Global Site
Argentina Aruba Barbados Bolivia Brazil Canada Cayman Islands Chile Colombia Costa Rica Curacao Ecuador El Salvador Guatemala Honduras Mexico Panama Paraguay Peru Puerto Rico Saint Martin Suriname United States Uruguay Venezuela
Australia Cambodia China Hawaii Hong Kong India Indonesia Japan Macau Malaysia Maldives Mongolia Myanmar Nepal New Zealand Pakistan Philippines Singapore South Korea Sri Lanka Taiwan Thailand Vietnam
Albania Andorra Armenia Austria Azerbaijan Belgium Bulgaria Croatia Cyprus Czech Republic Denmark Estonia Finland France Georgia Germany Greece Hungary Ireland Italy Kazakhstan Kosovo Latvia Lithuania Luxembourg Malta Moldova Netherlands Norway Poland Portugal Romania Serbia Slovakia Slovenia Spain Sweden Switzerland Tajikistan Turkey Ukraine United Kingdom Uzbekistan
Algeria Angola Bahrain Egypt Ghana Israel Jordan Kenya Kuwait Lebanon Liberia Mauritius Morocco Mozambique Nigeria Oman Qatar Saudi Arabia Senegal Sierra Leone South Africa Tanzania Togo Tunisia Uganda United Arab Emirates Yemen
Contacte-nos
home Publicações
Paulo Garrido e José Rodrigues

Entrevista - Paulo Garrido e José Rodrigues

Vida Económica

Paulo Garrido, José Rodrigues
09/03/2026
Paulo Garrido e José Rodrigues
RGPD é um imperativo estratégico para as empresas

Cinco anos após a entrada em vigor do RGPD, há mais consciência, mas a maturidade das organizações portuguesas ainda está em construção. Em entrevista ao jornal Vida Económica, Paulo Garrido e José Madeira Rodrigues, da Crowe em Portugal, defendem que a proteção de dados deve deixar de ser vista como mera obrigação legal e assumir-se como um verdadeiro fator estratégico de confiança e competitividade.

Para Paulo Garrido, a crescente relevância da proteção de dados não resulta apenas da pressão legislativa, mas também da transformação tecnológica e económica.

“Digitalização e inteligência artificial acrescentam novas camadas de risco”

“As maiores empresas do mundo dependem dos dados como principal combustível para alimentar os seus lucros. Não é por acaso que se apelidam os dados como o petróleo do século XXI.” Nesse contexto, muitas grandes organizações perceberam que cumprir o RGPD coincide com a defesa dos seus próprios interesses económicos. Contudo, alerta que “grande parte do tecido empresarial ainda não encara esta necessidade como estrategicamente importante”, sublinhando também a reduzida visibilidade da autoridade de controlo em Portugal.

Na prática, diz, o RGPD foi inicialmente entendido como um exercício de “autoregulação”, o que levou a que muitas empresas só procurassem apoio quando pressionadas por clientes ou auditores. “Dizemos frequentemente aos nossos clientes que a conformidade do RGPD não é um projeto, mas sim um programa”, reforça, defendendo uma abordagem contínua, com métricas, revisões periódicas e integração com os sistemas de gestão.

Desafios para as PME
Para as PME, os desafios são ainda mais evidentes. José Madeira Rodrigues identifica desde logo a imaturidade dos sistemas de gestão. “Se uma empresa não tem a sua forma de trabalhar mapeada e traduzida em políticas e procedimentos, torna-se mais difícil ajustar práticas para cumprir o RGPD.” Muitas vezes existem boas práticas, mas não estão formalizadas. “Dependem exclusivamente da pessoa que as executa. Se essa pessoa sai, muda a prática.” A ausência de uma Política de Segurança da Informação estruturada é frequente, mesmo quando já existem mecanismos de controlo de acessos ou procedimentos de eliminação de dados.

Além disso, as PME enfrentam limitações de recursos, dificuldades de interpretação das exigências legais e problemas de priorização. “Só quando percebem o impacto real de uma má gestão de dados é que passam a ver a proteção de dados como um investimento.” O objetivo, explica, é tornar o cumprimento “exequível, mensurável e sustentável”, mesmo em organizações de menor dimensão.

“Impacto reputacional pode ser mais gravoso do que a sanção financeira”

A digitalização e a inteligência artificial acrescentam novas camadas de risco. Paulo Garrido recomenda prudência: “Primeiro temos todos que dar um passo atrás e respirar. Não podemos ir desenfreadamente atrás de todas as novidades só porque lemos que a IA está a mudar o mundo.” Mais do que adotar tecnologia, importa compreender os riscos e o papel da organização no tratamento de dados. Na sua perspetiva, iniciativas como o AI Act não pretendem travar a inovação, mas assegurar responsabilidade. “Afinal, o que é que pede? Apenas que se conheçam os riscos e se minimize o seu potencial para prejudicar empresas e cidadãos. Será isto demais?”

Proteção de dados
Também o papel do Encarregado de Proteção de Dados (DPO) evoluiu significativamente. José Madeira Rodrigues recorda que, numa fase inicial, era visto como uma formalidade. Hoje, nas organizações mais maduras, assume uma função estratégica. Ainda assim, muitas empresas recorrem ao DPO de forma reativa, “quando existe um problema concreto entre mãos”. O modelo ideal passa por envolvê-lo desde a conceção de novos processos, promovendo avaliações de impacto e garantindo os princípios de privacy by design and by default.

Quanto às consequências de uma violação de dados, Paulo Garrido sublinha que vão muito além das coimas. “Num mercado cada vez mais digital, a confiança é um ativo central.” O impacto reputacional pode ser mais gravoso do que a sanção financeira, e a forma como a organização reage pode “reforçar, ou destruir, a sua reputação”.

A mensagem é inequívoca. Para José Madeira Rodrigues, a proteção de dados deve ser vista como um fator de competitividade. “Cumprir o RGPD não é apenas evitar coimas, é garantir que clientes, colaboradores e parceiros confiam na forma como tratamos a informação.” E deixa uma analogia provocadora: “É possível construir carros mais baratos se não incorporarem elementos de segurança… mas queremos mesmo pôr no mercado carros sem travões?”

Entrevista no Vida Económica.
Leia Agora

Serviços Relacionados

Consultoria Risco