Desafios
A responsável da DPO Consulting acredita que os desafios para as empresas «permanecem iguais aos que existiam desde o início da entrada em vigor do RGPD em 2016 e a sua aplicabilidade plena em 2018» e destaca «a necessidade das empresas identificarem os tratamentos de dados que ocorrem no seio de cada organização, perceber que processos, políticas e procedimentos precisam de implementar, que tipo de formação deverão dar aos seus colaboradores e, muito importante, que segurança da informação têm implementada e o que é preciso fazer para a melhorar».
Acresce, ainda, a questão da «necessidade, ou não, da nomeação do DPO, e quem nomear». Margarida Ferreira enumera o mesmo tipo de desafios acrescentando «os grandes investimentos necessários» e o business development manager da Axians Portugal, Miguel Gonçalves, acrescenta a «alteração comportamental». O responsável diz que não são só mudanças de comportamentos, mas «culturais e sociais».
Para a Gabriel Coimbra, «o grande desafio das organizações portuguesas é gerirem os dados como um activo estratégico, e serem capazes de facto de monetizarem a informação, garantindo a segurança e privacidade dos dados» mas de acordo com o que o executivo disse numa recente conferência organizada pela IDC em que a businessIT esteve presente, este não é um problema só nacional.
A lei nacional
Portugal era, até Junho, um dos três países, a par da Grécia e Eslovénia, que ainda não tinha transposto o RGPD para uma lei nacional. A Lei de Execução do Regulamento Geral sobre a Proteção de Dados em Portugal já foi aprovada pela Assembleia da República mas terá agora de ser promulgada antes que entre, efectivamente, em vigor. Isto não inviabiliza a aplicação do que é indicado no regulamento europeu; vem é colmatar algumas necessidades especificas e resolver «alguns temas que o RGPD tinha deixado em aberto e que careciam desta intervenção legislativa», indica Ricardo Henriques.
A porta-voz da CNPD corrobora este facto e indica que «a Lei de Execução visa apenas regular ou adaptar algumas matérias específicas que o RGPD admite que sejam os Estados-Membros a legislar, sem contrariar o direito europeu. Em alguns casos, a Lei de Execução é essencial para dar fundamento de legitimidade a tratamentos de dados que o RGPD não contempla directamente ou para regular aspectos que o RGPD não faz para que seja possível um ajustamento a outra legislação nacional».
O advogado salienta que as principais mudanças são ao nível das «regras relativas a entidades públicas (designação de DPO /EPD e a possibilidade de dispensa de aplicação de coimas), a fixação da idade de consentimento para menores de treze anos, regras específicas relativas ao tratamento de dados dos trabalhadores no âmbito de relações laborais (em especial, quanto ao consentimento do trabalhador, sistemas de videovigilância e dados biométricos) e regras quanto ao tratamento de dados de saúde e dados genéticos». Por outro lado, a lei nacional vai também definir as regras referentes aos processos de contraordenação e aos montantes e critérios de determinação das coimas a aplicar. Mas Clara Guerra alerta que o «texto actual aprovado na AR continua a ter muitas das deficiências que a CNPD já assinalou e explicou» num parecer.