Proteção de dados: “Não vamos ter sistemas à prova de bala”

Depois de cinco anos de negociações e quatro mil adendas, o Parlamento Europeu aprovou um novo Regulamento Geral de Proteção de Dados (RGPD) que garante mais proteção aos cidadãos europeus, no que diz respeito à privacidade e aos dados, mas mais trabalho para as empresas. Ainda assim, e com todas as melhorias que se estão a fazer neste campo, os profissionais da tecnologia não garantem resultados perfeitos, nem a plena aplicabilidade dos pressupostos do RGPD.

Esta problemática foi discutida na conferência “O Novo Regulamento Europeu de Proteção de Dados”, promovida pela Ordem dos Advogados e a Microsoft Portugal, tendo juntado advogados, politólogos e profissionais de tecnologia. A conclusão foi abrangente: estes são os primeiros passos para um longo caminho que, como afirmou Rui Gomes, sócio de IT Advisory da KPMG, “vai dar dores de cabeça às empresas.” No âmbito da discussão, foi também apresentado o estudo levado a cabo pela consultora KPMG e que teve como objeto de análise o impacto do novo RGPD.

A proteção total é impossível

No rescaldo do WannaCry, o ataque informático global que atingiu mais de 45 mil utilizadores um pouco por todo o mundo, as garantias de uma proteção total e sem falhas não pode ser dada por ninguém. Sandra Miranda Ferreira, CTO da Microsoft Portugal, afirmou em painel que “não vamos ter sistemas à prova de bala, as brechas vão sempre existir.” Ainda assim, garantiu que, em todos os casos, “faz-se sempre a melhor proteção de dados possível”.

"Esta regulação também tem uma face positiva, podendo vir a ser uma factor diferenciador, uma oportunidade para atrair novos clientes.”

O determinismo em relação aos ataques e às brechas de proteção também foi expressado por Rui Gomes da KPMG: “A pergunta sobre a cibersegurança, deixa de ser ‘será que eu vou ser afetado’ para ‘quando é que eu vou ser afetado’.”

O primeiro passo é a educação

Ainda que o caminho a seguir a partir de agora passe maioritariamente pela via judicial, através das obrigações e das punições impostas às empresas, a importância da educação e da formação para as tecnologias foi sublinhada pela maioria dos constituintes dos painéis. Para Sandra Miranda Ferreira “a protecção dos dados começa em cada um de nós”, através da maneira como utilizamos as ferramentas online.

A CTO da Microsoft Portugal afirmou também que as empresas e as instituições públicas têm de educar os seus colaboradores para que sejam o mais responsável possível com o manuseio dos seus próprios dados, como é o caso das credenciais de acesso.

Também Filipe Pinto Ribeiro, representante da HP, especificou que esta transição de regulamentos não será fácil para as empresas, e que, ainda que a perfeição não seja atingida, que “temos [as empresas] de passar a tratar os dados de uma forma diferente.” Este fez ainda questão de sublinhar que “não vamos poder fazer uma dieta rápida para tratar os nossos dados, vamos ter de criar um estilo de vida.”

Mais que um obstáculo, uma oportunidade

Se regras mais restritas significam mais atenção por parte das empresas, as falhas significam grandes quebras na imagem da marca. Estas vão passar a garantir a conformidade das normas para se manterem competitivas. Além disso, e como destacou Sandra Miranda Ferreira, este cumprimento não se pode limitar a “picar uma checkbox”, mas sim manter esse fator, o que para a gestora é um dos maiores desafios.

Num tom menos negativo falou Filipe Pinto Ribeiro, que considerou que as novas regras não são necessariamente negativas. “Esta regulação também tem uma face positiva, podendo vir a ser uma fator diferenciador, uma oportunidade para atrair novos clientes”, os que valorizam o rigor na proteção de dados.

O que é que muda para as empresas?

O novo RGPD entrará em vigor em 25 de maio de 2018. Com este, os princípios de protecção de dados pessoais não vão sofrer alterações substanciais, sendo que as maiores mudanças serão ao nível das regras de operacionalização, como por exemplo:

• As organizações passam a funcionar num modelo de auto regulação, sendo que a responsabilidade pela interpretação, operacionalização e manutenção da conformidade passa da CNPD para as próprias.
• O quadro sancionatório será agravado, sendo que a coima máxima pode atingir os 20 milhões de euros, ou 4% do volume de negócios global.
• O conceito de dados pessoais será alargado para incluir quaisquer dados suscetíveis de identificar, mesmo que de forma indireta, um determinado indivíduo.
• Os direitos dos titulares de dados pessoais, como direito ao esquecimento e à portabilidade, serão reforçados.
• Quaisquer incidentes relativos ao comprometimento de dados pessoais passarão a ter de ser reportados à Autoridade de Controlo e, em certas condições, aos próprios titulares afetados.

Segundo o dados do estudo levado a cabo pela KPMG, 65% das organizações sondadas considera ter um grau de consciência médio ou alto sobre as novas obrigações em matéria de proteção de dados. No entanto, 85% reconhece que “ainda não iniciou o processo de implementação de medidas efetivas para responder” aos novos requisitos. Neste participaram 101 organizações, de sete setores de atividade, inquiridas entre novembro de 2016 e janeiro de 2017.