Os políticos às vezes têm razão

Há 10 anos, quando o RGPD começou a ganhar forma no espaço europeu, muitas organizações reagiram com ceticismo. Para muitos, tratava-se de mais um exemplo de excesso regulatório vindo de Bruxelas. Para outros, era apenas burocracia: políticas longas, pop-ups de cookies e mais um conjunto de obrigações sem impacto real no negócio.

Na altura, parecia mais um exagero regulatório europeu.

Hoje, é difícil olhar para o estado do mundo digital e concluir que as preocupações que estiveram na origem do RGPD eram desproporcionadas.

Nos últimos anos, assistimos a uma transformação tecnológica profunda. As empresas tornaram-se ainda mais dependentes de plataformas cloud, aplicações SaaS, dispositivos móveis, ferramentas de monitorização, ecossistemas digitais distribuídos e cadeias complexas de fornecedores e subcontratantes. A inteligência artificial entrou no quotidiano das organizações a uma velocidade impressionante. A recolha, circulação e análise massiva de dados pessoais passou a fazer parte da operação normal de praticamente qualquer empresa.

Ao mesmo tempo, os riscos multiplicaram-se.

Ataques de ransomware, fugas de informação, campanhas de phishing, utilização abusiva de dados pessoais, monitorização excessiva de trabalhadores, profiling comercial agressivo e decisões automatizadas opacas deixaram de ser cenários teóricos. Tornaram-se parte da realidade operacional de organizações de todas as dimensões.

Hoje, praticamente todas as empresas dependem de plataformas externas que tratam dados pessoais em seu nome. Muitas vezes sem verdadeiro conhecimento sobre onde os dados circulam, quem lhes acede, durante quanto tempo são conservados ou que entidades adicionais participam nesses tratamentos.

E é precisamente aqui que o RGPD revela aquilo que muitos inicialmente não compreenderam: o regulamento nunca foi apenas sobre consentimentos, banners de cookies ou formulários. Sempre foi sobre responsabilidade num mundo movido a dados.

• Responsabilidade sobre aquilo que se recolhe.
• Responsabilidade sobre aquilo que se partilha.
• Responsabilidade sobre quem acede à informação.
• Responsabilidade sobre as tecnologias implementadas dentro das organizações.

Durante anos, muitas empresas encararam o RGPD como um projeto essencialmente jurídico ou documental. Algo resolvido através de políticas, templates e algumas cláusulas contratuais. Em muitos casos, criou-se uma “compliance de fachada”: documentação formalmente existente, mas desligada da realidade operacional.

Mas a evolução tecnológica acabou por expor rapidamente as limitações dessa abordagem.

A proteção de dados deixou de ser apenas uma questão jurídica. Passou a ser um tema de governação, segurança, continuidade operacional, reputação e confiança.

Hoje, uma decisão aparentemente simples, como implementar uma ferramenta de inteligência artificial, uma aplicação de RH, um sistema de videovigilância inteligente ou uma plataforma de marketing, pode criar impactos significativos ao nível da privacidade, segurança da informação e conformidade regulatória.

E muitas organizações continuam sem visibilidade real sobre os tratamentos de dados que realizam diariamente.

Não sabem exatamente:
- que dados possuem;
- onde estão;
- quem lhes acede;
- durante quanto tempo são conservados;
- que fornecedores os tratam;
- ou que riscos decorrem dessa realidade.

O problema deixou de ser teórico. Tornou-se operacional.

Mais dados.
Mais tecnologia.
Mais interligação.
Mais monitorização.
Mais dependência digital.
Mais risco.

Naturalmente, o RGPD não resolveu todos os problemas. Existiram excessos, interpretações discutíveis e abordagens demasiado burocráticas. Mas a ideia central manteve-se válida: organizações que tratam dados pessoais precisam de saber o que estão a fazer, por que razão o fazem e que impacto isso pode ter nas pessoas.

E isso deixou de ser apenas uma preocupação jurídica. É hoje uma questão de maturidade organizacional.

Afinal, talvez os políticos tenham acertado nesta.

Assinalar os 10 anos do RGPD não deve ser apenas um exercício simbólico. Deve ser uma oportunidade para reflexão séria sobre o estado atual da governação da informação dentro das organizações.

• O que mudou nos últimos 10 anos?
• Que plataformas foram implementadas?
• Que fornecedores passaram a ter acesso a dados pessoais?
• Existe verdadeiro controlo sobre esses fluxos de informação?
• As medidas existentes acompanham a velocidade da evolução tecnológica?

Foi com esse objetivo que desenvolvemos o questionário de avaliação abaixo: criar um momento de análise e reflexão sobre o nível de maturidade das organizações em matéria de proteção de dados, risco digital e governação da informação.

Por José Madeira Rodrigues, Associate Partner Crowe Advisory DPO Services.