2019/06/19

À conversa com Nuno Saldanha - autor do livro "RGPD - Guia para uma Auditoria de Conformidade" da FCA


A FCA deu-nos a oportunidade de conversar um pouco com alguns dos seus autores, e desta vez o escolhido para a rubrica "À conversa com" foi Nuno Saldanha, autor do livro "RGPD - Guia para uma Auditoria de Conformidade".


Passado um ano da implementação do RGPD, o que o motivou a avançar com a escrita de mais um livro sobre este tema? Considera que as empresas não se adaptaram a esta nova realidade e que os procedimentos ainda não estão a ser adequadamente aplicados?

Este primeiro ano foi um tempo de muitas realizações dentro das organizações, no que respeita ao desenvolvimento de procedimentos de defesa da privacidade dos dados pessoais. As empresas e demais entidades, umas mais do que outras naturalmente, fizeram um grande esforço para se aproximarem da conformidade com o regulamento. Mas este é sempre um esforço continuado. O que se foi tornando notório, no contacto com muitas entidades, é que esse esforço não foi mensurado, isto é, as organizações perguntam-se continuamente se o que fizeram, fizeram bem. Tenho notado essa necessidade de verificação do trabalho efetuado, essa necessidade de avaliação, de auditoria ao que foi feito por forma a tomar decisões futuras, nomeadamente de continuação do investimento nestas matérias.

Refere que o livro apresenta um conjunto alargado de controlos – cerca de 850 - para que as organizações possam verificar se efetivamente continuam em conformidade. Quer dar-nos alguns exemplos?

Os controlos internos aqui apresentados dizem respeito à verificação de todo o leque de obrigações que o RGPD impõe. Por exemplo, a organização deverá perguntar-se que procedimentos já implementou para fazer face à necessidade de responder aos direitos dos titulares dos dados, e portanto existe só para essa temática um conjunto de questões que o auditor interno, que o DPO, que o auditor externo, deverá questionar para ficar com a certeza do que foi feito, se esse trabalho está bem realizado e, logicamente, para se aperceber do que ainda não foi feito.Cada tema específico terá um conjunto de questões que ajudará a organização a saber o estado de implementação da sua conformidade com o regulamento.

Em que bases deve assentar a auditoria à prática do RGPD?

Acreditamos que a melhor forma de auditar é perguntar, ouvir, averiguar, é retirar evidências do que é feito, de bem e de mal. O auditor deve, com base no conhecimento profundo que tem das matérias em questão, perceber o estado da organização e, nesse sentido, ajudá-la a percorrer o caminho que falta.

A quem se destina este seu novo livro?

Enquanto o meu primeiro livro “Novo Regulamento Geral de Proteção de Dados” se dirigia às pessoas em geral, sendo a minha intenção dar a conhecer o regulamento a todas as pessoas, no fundo, a todos os titulares dos dados que somos nós, numa certa visão de “evangelização”. Neste segundo livro, o foco está nas organizações, nas entidades que têm a responsabilidade de se colocarem em conformidade com o RGPD. Aqui a intenção é ajudá-las a criarem mecanismos de controlo da implementação dessa
conformidade.

Esta lei veio trazer um novo cargo às empresas – o encarregado de proteção de dados (DPO). Embora não seja uma figura obrigatória, considera-a fundamental para a revisão e boa aplicação dos termos legislativos?

A melhor resposta para estas questões é o “depende”. Se a organização é muito grande, se é muito complexa, se trata muitos dados, se trata dados sensíveis em larga escala a resposta é sim, claro. Se a organização é pequena na sua estrutura, mas trata um volume muito grande de dados pessoais a resposta continua a ser positiva. Se for uma pequena empresa, ou uma grande empresa, mas que trata um
conjunto pequeno de dados pessoais, deverá encarar esta questão de uma forma diferente.
À partida, qualquer organização terá vantagens em criar esta figura desde que tenha estrutura para tal. E principalmente saiba tirar vantagens dessa aposta.

Não há dúvidas que as implicações práticas desta norma têm sido benéficas para os cidadãos. Mas sê-lo-ão também para as instituições?

Vivemos numa sociedade digital. As organizações têm uma necessidade cada vez maior de conhecer os seus clientes, os seus fornecedores, os seus potenciais. Ao conjunto de informação recolhida, junta-se a necessidade constante de proteção dessa informação. A reputação de uma empresa pode demorar muito tempo a ser construída mas, nos tempos que correm, pode demorar segundos a ser destruída. Uma organização que trabalha com dados pessoais dos seus clientes tem que ter consciência que é mera depositária dessa informação. Não é dona desses dados.
Com a consciencialização dos direitos por parte dos titulares dos dados, as empresas fazem já campanhas publicitárias baseadas na forma como trabalham (bem) a informação de que dispõem e a forma como utilizam essa informação para melhorar os seus serviços. Essa é também uma implicação prática do regulamento.

Se o RGPD foi aprovado porque é que eu continuo a receber email comerciais? Isso não deveria ter acabado?

Com efeito, a entrada em aplicação do RGPD proibiu as práticas de contacto comercial, ou seja, a utilização da informação pessoal como emails ou números de telefone para contactos, em que não tenha existido autorização prévia dos próprios para o fazer. No entanto, seja por ignorância, incompetência ou ainda mais grave com conhecimento dessa ilegalidade, muitas empresas continuam a proceder a contactos não autorizados.
A nossa informação está realmente espalhada pela net. Os nossos contactos estão por todo o lado e as pessoas ou as entidades que têm intenção de ir contra a lei também. Aos titulares de dados, todos nós, restam duas alternativas. Aproveitar esses contactos para fazer o "unsubscribe", ou seja, aproveitar para exprimir o desejo de não ser mais contactado e isso geralmente resulta ou, então, apresentar queixa junto da Comissão Nacional de Proteção de Dados dessa violação de consentimento.

Qual o balanço que faz deste primeiro ano após a implementação do novo RGPD?

A entrada em vigor do regulamento teve três consequências essenciais. A primeira foi a consciencialização, por parte dos cidadãos em geral, da existência dos seus direitos como titulares dos dados e, derivado desse facto a utilização desses direitos nas relações com as organizações com quem interagem. Uma segunda consequência, agora do lado das empresas, foi o facto de perceberem que a adoção de boas práticas de privacidade nos seus negócios pode-se traduzir em melhores resultados operacionais fruto de uma revisão de processos a que foram obrigadas a efetuar, no âmbito da conformidade com o regulamento. Uma terceira consequência, esta a nível geral, foi a aprovação e repercussão que o regulamento teve no resto do mundo, levando a que alguns países, nomeadamente o Brasil, aprovassem legislação parecida, ou no mesmo sentido, e que outros questionam a necessidade de o fazer. Quer isto dizer que o regulamento pode muito bem influenciar, num curto prazo, muito mais do que os 500 milhões de europeus.


Sobre o autor
Nuno Saldanha - Licenciado em Direito, com diversas formações nas áreas de Gestão Empresarial e Financeira, é professor no Instituto Superior de Administração e Línguas da Madeira (ISAL) e responsável pela implementação de processos de compliance no âmbito do RGPD na consultora Bi4all. Autor do livro “Novo Regulamento Geral de Proteção de Dados”, lançado em 2018 pela FCA. Exerceu vários cargos no Grupo Impresa durante mais de 25 anos.



Para quem chegou até aqui, temos uma surpresa. Temos para oferecer dois exemplares do livro "RGPD - Guia para uma Auditoria de Conformidade" e para te habilitares a ganhar um deles só tens que participar preenchendo o seguinte formulário:

Passatempo encerrado: os vencedores foram:
Ana Leal
André Coelho

Fica atento aos próximos passatempos.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]