O Regulamento Geral sobre a Proteção de Dados (RGPD) entrou plenamente em vigor em 25 de maio de 2018, com o propósito de dar aos cidadãos europeus o controlo dos seus dados pessoais e simplificar o enquadramento regulamentar dos negócios internacionais através da unificação da regulamentação na União Europeia.
Passado praticamente um ano, mais de 95 mil reclamações foram registadas por titulares de dados, e mais de 64 mil notificações de violações de dados pessoais foram registadas por organizações no âmbito do RGPD em todo o mundo. Globalmente foi atingindo um volume de mais de 56 milhões de euros para um total de perto de 100 multas registadas, sendo a multa sofrida pela Google França a mais relevante (50 M€). De notar que as operações irlandesas do Facebook estão sob investigação (no âmbito do RGPD) e, a própria anunciou que está preparada para receber uma multa até 4,5 mil milhões de euros, considerando também o impacto da investigação em curso da procuradoria-geral de Nova Iorque.
A Axians tem estado muito presente e ativa ajudando os seus clientes no caminho de promoção de um ambiente de conformidade, e como podemos avaliar este primeiro ano de atividade das organizações clientes no que respeita à conformidade com a lei europeia (considerando que à data de hoje, Portugal continua sem lei nacional)?
Estado Atual de Conformidade
Qual o nível de alinhamento ao nível da gestão de dados pessoais com os elementos essenciais de conformidade com o RGPD e quais os domínios em que existe um grau de desalinhamento mais expressivo? Quais os fluxos de dados pessoais existentes e quais os riscos associados? Estas foram as questões que procuramos responder em diferentes organizações clientes de diferentes dimensões e setores de atividade.
Após a avaliação das práticas atuais de gestão da proteção dados pessoais nestas organizações, encontramos um nível médio de adesão aos requisitos do RGPD de cerca de 30%.
Estas avaliações incidiram sobre 10 domínios de avaliação, chegando-se ao seguinte resultado médio por cada domínio de avaliação:
TOP 10 Ameaças de Privacidade de Dados Pessoais
Em termos de ameaças de privacidade de dados pessoais encontramos os maiores níveis de risco nos seguintes tipos de ameaças:
(1) Retenção desnecessariamente prolongada de dados pessoais;
(2) Acesso não autorizado a dados pessoais;
(3) Recolha excessiva de dados pessoais;
(4) Processamento sem o conhecimento ou consentimento do titular dos dados pessoais;
(5) Relacionamento não autorizado de dados pessoais;
(6) Modificação não autorizada de dados pessoais;
(7) Perda, roubo ou remoção não autorizada de dados pessoais;
(8) Incumprimento dos direitos do titular dos dados pessoais;
(9) Informação insuficiente sobre o propósito do processamento de dados pessoais;
(10) Partilha ou alteração do propósito de processamento de dados pessoais com terceiros sem o consentimento do titular dos dados pessoais.
De uma forma geral, e passado mais de um ano após a entrada em pleno da lei RGPD, conseguimos tirar várias conclusões no contexto das organizações em Portugal e aprender que existe:
(1) falta de cultura de gestão de risco e segurança;
(2) baixo nível médio de maturidade nas medidas essenciais de segurança da informação;
(3) modelos atuais sustentados em gestão reativa ao invés de proativa;
(4) falta de capacidade e competências.
Percebemos também que rapidamente se ganham elevados níveis de conformidade com o RGPD, através de ações quick-wins com o desenvolvimento de:
(1) ORGANIZAÇÃO – funções e responsabilidades da privacidade de dados;
(2) POLÍTICA e avisos de privacidade;
(3) RESPOSTA – mecanismos de gestão da violação de dados pessoais;
(4) CONSENTIMENTO – mecanismos de gestão de consentimentos do tratamento de dados pessoais;
(5) DIREITOS – mecanismos de gestão dos direitos dos titulares de dados pessoais;
(6) FORMAÇÃO e Sensibilização da Privacidade e Proteção de Dados Pessoais.
O caminho para a conformidade
O caminho para a conformidade deve ter uma visão sustentada em 4 princípios orientadores que um programa de conformidade com o RGPD deve estar obrigatoriamente orientado, nomeadamente:
– Identificar e gerir lacunas de privacidade
– Minimizar o impacto de violações de dados
– Cumprir a legislação e regulamentação
– Manter a confiança na marca e clientes
O sucesso da operacionalização da conformidade efetiva com o RGPD requer um conjunto multidisciplinar de competências que devem ser asseguradas de forma Integrada, Sistemática e Competente, que se distribuem em 3 pilares fundamentais de capacidades: jurídico, processos e tecnologia.
Em termos de arquitetura, deve ser estabelecido um modelo de governação e gestão suportado nas boas práticas e normas internacionais de gestão da privacidade e de segurança da informação com o intuito de promover a integração de elementos que usualmente são desenhados e implementados de forma fragmentada. Desta forma aproveitamos a “oportunidade” do RGPD para integrar os modelos de gestão de segurança da informação (e.g. ISO/IEC 27001), ao mesmo tempo que é alavancada a capacidade de resposta à mudança e de suporte à estratégia do Negócio de cada organização, considerando também uma perspetiva de visão futura dos novos desafios regulamentares (ex. Lei n.º 46/2018 / Diretiva Europeia NIS – Security of Network and Information Systems – Segurança das Redes e dos Sistemas de Informação e o Regulamento Europeu da Privacidade e Comunicações Electrónicas – EU ePrivacy Regulation).
Resultados
Um modelo de gestão adequado para as práticas de proteção de dados, em alinhamento com o contexto e requisitos da cada organização e dos requisitos do Regulamento Geral sobre Proteção de Dados (RGPD), deve garantir que:
(1) Dados Pessoais estão efetivamente protegidos
A informação pessoal identificável de colaboradores, clientes, parceiros e fornecedores de cada organização é inventariada, controlada, monitorizada e processada de forma segura. Os riscos de privacidade devem ser geridos sob um nível aceitável.
(2) Alinhamento é efetivo com o RGPD
A revisão das práticas de gestão de dados pessoais irá contribuir para a determinação do caminho necessário para o cumprimento dos requisitos da legislação e regulamentação relativa à gestão da privacidade de dados, estabelecida na União Europeia, evitando coimas e outros prejuízos para a organização.
(3) A confiança e valor da marca de cada organização é mantida
Entregar qualidade e valor para os stakeholders de cada organização, de forma a garantir que a gestão da privacidade de dados entrega “real” valor e suporta a confiança e o valor da marca, bem como ir ao encontro dos requisitos de negócio.