“As empresas que não atribuíam importância à proteção de dados pessoais enfrentarão maiores dificuldades”
Gabinae: Que impacto terá no quotidiano das empresas o novo Regulamento Geral sobre Proteção de Dados?
Jorge Augusto: O Regulamento (UE) 2016/679, que conhecemos como RGPD – Regulamento Geral sobre Proteção de Dados, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, é diretamente aplicável desde o dia 25 de maio, e vem essencialmente reforçar as regras já aplicáveis em matéria de proteção de dados pessoais.
Contudo, a grande mudança de paradigma, e que preocupa as empresas e as organizações, é o facto de agora lhes ser imposto o ónus de demonstrar que os tratamentos de dados pessoais, que realizam no âmbito das suas atividades, se encontram em conformidade com o RGPD, e para esse efeito terão que apresentar evidências. Esta nova exigência representa um esforço na adoção e implementação de medidas técnicas e organizativas adequadas, sob pena de incumprimento e incorrerem em sanções que poderão culminar em coimas elevadas, que poderão chegar aos 20M€ ou, no caso das empresas, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado.
Gabinae: Advinham-se dificuldades para as empresas? Como deverão proceder no imediato?
Jorge Augusto: As empresas que não atribuíam importância à proteção de dados pessoais serão as que mais se ressentirão e enfrentarão maiores dificuldades. As que já estabeleciam como prioridade a proteção de dados pessoais não terão tantas dificuldades. Contudo, em qualquer dos casos, terão que promover medidas de diagnóstico no sentido de identificar e analisar as fragilidades e desenvolver ações de mitigação e priorização das áreas de risco, definir e rever estratégias e procedimentos. Terão que rever as suas políticas de privacidade, formulários de consentimento, contratos e padrões técnicos e organizativos. Mas o grande obstáculo será a mudança de mentalidades.
Gabinae: Que impulso é necessário para que ocorra essa mudança de mentalidades?
Jorge Augusto: O RGPD vem impor às empresas o ónus de apresentar evidências de compliance. Sendo as empresas constituídas por pessoas, este novo ónus traduz-se numa maior necessidade de consciencialização na defesa dos direitos e liberdades fundamentais das pessoas, em particular, na proteção dos seus dados. Apenas uma pequena percentagem destas pessoas reconhece os desafios que enfrentarão e preparam-se, enquanto a grande maioria ainda desconhece a verdadeira dimensão do exigido. O impulso necessário para essa mudança de mentalidades será o da sensibilização e formação de todas as pessoas que, de alguma forma, processam dados pessoais.
Gabinae: Que formação considera necessária, adequada e pertinente?
Jorge Augusto: A formação inicial, ministrada a todas as pessoas que integram a equipa que procederá ao tratamento de dados pessoais numa empresa, desde a base ao topo, é elementar. Mas ela não se esgota aqui, é necessário promover
formação contínua, com vista ao desenvolvimento de competências. Estamos a falar de uma matéria de elevada complexidade, que entronca com direitos e liberdades fundamentais e da qual ainda não existe um controlo eficaz. A formação deverá ser transversal para todos, sem prejuízo da formação especializada conforme as competências, em especial, para quem vier a desempenhar as funções de encarregado da proteção de dados. O conteúdo básico, de uma formação inicial, deverá apontar para os conceitos, princípios, direitos dos titulares dos dados, deveres dos responsáveis pelo tratamento desses dados, respetivos subcontratantes e conhecer as medidas técnicas e organizativas, a adotar em conformidade com o RGPD e a legislação nacional. A formação é o caminho para o sucesso.
Gabinae: Qual o contributo da formação para o sucesso das empresas?
Jorge Augusto: A formação contribui para um elevado desempenho organizacional, ainda mais neste momento em que as mudanças empresariais são constantes e dramáticas. A formação é uma ferramenta de gestão imprescindível para fazer face às mudanças, assim como se constitui um instrumento que garante e contribuiu para a evidência de compliance. A aquisição de competências, em matéria de proteção de dados pessoais, será certamente um factor diferenciador e maximizador de competitividade e credibilidade. Neste contexto, e face às penalizações decorrentes de um eventual incumprimento do RGPD, a formação poderá ser também factor de sustentabilidade. Por tudo isto, a aquisição de conhecimentos e desenvolvimento de competências, através da formação, nunca poderá ser negligenciada.
