Em Foco

RGPD: empresas ainda não estão em conformidade total

O RGPD entrou em vigor na sua plenitude há um ano. As empresas nacionais ainda estão a adaptar-se conforme explicaram, à businessIT, a CNPD e algumas entidades que acompanham a implementação do regulamento em Portugal.

Os dados são o novo petróleo: isto é o que todas as empresas apregoam e é inegável. É exactamente por isso e pelo facto de cada vez serem gerados mais dados que houve a necessidade de uma regulação que acompanhasse esta evolução.

O RGPD trouxe para a agenda das empresas os conceitos de responsabilidade, protecção de dados by design e by default e uniformizou as situações referentes à privacidade e à protecção de dados entre os Estados-Membros da União Europeia (UE). No ano passado, a IDC e a Microsoft Portugal partilharam um estudo em que concluíram que mais de 50% dos decisores das maiores organizações nacionais não conheciam bem o RGPD e que apenas 2,5% dos decisores achava que sua organização estava preparada para lidar com o RGPD. Um ano após a implementação deste regulamento, as empresas mantém-se preocupadas e querem estar conformidade, talvez porque as coimas não são brincadeira; mas o facto é que isto não é fácil.

A Axians Portugal avaliou de que forma as organizações nacionais e multinacionais a operar em Portugal estão a cumprir os requisitos e as práticas actuais de gestão da protecção dados pessoais: o nível médio de adesão aos requisitos do RGPD encontrado foi de cerca de 30%. A governança dos dados é a área em que existe maior conformidade com quase 46% das organizações a terem estes processos implementados ou em marcha.

Estado de implementação
A maturidade das empresas em relação à implementação do RGPD e ao nível da gestão de dados continua «muito baixa», segundo a IDC. Gabriel Coimbra, group vice president e director-geral da consultora em Portugal, diz que as empresas portuguesas têm, de forma genérica, «uma média de 1,7 numa escala de 1 a 5» e, no que toca especificamente à gestão de dados pessoais, a maturidade «não é muito maior».

Miguel Gonçalves, business development manager da Axians Portugal, fala na experiência da empresa, que tem cooperado com nos últimos três anos com algumas das áreas de negócio mais representativas do tecido empresarial nacional: «Temos verificado melhorias significativas na adaptação das organizações. Estamos a falar de um gap considerável que encontrámos um pouco por todas as organizações». O responsável acredita que, actualmente ,as organizações já estão «sensibilizadas» para o tema da privacidade e da segurança da informação e que «grande parte delas já iniciou acções no sentido de poderem cumprir com o regulamento». Contudo, segundo Miguel Gonçalves, isso não significa que esse cumprimento «esteja a ser feito na totalidade». A conformidade é, assim, um processo «on going» que requer um «grau de maturidade acima daquele muitas vezes encontrado».

Ano de aprendizagem com processos em fase inicial
A Associação dos Profissionais de Proteção e Segurança de Dados (APDPO) é crítica em relação a este ano de implementação do RGPD e a sua presidente Margarida Ferreira refere que «lamentavelmente, a maioria das empresas portuguesas nem sequer sabe que o RGPD se lhes aplica». A responsável deu o exemplo de um organismo público que, através das associações empresariais, enviou um questionário sobre a aplicação do regulamento a quatrocentas mil empresas portuguesas e recebeu apenas duzentas respostas.

Em concordância com esta opinião está Ricardo Henriques, sócio da Abreu Advogados, que considera que aquilo que foi feito até à data, «na maioria dos casos», terá apenas sido uma «primeira etapa de adequação, nos aspectos com maior visibilidade externa (avisos e políticas de privacidade e contratos com subcontratantes)», ficando ainda por percorrer «várias etapas de alterações que consciencializem todos os envolvidos no tratamento de dados pessoais da mudança de mentalidade e investimento necessário para uma verdadeira adequação ao RGPD».

Já Clara Guerra, consultora coordenadora do serviço de informação e relações internacionais da Comissão Nacional de Protecção de Dados (CNPD) que é a entidade portuguesa que fiscaliza a aplicação do RGPD, é, apesar de tudo, um pouco mais optimista: «Foi essencialmente um ano de aprendizagem para todos – para as empresas, as entidades públicas, os cidadãos e, por último, também para a CNPD, que teve de lidar com algumas questões novas».