Faltam agora menos de 12 meses para o Dia D da GDPR. O 25 de Maio de 2018 dará início a novas estruturas robustas para qualquer empresa que processe informação pessoalmente identificável sobre qualquer pessoa que seja cidadão da UE.
As multas por uma infracção do PIBR de 20 milhões de euros ou 4% do volume de negócios anual global têm sido amplamente documentadas. Isto foi ainda mais reforçado com análises recentes da consultoria de gestão global Oliver Wyman, que descobriu que as empresas FTSE 100 poderiam enfrentar multas de até 5 mil milhões de libras por ano se não cumprissem o novo regulamento.
A GDPR vai para além do mero tiquetaque das caixas e da esperança de obter o melhor. É imperativo que todos os negócios façam isto bem, e a chave para tal é a responsabilização.
A necessidade de responsabilização em matéria de privacidade de dados pode ser rastreada até 1980 nas directrizes de privacidade então emitidas pela Cooperação e Desenvolvimento Económico (OCDE) que descreviam a responsabilização como "mostrando como a responsabilidade é exercida e tornando-a verificável". Esta definição também se presta à forma como a GDPR será na prática. A GDPR procura reforçar a responsabilidade dos controladores e processadores de dados em relação ao tratamento de dados pessoais.
As medidas que as organizações devem pôr em prática incluem processos documentados, avaliações de impacto da protecção de dados e uma metodologia de segurança de dados. Devem igualmente nomear um responsável pela protecção de dados obrigatório para qualquer tratamento de dados pessoais em grande escala, e para assegurar a manutenção de registos actualizados relativos às actividades de tratamento.
Responsabilização Apoia a implementação do GDPR
A Autoridade Europeia para a Protecção de Dados (AEPD), na sua Ficha Técnica de Responsabilização, declara que a responsabilização no tratamento de dados pessoais requer:
- Políticas internas transparentes de protecção de dados, aprovadas e endossadas pelo mais alto nível de gestão da organização.
- Informar e formar todas as pessoas da organização sobre a forma de implementar as políticas.
- Responsabilidade ao mais alto nível pelo acompanhamento da implementação da política, avaliando e demonstrando aos intervenientes externos e às autoridades de protecção de dados a qualidade da implementação.
- Procedimentos para a reparação do cumprimento deficiente e das violações de dados.
Embora a palavra responsabilização apareça raramente no GDPR, o conceito central de responsabilização está subjacente ao GDPR na sua totalidade.
- Artigo 5: Identifica o responsável pelo tratamento de dados como a pessoa responsável por assegurar o cumprimento dos princípios da GDPR relativos ao tratamento de dados pessoais Para além de assegurar o cumprimento dos princípios da GDPR, o responsável pelo tratamento de dados deve prová-lo através de uma série de procedimentos que tornem a regulamentação de dados uma prática verificável.
- Artigo 24: Declara que o Controlador de Dados deve implementar, rever e actualizar os processos organizacionais para mostrar que as operações de tratamento são realizadas de acordo com as novas regras.
- Artigo 39º: Declara que compete ao responsável pela protecção de dados "controlar o cumprimento do presente regulamento, de outras disposições da União ou dos Estados-Membros em matéria de protecção de dados e das políticas do responsável pelo tratamento ou do processador em relação à protecção de dados pessoais, incluindo a atribuição de responsabilidades, a sensibilização e a formação do pessoal envolvido nas operações de tratamento, bem como as auditorias conexas".
As empresas precisam de demonstrar que estão devidamente conformes, o que inclui praticar e fazer cumprir as políticas e procedimentos delineados pela GDPR. Cabe às empresas construir um quadro sobre o qual possa ser estabelecida uma cultura de privacidade.
Isto significa uma verdadeira mudança na cultura de uma organização. A prestação de contas não é algo que possa ser uma ideia posterior da sua preparação GDPR, mas sim precisa de estar no centro do seu plano GDPR agora, em Maio de 2018 e para sempre mais.
As multas da GDPR não acontecerão apenas quando um enorme ataque ou evento cibernético acontecer, elas atingirão duramente sempre que se descobrir que não existe uma avaliação do impacto da protecção de dados, uma falta de agentes de protecção de dados numa organização e uma incapacidade de pôr fim ao ciclo de vida da GDPR. Mesmo uma peça do puzzle em falta poderia custar enormes quantias de dinheiro às empresas.
A GDPR exige que as organizações estejam em conformidade com o novo regulamento, mas também oferece a oportunidade de melhorar o seu negócio, comprometendo-se com a utilização ética dos dados pessoais. Pode utilizar este ónus de responsabilização para apresentar a sua organização como um bastião dos direitos de privacidade individuais que podem desempenhar um papel integral na escolha da sua empresa em detrimento de um concorrente.
O momento de agir sobre a GDPR é agora, mas é importante lembrar que qualquer plano que ponha em prática deve ter a responsabilidade como componente central para lhe permitir estar em conformidade em Maio de 2018 e ser uma prova futura da sua organização durante anos futuros.