Regulamento Geral de Proteção de dados
Desde 25 de maio de 2018 que entrou em vigor o novo Regulamento Geral de Proteção de Dados pessoais (RGPD), e por ser um regulamento (os regulamentos são atos legislativos definidos no artigo 288.o do Tratado sobre o Funcionamento da União Europeia (TFUE) e são obrigatórios em todos os seus elementos e diretamente aplicáveis em todos os países da União Europeia) é diretamente aplicável a todos os países as União Europeia.
Tal definição implica que, mesmo sem a publicação da lei nacional que vem especificar determinadas matérias, todas as entidades nacionais estão obrigadas a cumprir com o mesmo.
Assim sendo, a primeira questão que se coloca, principalmente para as empresas de menor dimensão, familiares e empresários em nome individual, é se dada a sua dimensão têm que cumprir o referido regulamento.
A resposta a esta dúvida é sim. Todas as entidades que tenham em seu poder e efetuem tratamento de dados pessoais de residentes na União Europeia têm que cumprir o regulamento, independentemente da sua dimensão, quantidade de dados e forma de guardar os mesmos e localização geográfica da empresa.
Sim, porque, nem só as empresas que estejam fisicamente presentes na União Europeia são abrangidas pelo regulamento, ou seja, desde que tenham acesso a estes dados, diretamente ou por serviços prestados a terceiros, estão abrangidos pelo RGPD.
Ultrapassada esta dúvida, e com a consciencialização de que todos temos que adaptar as nossas práticas e processos de tratamento de dados pessoais ao novo regulamento, surgem de imediato um conjunto de novas dúvidas, tais como: o que tenho que fazer, quanto vai custar, como vou fazer, por onde vou começar, tenho capacidade (financeira e técnica) para fazer o necessário, etc.
Apesar destas questões parecerem de difícil resposta, e parecer um grande elefante impossível de manusear, na realidade a maioria das vezes são de simples resposta e resolução. O maior problema para as empresas é o seu desconhecimento relativamente aos dados que possui, ao manuseamento a que os mesmos estão sujeitos, ao seu processo de arquivo e medidas de segurança que tem implementadas para os mesmos.
Assim, temos que partir o elefante às fatias e tratar cada fatia de forma adequada e sequencial para atingirmos o resultado adequado a cada entidade.
E por onde devemos iniciar o processo? É nosso entendimento que deveremos começar por efetuar um levantamento do que possuímos e identificar as nossas diferenças (GAP Analysis) para com o regulamento, nomeadamente nas matérias de políticas, documentação, procedimentos, comunicação, segurança, formação, etc.
Todas as entidades têm que ter o mesmo nível de implementação? Todos temos que cumprir com todo o regulamento. No entanto, o grau de implementação de alguns dos artigos vai depender de alguns fatores de cada uma das entidades, como seja os dados que possuem, os processamentos que fazem com os mesmos, as infraestruturas tecnológicas que têm implementadas, a avaliação de risco efetuada e o seu apetite ao risco, etc.
Resumindo, quem ainda não iniciou o processo de conformidade, deverá considerar o seu início com a maior brevidade, efetuando a sua análise e a identificação das medidas que terá que tomar para atingir a conformidade. Só assim podem saber que impacto terá o processo de adequação ao regulamento bem como efetuar um planeamento de implementação adequado.