RGPD - Regulamento de Proteção de Dados

A entrada em vigor do Regulamento Geral de Proteção de Dados (RGPD) está à porta e as empresas têm que preparar-se para estarem em conformidade com a nova lei, sob pena de sofrerem pesadas multas.

 

O Regulamento Geral de Proteção de Dados (RGPD) entra em vigor a 25 de Maio de 2018, com o intuito de tornar as leis da União Europeia (UE) mais homogéneas, em termos do tratamento e processamento de dados dos cidadãos. Mas as novas normas repercutem-se em todo o mundo, já que mesmo as empresas de fora da UE terão que respeitar o RGPD, desde que lidem com dados de cidadãos europeus.

Um dos pontos essenciais do novo Regulamento é o reforço da segurança e da privacidade dos dados pessoais dos cidadãos que estejam em posse das empresas. As novas normas determinam medidas rigorosas quanto à origem, armazenamento, tratamento e acesso a esse tipo de informação. Muitas empresas terão, assim, que reposicionar toda a sua estrutura de Tecnologias de Informação (TI), no sentido de implementarem arquiteturas de segurança informática e de tratamento de dados muito mais eficientes.

E se os gestores estão já a fazer contas à vida ao investimento que será necessário fazer, convém contabilizar, nesse cálculo, as duras sanções previstas para quem não estiver em conformidade com o RGPD. Quem não cumprir as normas fundamentais arrisca multas que podem chegar aos 20 milhões de euros, no caso das grandes empresas. Mas mesmo as mais pequenas têm que se preparar para a nova Lei, já que o RGPD prevê a responsabilização por danos provocados devido ao incumprimento, nomeadamente quando dados de cidadãos sejam “violados”.

Reportar falhas de segurança num prazo de 72 horas

Um dos pontos relevantes do RGPD é o facto de obrigar as empresas e organizações a reportarem falhas de segurança num prazo de 72 horas, após as terem detetado. Isto significa muito pouco tempo para recolher toda a informação necessária, nomeadamente a extensão da falha e o tipo e a quantidade de dados afetados. Reforça-se, desta forma, a importância de manter total transparência e visibilidade de processos, em toda a infraestrutura de TI, desde a cloud a endpoints, passando pelo software-as-a-service.

Neste ponto, surge também realçada a necessidade de implementar sistemas Data Loss Prevention e de Cifra eficientes, de modo a detetar e/ou impedir falhas e acidentes atempadamente. A deteção precoce é fundamental e pode até evitar a necessidade de reportar falhas, se estas forem sinalizadas numa fase inicial, antes que quaisquer dados sejam comprometidos. Estamos a falar, portanto, de poupar tempo e dinheiro.

Além do report do incidente, é preciso definir procedimentos de atuação detalhados para conter o problema e resolvê-lo, bem como seguir medidas preventivas para melhorar a segurança informática. Tudo isto requer das empresas um tempo de resposta muito eficiente perante ameaças e, logo, infraestruturas de TI resilientes e com alta disponibilidade.

Começar com um "cadastro limpo"

Na preparação para a entrada em vigor do RGPD, as empresas devem começar por averiguar e detalhar os dados pessoais dos clientes que estão em sua posse, determinando a sua procedência, onde estão armazenados e para que fins são usados. Importa, particularmente, perceber se alguns desses dados terão já sido "violados" e procurar detetar as falhas de segurança que podem ter levado a isso. E urge resolver eventuais problemas de modo a começar a era do RGPD com um "cadastro limpo".

As empresas devem detalhar já todos os processos de conformidade com o RGPD, nomeadamente para definir e testar antecipadamente a forma como vai ser aplicado o Regulamento. Estes passos serão fundamentais para poder cumprir as novas exigências, especialmente quanto aos novos direitos dos cidadãos de cujos dados as empresas sejam "guardiãs". Entre esses estão o direito ao "esquecimento" - quando um cidadão solicitar, a sua informação tem que ser removida ou apagada da base de dados no prazo de um mês - e o direito de portabilidade - o titular de dados pode solicitar que estes sejam transferidos de uma entidade para uma terceira, sem pagar nada por isso.

"Privacy by Design"

Outro ponto fundamental do RGPD é o consentimento dos titulares dos dados. Muitas empresas serão obrigadas a reverem as suas políticas de privacidade, já que o RGPD exige que o consentimento do titular dos dados seja definido claramente, de forma oral ou escrita, para o fim concreto a que esses dados se destinam. As transmissões de dados de clientes entre empresas terão que respeitar a mesma regra, exigindo o consentimento explícito da pessoa envolvida.

As empresas terão, igualmente, que garantir que "por defeito" só serão tratados e armazenados os dados pessoais estritamente necessários para as operações consentidas. É a chamada "Privacy by Default" ou "Data Minimization".

A filosofia empresarial deve, deste modo, mover-se pelo conceito da "Privacy by Design", com toda a engrenagem de armazenamento e tratamento de dados pessoais a ser desenhada em total transparência e clareza. Assim se garantirá que não há falhas na conformidade com o RGPD e se conseguirá testemunhar a accountability da empresa, ou seja, a prova de cumprimento das normas.

Encarregado de Proteção de Dados

As entidades ou organismos públicos, bem como as empresas que lidam com dados pessoais considerados sensíveis ou em grande escala, têm que nomear um Encarregado de Proteção de Dados (Data Protection Officer). Mas esta medida também deve ser aplicada nas demais empresas, para garantir que todos os esforços são cumpridos no sentido da conformidade com o RGPD.

O que é essencial é que as organizações estejam absolutamente cientes da sua realidade interna e do que devem fazer para cumprir a lei. Começar por uma auditoria de segurança e procurar profissionais conhecedores das condições legais determinadas pelo RGPD e, em particular, dos aspetos técnicos a considerar para as implementar, é o melhor caminho.