Dados e Privacidade na primeira Pós-Graduação em Direito da Comunicação, realizada em Portugal.
Tinha-me formado, recentemente, na Universidade Católica, em Direito e realizado em simultâneo uma longa formação em Marketing, pelo que queria compatibilizar as áreas, Direito, Privacidade, Proteção de Dados com Marketing e Comunicação.
A Privacidade é um direito fundamental das Pessoas, consagrado constitucionalmente, ensinavam os professores doutores, já à Época.
Com a evolução dos tempos e com a evolução digital existem duas grandes tendências, por um lado, a enorme sofisticação das ferramentas digitais capazes de detetarem, armazenarem, tratarem dados pessoais com uma granularidade cada vez maior e, por outro lado, uma consciência crescente do valor dos dados pessoais por parte dos seus titulares.
Estas duas tendências, tem enormes implicações práticas.
Do lado, das organizações, focando nas empresas e, estamos só a falar de empresas comerciais que querem respeitar os Ordenamentos Jurídicos onde estão a atuar, existe uma crescente capacidade de marketing e comunicação dirigida a cada individuo em particular, conhecendo as suas preferências pessoais e do seu agregado familiar, sendo capaz de prever os seus comportamentos futuros e antecipar as suas vontades. Ora, é por isso, que cada vez que fazemos uma pesquisa das nossas férias de sonho, recebemos durante um período de tempo todas as propostas possíveis sobre esse destino. Ou quando pesquisamos uma dada marca de roupa ou acessórios, estes começam a fazer parte dos anúncios recebidos no quotidiano.
Do lado das pessoas, é bom perceber que existe uma atenção maior a como são utilizados os seus dados pessoais e o seu valor. Conseguimos perceber que a nossa atenção – top of mind, share of mind, tem um valor transacionável. Sabemos que o Facebook e o Google são das empresas mais lucrativas do mundo porque vendem o que as pessoas lhes oferecem gratuitamente, o seu tempo e atenção.
A lista de alterações é infindável e está em franco crescimento.
Com o avanço digital perdemos a nossa identidade? As nossas informações estão em locais inimagináveis?
Com o avanço digital não perdemos a nossa identidade. Felizmente continuamos a ser, seres únicos, especiais e irrepetíveis. Perderemos sim, parte da nossa Privacidade, se não tivermos consciência dos dados pessoais que partilhamos e dos novos direitos recentemente adquiridos, como sejam os Direitos ARCO, Direito de Acesso, Direito de Rectificação, Direito Correção e Direito Oposição.
Como titulares dos nossos dados pessoais devemos lutar para os preservar na nossa esfera jurídica e, se quisermos, ir mais longe e usar o direito de sermos esquecidos, o Direito ao Esquecimento.
Sim, é verdade que, por vezes, os nossos dados são comercializados sem o nosso consentimento ou sem qualquer outro enquadramento legal. Todos os dias vemos noticias de fugas de dados e de utilização indevida de dados pessoais. Devemos estar atentos e vigilantes, porque existem pessoas menos bem intencionadas.
É fundadora da “DPO Consulting”, uma empresa que aposta na especialização em Privacidade e Proteção de Dados. Fale-nos dos objetivos da empresa….
Criei a “DPO Consulting – Knowledge on Data Protection ” que significa Data Protection Officer – Conhecimento em Proteção de Dados. O Data Protection Officer é uma nova função, criada pelo Regulamento Geral de Proteção de Dados e que em português foi traduzido para Encarregado de Proteção de Dados.
Na DPO Consulting, temos a triangulação ótima para sermos os Encarregados de Proteção de Dados das empresas, o conhecimento legal, o saber fazer e muitos anos de experiencia da função em ambientes nacionais e internacionais.
Somos certificados pela maior organização mundial de Privacy Professionals, a IAPP – International Association of Privacy Professionals, isto é, detemos uma equipa certificada com os títulos de CIPP/E, CIPM/E e Data Privacy Lead a integrarem a equipa.
O nosso objetivo é ajudar as empresas a gerirem a sua reputação em matéria de privacidade transformando-a numa vantagem competitiva, protegendo-as perante terceiros.
Identificamos com as Empresas a melhor solução para Encarregado de Proteção de Dados (Data Protection Officer-DPO) tendo em conta que esta deve ser feita de acordo com alguns dos seguintes critérios: domínio da legislação Europeia e Nacional sobre Privacidade; domínio dos sistemas de informação, segurança, cibersegurança e diferentes estruturas de Governance Empresarial.
O Encarregado de Proteção de Dados reporta diretamente à Administração, é independente, não sendo obrigado a ter que seguir nenhuma espécie de orientação específica, muito embora, as organizações lhe tenham que facultar os recursos necessários ao exercício das suas funções.
A opção por um DPO Externo, Encarregado de Proteção de Dados traz enormes vantagens para as organizações assegurando-lhes a independência e a ausência de quaisquer conflitos de interesse no exercício das funções. Estas podem flexibilizar o relacionamento com o Encarregado de Proteção de Dados através de uma prestação de serviços, acordo este que a DPO Consulting está apta a implementar de forma completa e competitiva.
O que distingue a criatividade da inovação?
Normalmente a criatividade e inovação são noções que aparecem ligadas, no entanto, diferentes. Algo é ter ideias, até imensas , mesmo em catadupa mas estas não são sinónimo de sucesso.
Para se gerar Inovação têm de existir conexões úteis, são aquelas inovações que efetivamente são bem implementadas e se traduzem em resultados benéficos para as organizações e para a sociedade em geral.
É o que pretendo com a ideia de criar este serviço – DPO as a Service, Encarregado de Proteção de Dados em Regime de Prestação de Serviços. Na minha opinião, aporta benefícios para as empresas, dando-lhes a segurança de estarem a trabalhar com profissionais certificados internacionalmente, com metodologias desenvolvidas para tornarem a função mais eficiente , sem que as empresas tenham de recrutar quadros que por força do RGPD – Regulamento Geral de Proteção de Dados, não podem despedir durante dois anos.
O que espera dos avanços tecnológicos e das novas técnicas de marketing?
Como sou crente no ser humano, que está no cerne da criação das tecnologias e das técnicas de marketing e na utilização ética e legal das mesmas, julgo que os avanços servirão para melhor servirem o Homem enquanto Homem na sua verdadeira Dimensão.
A Esperança deve vencer.
Elsa Veloso
Advogada, DPO e Certified Information Privacy Professional Europe
CEO da DPO Consulting
ev@dpoconsulting.pt
