Regulamento Geral de Proteção de Dados — A privacidade não será o que era

A partir de 25 de maio de 2018, o novo Regulamento Geral de Proteção de Dados (RGPD) da União Europeia (UE), que substitui a atual diretiva e lei de proteção de dados pessoais, começará a ser aplicado. Esta é a data a partir da qual as empresas têm de olhar para a informação pessoal de uma forma completamente diferente, passando a deter sobre ela novas responsabilidades, quer do ponto de vista do seu tratamento e utilização quer do ponto de vista da proteção. O cumprimento deste novo quadro legal, porém, está longe de ser um processo com princípio, meio e fim.
É, antes, um percurso. O RGPD tem data para começar, mas não para acabar, porque institui um novo paradigma para a privacidade.

Da esquerda para a direita: Nuno Martins (Ingecom), Rui Barata Ribeiro (IBM), Cristina Francisco (Sage), Renato Paço (Claranet) e Daniel Reis (PLMJ TMT)

Com o RGPD, a União Europeia pretende adequar a legislação à evolução tecnológica dos últimos anos, já que o atual regulamento data de 1995 e está, por isso, totalmente desfasado do mundo de hoje, no qual os dados pessoais estão plenamente digitalizados e difundidos para lá do perímetro de cada organização. Mais: os dados pessoais são, para muitos modelos de negócio, uma ‘moeda’ vital, sobretudo se pensarmos nas empresas que deles se socorrem para otimizar a sua performance. Com o novo RGPD, a UE pretende ainda uniformizar e fortalecer a proteção dos dados dos cidadãos europeus em todos os estados-membro. O objetivo é devolver aos titulares dos dados pessoais controlo e poder sobre os mesmos. Na categoria de dados pessoais, o RGPD contempla nomes, moradas, números de telefone, números de identificação fiscal, e-mails e até endereços IP, mas também dados de natureza médica ou financeiros.

"As empresas devem esperar regras muito restritivas sobre dados pessoais”, começou por ressalvar Daniel Reis, sócio e coordenador da PLMJ TMT. “Em Portugal há um nível de incumprimento enorme e um grau de maturidade baixo para o tema”, realçou o advogado. “Ao contrário do que muitas pessoas julgam, as regras são restritivas”. Porque, como sublinhou Renato Paço, consulting services lead na Claranet, este não é um tema de segurança. “O RGPD tem impacto sobre os sistemas, mas a sua origem são as liberdades e os direitos”. Com o novo Regulamento, a UE reconhece que “o mundo evoluiu num sentido perigoso”, do ponto de vista dos dados e da liberdade dos direitos, e que os proprietários são os indivíduos. “As empresas são fiéis depositários desses dados. O RPGD recentra todo o exercício dos direitos nos titulares”.
 

Implicações para os negócios

São dois os aspetos previstos no RGPD que prometem ter enorme impacto sobre a atividade das empresas. O primeiro diz respeito ao valor máximo das coimas, que passa de 30 mil para 20 milhões de euros, ou 4% do volume de negócios.
A segunda grande alteração, explicou Daniel Reis, reside no facto de passar a existir um sistema de autorregulação. “As notificações e as autorizações por parte do regulador desaparecem”, frisou. Ou seja, a análise do impacto que o tratamento dos dados pessoais tem sobre a privacidade das pessoas, bem como as decisões tomadas sobre as medidas de proteção a adotar, são da exclusiva responsabilidade das organizações. “Trata-se de um sistema de autorregulação, inteiramente baseado no risco”. É por isso crítico que cada empresa perceba qual o seu perfil de risco e que tome decisões consoante o mesmo. “Em Portugal, as organizações nunca fizeram isto porque não o sabem”, advertiu Daniel Reis. O perfil de risco da empresa não depende explicitamente da sua dimensão. Renato Paço realçou que a escala é um fator “que contribui para a determinação do risco, não apenas o real, mas o risco percebido, tendo em conta o tipo de negócio da empresa”. O consultor deu como exemplo as empresas que têm no seu ADN um comportamento de maior agressividade face aos dados do consumidor final, caso de algumas startups, e que, por isso, devem estar mais preocupadas.

Não por acaso, as empresas com muita exposição ao consumidor final, como as do retalho, estão a preparar- se rapidamente para o novo Regulamento – à medida que os cidadãos ficam mais educados sobre os direitos contemplados no RGPD, as queixas à Comissão Nacional de Proteção de Dados (CNPD)tenderão a aumentar. “Uma fatia muito importante das potenciais multas não virá da auditoria, mas dos utilizadores”, defendeu Rui Barata Ribeiro, IBM Security Services Lead. O risco que advém das queixas dos proprietários dos dados, porém, não está circunscrito à fronteira de cada país. O responsável da IBM lembrou que, se a empresa detiver e manipular dados de um cidadão de outros estados membro da UE, terá de prestar contas não ao regulador português, à CNPD, mas ao do seu país.
 

Mercado a várias velocidades

No mercado português existem de momento diferentes ritmos de preparação para a implementação do RGPD. No entender de Nuno Martins, country manager da Ingecom, distribuidor de valor acrescentado com portfólio centrado na área da segurança e proteção da informação, as multas não serão o fator decisivo para as PME, que compõem a maioria do tecido empresarial português. Estas empresas “só vão realmente dar o passo quando não puderem desenvolver a sua atividade normalmente, quando o seu negócio estiver comprometido”, defendeu.

Se as empresas de maior dimensão detêm uma maior capacidade de resposta, nas mais pequenas as contingências não são apenas de natureza financeira – a sensibilidade para o tema acaba por depender em muito da perceção dos decisores sobre o mesmo. No entanto, alertou Daniel Reis, não existe uma exceção para empresas de menor dimensão ou com menores valores de faturação: as mesmas regras aplicam-se a todas as empresas, de igual modo, o que pode vir a ser um problema para as que têm menor capacidade de investimento. “É em função do seu risco que as empresas têm de decidir quais as medidas a adotar – se investem mais ou menos nos diferentes tipos de recursos”, disse Renato Paço.

As organizações mais preparadas para o RGPD pertencem a setores regulados, como o farmacêutico ou a banca, onde tipicamente existe uma governança em torno das transformações necessárias à compliance. Nas outras, alertou o consultor, não se verifica ainda uma cultura orientada para o cumprimento deste Regulamento.

Cristina Francisco, responsável por product marketing na Sage Portugal, observou que “as empresas ainda não têm noção de que, apesar de tudo o que possa ser feito do ponto de vista tecnológico, terá de existir uma grande mudança na forma como a empresa funciona”. Nas menores, disse, quando o tema é a proteção de dados pessoais, supõe-se que dizem apenas aos recursos humanos e que, por isso, é um problema que pertence ao gabinete de contabilidade com o qual trabalham. “Isto é dramático. Há um grande trabalho de sensibilização a fazer”, frisou. Neste campo, as relações entre as empresas serão um fator muito relevante. Daniel Reis notou que os próprios fornecedores e parceiros de negócio exigirão compliance mútua, sob pena de não se renovarem contratos. “As grandes empresas têm subcontratações com PMEs e vão acabar por forçá-las a ser compliant. O efeito dominó será muitíssimo relevante”, referiu o advogado.
 

A privacidade enraizada na organização

O Regulamento torna o conceito de “Privacy by Design” num requisito legal. “A lógica subjacente passa por embeber elementos de privacidade, de início, em todos os processos”, esclareceu Rui Barata Ribeiro. Apesar deste ser também um tema de governança, dizendo por isso respeito à adoção de medidas organizacionais que salvaguardem que a privacidade existe de raiz em todos os processos da organização, o “Privacy by Design” é um dos pontos do RGPD que mais se relaciona com o software. “É aqui que entra o papel das empresas de tecnologia”, sublinhou Cristina Francisco. “Quando estão a desenhar as soluções, em termos conceptuais, os fornecedores têm de ter mente esta obrigação”. Também pela instituição deste conceito, mas não só, o RGPD exige da parte das empresas uma abordagem e uma visão totalmente integradas do negócio – exige o fim dos silos que à data de hoje existem dentro de muitas organizações.

Renato Paço comparou a abordagem a um stack com várias camadas, das processuais às de governança, passando pelas tecnológicas: “Significa equacionar qual a base de dados que se está a utilizar, o servidor onde corre, a segurança de perímetro implementada”, referiu. “O ‘Privacy by Design’ é um conceito end-to-end. A sua fragilidade depende do elo mais fraco do stack. Todos os elementos têm de ser coerentes”. Do ponto de vista do software, o conceito começa desde logo na forma como se constroem as soluções.

“Se, em vez de haver o silo dos recursos humanos, da faturação e do CRM, a informação estiver agregada numa mesma ‘caixa’, é tudo muito mais fácil de controlar”, observou Cristina Francisco. No entanto, ressalvou, continua a ser ainda assim imperativo que exista um “processo de evangelização” por parte da empresa, para que se verifique uma utilização adequada das ferramentas. “O mais importante é que o mercado perceba que não são as empresas de software que vão solucionar o tema do Privacy by Design”.
 

Como pode a tecnologia ajudar

Independentemente da tecnologia adotada, há toda uma componente de processos que é imperativo não descurar. “Ou se começa por impor a tecnologia, e com isso condicionar os processos, ou definir os processos e aplicar a tecnologia. Mas isto tem de ser feito em torno de dois pontos essenciais: onde está a informação e de que informação dispomos”, destacou Nuno Martins.

Muitas empresas desconhecem a informação que gerem no seu dia-a-dia, lembrou o country manager da Ingecom, pelo que a tecnologia dá uma ajuda. “Temos várias soluções que começam precisamente pela identificação da informação. E depois importa não descurar a componente humana, nomeadamente a gestão dos colaboradores que têm acesso à informação”. Se o comportamento das pessoas dentro das organizações não for controlado, existe uma dificuldade acrescida no cumprimento de qualquer regulação. “Há várias soluções tecnológicas que atuam logo no momento da criação da informação, caso das soluções de Information Rights Management (IRM), que permitem, aquando da emissão de qualquer documento, atribuir propriedades que podem ser auditadas”.

Outro aspeto em que a tecnologia pode dar uma preciosa ajuda são as ferramentas de encriptação, ou cifra, de informação. O Regulamento dita que, caso ocorra uma perda de informação pessoal, as empresas têm de notificar, num prazo de 72 horas, as autoridades competentes – em Portugal, a CNPD. No entanto, caso a informação em questão seja ininteligível, por estar cifrada, a empresa/ organização não tem de comunicar a perda dos dados aos seus titulares (ao data subject), o que evita algumas dores de cabeça do ponto de vista reputacional, elemento crítico quando se fala de proteção da informação pessoal e que pode ser uma consequência tão ou mais devastadora para os negócios do que as multas. Para assegurar um controlo absoluto sobre a informação e antecipar eventuais fugas, de dentro para fora, serão também cada vez mais importantes soluções de DLP (data loss prevention) e Nuno Martins lembrou ainda a importância das soluções NAC (network access control) para controlar o acesso à infraestrutura de rede.

Contudo, realçou, por vezes confunde-se a gestão da informação com ciberataques. “O RGPD vai muito além da componente de cibersegurança. Foca-se sobretudo no comportamento das pessoas”. As empresas têm de conseguir auditar esses comportamentos e de socorrer-se da tecnologia para tal. “Existe tecnologia para garantir a proteção da informação e diminuir o risco. Ainda assim, os comportamentos, os indivíduos e os processos é que vão ditar o êxito da aplicação das tecnologias”.

Rui Barata Ribeiro reiterou que não existe uma solução tecnológica “mágica” e que, se a organização não repensar a forma como opera, a montante da implementação de determinadas tecnologias, estas de nada valem. O responsável da IBM tocou numa dimensão a não descurar e para a qual as ferramentas tecnológicas também são importantes: a comunicação, tanto na perspetiva interna (entre colaboradores) como externa (com os clientes): “Na interna, passa por assegurar que os colaboradores estão conscientes do que se espera deles ao nível da manipulação dos dados. O RPGD pode ser uma oportunidade para a empresa informar os seus clientes de que tem uma vantagem competitiva na forma como trata a informação deles”, observou. Ao nível da comunicação externa, Rui Barata Ribeiro insistiu que “a nuance da comunicação é relevante", porque em Portugal "não há muitas organizações que consigam fazer em 72 horas as comunicações da perda de dados a cada um dos envolvidos". Assim, alertou, "o domínio das pessoas continuará a exigir investimento".
 

Parceiros devem apoiar-se em frameworks

O papel dos Parceiros de Canal será o de ajudar as empresas, em particular as de menor dimensão, a serem compliant com o RPGD em determinados processos. Veja-se o exemplo da firewall: se não existir um processo de gestão de incidentes não é possível avaliar o momento zero a partir do qual se contam as 72 horas exigidas pela lei.

O exemplo foi dado por Renato Paço, que deixou um conselho aos Parceiros: “Devem apoiar-se em frameworks e em construir stacks que percorram, end-to-end, as camadas normalmente endereçadas pela norma ISO 27000, de segurança da informação". O consultor referiu que haverá empresas que conseguem cumprir a check list internamente e outras que terão de recorrer ao outsourcing. "Haverá quem implemente um SOC internamente e quem necessite de recorrer a um Parceiro que lhe venda um SOC as-a-service, por exemplo”.

A oportunidade, para os Parceiros, está na possibilidade de ajudarem os seus clientes a determinar os requisitos onde a tecnologia pode ajudar e sugerindo as soluções que melhor se adequam ao perfil de cada empresa. Renato Paço aconselha ainda os profissionais de IT a especializarem-se em privacidade e a inscreverem- se no International Association of Privacy Professionals (IAPP), a maior comunidade mundial de profissionais dedicados à privacidade e que dispõe de representação em Portugal. A Associação promove cursos de Certified Information Privacy Professionals (CIPP), para profissionais que pretendam reforçar competências em práticas de compliance e de mitigação de risco e, por essa via, obter insights que aportam maior valor ao negócio.
 

DPO-as-a-service?

O RGPD determina que algumas organizações necessitarão de nomear um Data Protection Officer (DPO), um encarregado de proteção de dados, a quem são confiadas as obrigações de conformidade dos dados com o Regulamento. Segundo Daniel Reis, “o DPO tem de ser independente e não pode estar numa posição de conflito de interesses”. O Regulamento “não fecha nenhuma porta sobre o perfil nem sobre a forma de operar do DPO”. Nos setores mais regulados, o advogado refere que tende a ser um perfil jurídico, ao passo que nas áreas mais tecnológicas por norma assume a lógica de um Chief Information Security Officer (CISO), de alguém mais relacionado com a segurança. Cristina Francisco, da Sage, defendeu que o DPO deverá ser, antes de mais, “um evangelizador” – a pessoa, dentro da empresa, que assegura que os processos cumprem com o novo Regulamento.

A figura do DPO, porém, não escuda a organização em caso de incumprimento legal. “Tem o papel de um conselheiro, porque a responsabilidade final é sempre do responsável pelo tratamento dos dados, ou seja, a empresa. Não é possível delegar a responsabilidade”, sublinhou Daniel Reis. “Não é possível fazer o outsourcing da compliance, que pertence sempre à empresa". É possível, sim, externalizar as tarefas inerentes à função de DPO. Também neste cenário, de DPO-as-a-service, quem presta o serviço não pode ser responsabilizado legalmente em caso de incumprimento.

Num outro nível – da análise dos sistemas de risco e de segurança – este é um serviço já prestado à data de hoje por empresas de IT, lembrou Nuno Martins. “Há muitas empresas a adquirir serviços de auditoria à sua infraestrutura, na perspetiva da segurança, de análise de vulnerabilidades e para saber o que têm dentro de casa. É um serviço que muitos dos nossos Parceiros já prestam, com recurso a ferramentas que quase de forma automática dão o report necessário”. O country manager da Ingecom realçou que é necessário aliar o conhecimento tecnológico à componente legislativa.
 

14 Passos para ajudar preparar o RGPD

Propomos uma abordagem em 14 passos para preparar a sua organização, ao longo dos próximos 20 meses, para o cumprimentos do Regulamento Geral de Proteção de Dados (RGPD) da União Europeia

Deste modo, as organizações ficam em condições de reportar ao regulador, demonstrar de forma expedita o cumprimento das normas, e dar resposta a auditorias de conformidade, protegendo assim os seus clientes e o seu negócio.
 

1. Conhecimento & Programa de Transformação

A gestão de topo deve inteirar-se das implicações. Crie um programa de transformação para o cumprimento do RGPD. Envolva as várias áreas do negócio, em particular IT, Risco, Legal e Auditoria.
 

2. “Privacy by Design”

O RGPD torna o “Privacy by Design” um requisito legal explícito e um auxiliar precioso para abordar o desafio, pelo que deve familiarizar-se com a metodologia e implementá-la na sua organização.
 

3. “Awareness”

Coloque a privacidade na agenda da sua organização, até que entre na cultura. Crie um programa de comunicação mobilizador, que informe a organização sobre a privacidade, as alterações em curso devidas ao RGPD e os riscos de incumprimento.
 

4. Encarregados de Proteção de Dados

Determinar se a organização necessita de nomear um Encarregado de Proteção de Dados (“Data Protection Officer”), como figura responsável pelas obrigações de conformidade de proteção de dados, e decidir onde ancorar esta função na estrutura e governança da organização.
 

5. Política de Privacidade

 Atualize a Política de Privacidade de Dados, contemplando os aspetos que são novos ou alterados no Regulamento. Defina uma escala de classificação e o tratamento a dar aos dados pessoais. Envolva o departamento jurídico.
 

6. Estabeleça a base legal para o Tratamento de Dados

Identifique os vários tipos de recolha e processamento de dados que realiza, identifique a base jurídica para cada um deles (ex: consentimento), e documente-os para cumprir com os requisitos de “accountability” do Regulamento.
 

7. Inventarie os Dados Pessoais à guarda da organização

Documente que dados pessoais a empresa guarda, onde guarda, durante quanto to tempo, qual a sua origem, quem tem acesso, e com quem são partilhados. Elabore o ciclo de vida de cada item de informação. Deve ser necessária uma auditoria à informação. Preveja ativos informáticos não documentados e shadow IT.
 

8. Suporte aos direitos dos Titulares

Reveja os procedimentos para confirrmar que cobrem todos os direitos dos titulares dos dados, tais como o direito de serem informados (exige notificações de privacidade), o direito de ter os seus dados apagados e da portabilidade dos dados. Estes novos requisitos devem ser adicionados a cada novo sistema de informação.
 

9. Reveja a utilização de Encriptação e de "Pseudonização"

A encriptação é considerada pelo RGPD como uma medida de segurança técnica e organizacional. A pseudonização, que substitui os registos identificáveis por pseudónimos, permite processar dados para fins para os quais a organização não obteve consentimento explícito.
 

10. "Data Protection Impact Assessments"

O RGPD torna obrigatória a realização de Avaliações de Impacto de Proteção de Dados (DPIAs), nas situações consideradas de processamento de “alto-risco”, pelo que deve adotar uma metodologia que permita agilizar a realização das DPIA.
 

11. Preparar os Canais de Atendimento

Atualize os procedimentos de atendimento a clientes, preparando os canais de atendimento para lidar com os pedidos relacionados com privacidade.
 

12. Atualize o Portfólio Aplicacional

Avalie o parque atual de aplicações que processam dados pessoais, para determinar o “gap” de conformidade com o Regulamento, e crie um plano para a atualização. A segurança deve cobrir todo o ciclo de vida dos dados, desde o primeiro momento até à sua destruição.
 

13. “Data Breaches”

A sua organização deve confirrmar que tem os processos adequados para detetar, mitigar, reportar (ao supervisor e aos titulares) e investigar a violação de dados pessoais.
 

14. Assegurar cumprimento da cadeia de fornecedores

Se a organização delega em fornecedores o processamento e armazenamento de dados pessoais (por exemplo, cloud), deve exigir aos fornecedores o cumprimento das exigências do Regulamento. 


Por Renato Paço, Consulting Services Lead, Claranet