Cinco anos de negociação e mais de 4 mil adendas depois, o novo Regulamento Geral de Proteção de Dados (RGPD) foi aprovado no Parlamento Europeu, a 27 de abril do ano passado. A aplicação é obrigatória a partir de 25 de maio de 2018, mas 85% das organizações “ainda não começaram a implementar medidas efetivas para garantir a conformidade com o RGPD”. A conclusão é de um estudo da consultora KPMG, esta quinta-feira divulgado, que analisou 101 empresas de sete setores de atividade.
A pouco mais de um ano para a efetiva implementação do novo regulamento, quase metade (45%) do setor público está a iniciar a implementação daquelas medidas, seguido pelos serviços (42%). “Está tudo ainda muito no início e o tempo urge”, sublinhou Rui Gomes, Partner IT Advisory da KPMG Portugal, durante a apresentação a jornalistas das conclusões do estudo “O impacto do regulamento geral de proteção de dados em Portugal”.
Os resultados do estudo mostram ainda que os setores mais adiantados são a saúde e o retalho, o que se explica pela maior exposição que têm “ao tratamento de grandes volumes de categorias especiais de dados”, explica a consultora.
Nas principais conclusões salienta-se que apenas 65% das empresas “consideram ter um grau de consciência médio (42%) ou alto (23%) das obrigações e impacto do RGPD” e que só 10% das entidades promove “ações de sensibilização e formação adequadas sobre proteção de dados pessoais”. Para Rui Gomes, a esta distância temporal “são valores baixos (65%). O conhecimento é razoável embora longe do ideal”.
O setor financeiro e dos seguros é o que indica ter um maior nível de consciência do impacto da nova legislação comunitária. “São setores mais sensíveis porque lidam desde sempre com dados pessoais”, relevou aquele responsável.
A sensibilização das organizações pode, diz o estudo, ter como base o regime sancionatório e o aumento das coimas que podem atingir o valor máximo de 20 milhões de euros, uma das novidades que o novo regulamento em relação à atual lei em vigor (Lei 67/98).
Quanto ao impacto do regulamento, são os setores dos serviços, saúde e seguros que preveem ser mais afetados pelas novas regras, reflexo, diz o estudo “do volume e natureza dos tratamentos de dados pessoais associados aos seus processos de negócio”. Reconhecendo que a atual lei portuguesa “não é das mais maduras”, o esforço para implementar o regulamento “será grande” pelo que há que “começar o quanto antes”, frisou Rui Gomes.
A nova legislação trará novas regras sobre as responsabilidades das instituições pela proteção dos dados pessoais, responsabilidades essas que incidem sobre empregados, gerentes e proprietários, mas também sobre fornecedores de serviços externos à empresa, desde que façam o tratamento de dados pessoais em nome da organização contratante. Para além disso, a RGPD procura reforçar os direitos dos cidadãos perante a forma como as entidades recolhem e utilizam os seus dados pessoais. A aplicação das novas regras obriga a que os dados pessoais só possam ser tratados com o consentimento do titular “através de uma ação positiva e explícita no momento da recolha dos seus dados pessoas, sempre que o tratamento dos dados for baseado no consentimento”, pode ler-se no estudo.
Mais ainda: não apenas as entidades têm de manter uma prova desse consentimento, como os titulares têm direito à portabilidade dos dados ou ao seu esquecimento, entre outros. Mas sobre estes aspetos o estudo mostra que apenas 23% das entidades consultadas “cumprem, de forma integral, os requisitos definidos pelo RGPD em matéria de consentimento de recolha de dados pessoais”; só 15% “instituem práticas que asseguram o direito ao esquecimento” e apenas 5% “têm práticas para endereçar o direito à portabilidade dos dados”.
O direito ao esquecimento e à portabilidade, reforço dos direitos dos titulares, e o alargamento do conceito de dados pessoais são outras das novidades do novo regulamento. Sobre esta última, Rui Gomes explica: “o conceito é muito mais que a simples morada e nome. São dados que as empresas não recolhem, mas produzem, o chamado perfil do cliente”, explicou.
Menos dados. Melhores dados
A nova legislação obriga ainda os criadores a pensarem a proteção de dados desde a conceção, determinando que os mecanismos de proteção dos dados pessoais devam estar pensados e implementados desde a raiz de um novo produto ou serviço. Todavia, apenas 14% das empresas inquiridas cumpre atualmente este princípio.
Mas a quantidade de dados a recolher passa também a estar regulada. As empresas devem apenas recolher e tratar “os dados pessoais mínimos necessários para cada finalidade específica” e “conservados apenas durante o período considerado necessário” para essas finalidades, explicam os autores do estudo. No entanto só 12% das empresas tem definidos de antemão os dados a recolher no contexto de cada finalidade de tratamento de dados.
Mais segurança
Há uma crescente tendência de ameaças (internas e externas) aos dados de uma organização. O acesso, alteração ou eliminação indevida dos dados pessoais é uma nuvem que paira sobre todas as entidades: “é convicção corrente entre muitos especialistas de cibersegurança que a questão chave não é ‘se’, mas ‘quando’ vão [as empresas] ser vítimas de incidentes de segurança de informação”, sublinha a consultora. A nova legislação, no entanto, não define objetivamente que medidas de segurança devem ser implementadas.
Os resultados do estudo mostram que, em Portugal, a adoção de medidas de proteção é baixa, focando-se em mecanismos de controlo de acesso a dados pessoais baseados na função (21%), autorização específica para o acesso a dados pessoais sensíveis (15%) e rastreabilidade de acesso a dados pessoais (13%).
Novas tecnologias: mais segurança ou mais informação?
Cerca 55% das organizações que participaram no estudo dizem não guardar dados pessoais na “nuvem” (em rede), apesar de, diz a KPMG, essa ser uma solução com “naturais vantagens operacionais e financeiras”, apesar de trazer “potenciais riscos para as organizações, que devem ser identificados e geridos”, já que os dados ficam guardados em “infraestruturas externas ao perímetro da organização”.
Por outro lado, o big data é um lugar apetecível para as organizações. Há uma tendência para as entidades “colecionarem grandes volumes de dados, oriundos das mais diversas fontes internas ou externas”. E o que são estas fontes? Redes sociais, aplicações móveis, cartões de fidelização, etc. Esses dados são usados para “obter padrões comportamentais ou outros”.
Neste caso, apenas 12% das organizações diz usar modelos de Big Data/Data Analytics sobre os dados que recolhem. Porém, 44 por cento delas está interessada no assunto e diz estar “numa fase exploratória de utilização destas soluções”.
A nova legislação trará novas regras sobre as responsabilidades das instituições pela proteção dos dados pessoais, responsabilidades essas que incidem sobre empregados, gerentes e proprietários, mas também sobre fornecedores de serviços externos à empresa, desde que façam o tratamento de dados pessoais em nome da organização contratante.
O objetivo do estudo, realizado entre novembro do ano passado e janeiro de 2017, foi “tomar o pulso às práticas de proteção de dados pessoas e ao grau de preparação de diferentes setores de atividade da economia portuguesa para as exigências impostas pelo Regulamento Geral de Proteção de Dados”. A investigação debruçou-se sobre 101 organizações de sete setores: público, serviços (energia, telecomunicações, transporte, turismo e eletrónica), seguros, financeiro, indústria (automóvel e produtos diversificados), retalho e saúde (cuidados de saúde e farmacêutico).
Comentários