- Em suma, a generalidade das organizações, da grande maioria dos setores, está longe de estar em conformidade com o RGPD!
- Em Portugal surgem notícias diárias, com repetição preocupante, sobre desconformidades muito graves.
- A tudo isto acresce a desinformação sobre o tema, aumentada pela expectativa da espera da aprovação da Lei que vem regulamentar o RGPD.
- Não se fique pois com a sensação de heroicidade do silêncio vestido de desconformidade.
Caminhamos a passos rápidos para odia 25 de maio de 2019 – data que marca um ano de aplicação prática do RGPD em toda a União Europeia.
As notícias que nos chegam de toda a Europa demonstram a distância que separa ainda a generalidade das organizações da conformidade para com o Regulamento Geral de Proteção de Dados (RGPD). E, pasme-se! São mesmo os gigantes organizacionais que se encontram, muitas vezes, longe da conformidade.
Muitas vezes, essa distância da conformidade assenta na inexistência de medidas básicas de conformidade, outras vezes na falta de mecanismos apropriados para o exercício de direitos por parte dos titulares dos dados.
- Estas notícias não apontam apenas para a identificação da desconformidade, apontam também para a consequência dessa desconformidade: as coimas! Como é o caso da última coima aplicada - pela autoridade francesa CNIL - à “megagigante” Google, no montante de €50.000.000 (cinquenta milhões de euros)!
Mas não apenas de fora chegam notícias de desconformidade. Chegam de dentro. Chegam daqui! E essas notícias internas não são melhores! São notícias de desconformidade grave, muito grave e severa!
Em suma, a generalidade das organizações, da grande maioria dos setores, está longe de estar em conformidade com o RGPD!
Talvez a grande diferença entre a generalidade das organizações dos países mais fortes da EU e a generalidade das organizações portuguesas (embora haja exceções!) esteja no cuidado colocado na aquisição das competências facilitadoras da construção da conformidade. Atente-se pois na “competência” do facilitismo!
- Desde políticas de privacidade criadas em regime de “copy paste”, à deficiente (de)formação sem a qualidade efetiva e esclarecedora, passando ainda pela falta da declaração de propósito por parte dos trabalhadores, pela inexistência do registo das atividades de tratamento ou de um plano de “data breaches”, encontramos de tudo um pouco. E se a inexistência destas medidas é, por si só, grave, outras há cuja falta implicará uma gravidade acrescida. Acrescida exponencialmente!
Se a falta das medidas acima referidas pode trazer problemas à organização, quer por via de processos contraordenacionais por intervenção da autoridade de controlo, quer por via de processos judiciais por decisão dos titulares dos dados (direito à ação judicial contra as organizações), a falta de outras medidas poderá deitar por terra a imagem da organização tendo um impacto severo a todos os níveis, podendo inclusive colocar em causa a sua sobrevivência!
Em Portugal surgem notícias diárias, com repetição preocupante, sobre desconformidades muito graves.
Estas desconformidades quando colocam em causa a substância do RGPD podem, por inerência, colocar em causa a subsistência da organização. Desde a falta de um fundamento legal para tratar os dados, passando pela inexistência de procedimentos internos para assegurar o exercício de direitos por parte dos titulares dos dados ou por pedidos de consentimento sem o rigor exigido pelo RGPD ou ainda o não acautelamento de uma gestão cuidada da chamada categoria especial de dados (sensíveis), encontra-se de tudo um pouco.
- Mais grave ainda, a situação da nomeação de encarregados de proteção de dados sem a análise específica das consequências jurídico-laborais dessa nomeação ou a indiferença com que se olha para o impacto que o RGPD tem na gestão dos recursos humanos, duas questões que escapam mesmo às notícias e aos programas de seminários, sessões de esclarecimento, formações e pós-graduações.
A tudo isto acresce a desinformação sobre o tema, aumentada pela expectativa da espera da aprovação da Lei que vem regulamentar o RGPD.
Um dos temas mais debatidos nos bastidores diz respeito às coimas.
Esse debate aponta principalmente em duas perspetivas: i) se os organismos públicos estarão sujeitos ao regime das mesmas e ii) se a Lei vai estabelecer montantes mínimos para as coimas. A falta de informação e a convicção de certa “doutrina” sobre este tema específico, causam um ruído que ao invés de ser ensurdecedor é um ruído de quase silêncio o qual é diretamente proporcional ao interesse que o mercado, na generalidade, tem sobre o tema ou seja quase nenhum.
- As organizações que ainda não ligaram ao RGPD (onde estão mesmo muitas organizações públicas) provam uma espécie de “sabor de vitória”, uma vez que a inércia aparente da CNPD não pode chegar a tudo e a desinformação dos titulares dos dados, aliada a uma cultura de pouca exigência de respeito pelos próprios direitos faz com que esses titulares não exijam a essas organizações mais esclarecimentos ou meios para exercerem os seus direitos. Direitos que inclusive são muitos!
Atente-se contudo que a CNPD está apenas aparentemente inerte. A CNPD existe e está a fazer o seu trabalho (veja-se a coima ao Hospital do Barreiro). Existe e vai fazer ainda mais o seu trabalho. Acresce que os titulares existem e à medida que o tempo passa vão aumentar o seu conhecimento e o seu grau de exigência, logo pode a todo o tempo surgir um maior grau de exigência para assegurar o exercício dos direitos. Para não falar de um crescimento enorme de queixas ou até eventuais ações judiciais interpostas pelos titulares dos dados.
Não se fique pois com a sensação de heroicidade do silêncio vestido de desconformidade.
Meta-se mãos à obra, pois ainda há tempo de adotar as medidas consideradas essenciais para se caminhar em direção à conformidade e das cerca de 80 medidas (para as médias e grandes organizações) é possível adotar, para já, pelo menos 1/3, demonstrando assim a seriedade com que os CA olham ou passam a olhar para este tema.
Ainda é tempo de mudar e aproveitar a oportunidade de melhoria que o RGPD permite em muitos aspetos da gestão. Mudemos também as notícias!
