O terceiro Encontro Transformação Digital juntou uma centena de profissionais em Lisboa, em outubro, e uma das oradoras convidadas foi Sofia Pina, Data Controller e Corporate Records Manager do Grupo Sport Lisboa e Benfica, que conversou sobre a importância do Regulamento Geral de Proteção de Dados (RGPD) para a gestão documental
|
Do papel ao digital, da arquivística à transformação tecnológica. Podem parecer mundos antagónicos, mas o Encontro Transformação Digital, organizado pela EAD – Empresa de Arquivo de Documentação, deixou claro que há uma relação de simbiose. Sofia Pina, Data Controller e Corporate Records Manager do Grupo SLB, abordou a importância do RGPD no contexto da “Eficiência Digital no Tratamento dos Documentos dos Processos de Negócio e Suporte ao Negócio”, tema principal do encontro.
Qual foi o enquadramento e o contributo da sua mensagem para este encontro? Foi com muito prazer que aceitei o convite da EAD para participar neste III Encontro de Transformação Digital. Enquanto arquivista de formação, é muito importante dar a conhecer ao mercado uma profissão antiga – a de arquivista – como uma função com uma enorme capacidade de adaptação às novas e diversas tecnologias de forma a cumprir a sua missão, que é a responder às urgentes necessidades dos utilizadores. O meu contributo pretende alertar o mundo empresarial para o risco de cumprimento cego do RGPD, que, numa leitura linear, pode ser interpretado para a orientação de eliminar todas as evidências assim que cumprem a sua finalidade. Ora, esta ação coloca em risco a necessidade de comprovar algo num prazo mais dilatado, num futuro próximo. E em termos de arquivos históricos, neste momento, corremos o sério risco de não ter informação que documente a nossa realidade atual, daqui a uns 20/30 anos. Se não cuidarmos, ao dia de hoje, da gestão documental, perdemos as fontes administrativas dos arquivos correntes (os ditos arquivos quotidianos) e as fontes probatórias para os arquivos históricos de amanhã. Tal como indica o título da sua apresentação, de que formas é que a gestão documental alavanca o compliance com o RGPD? Como referi na minha apresentação, desde sempre que as práticas arquivísticas disponibilizam acessos controlados, conforme o grau de sensibilidade da informação a consultar, contenham ou não, dados pessoais. Mais, dado que os documentos de arquivo refletem a ação humana, no que se refere à documentação administrativa há que ter em especial atenção os seus prazos de validade e o seu carácter de evidência. O RGPD, dado o atual mundo empresarial, foca-se no consentimento e na finalidade para a recolha de dados pessoais. A Arquivística desde sempre foi mais longe, foca-se no direito de acesso à informação e na salvaguarda do direito de privacidade. Através do respeito dos prazos de conservação da informação, seja qual for o seu suporte, a Arquivística garante o carácter probatório da memória. E, sem memória, a história repete-se, para o bem ou para o mal. O RGPD e a gestão documental são alavancas mútuas, porque arquivar, preservar e controlar dados pessoais é o mesmo processo que arquivar, reter e controlar documentos relevantes. Assim, temos o RGPD para a Proteção de dados de carácter pessoal dos cidadãos do espaço europeu e temos a gestão documental e a abordagem empresarial para o controlo da informação ao longo do tempo. Entre ambos existe a ténue linha da recuperação de informação. Quanto a este assunto, como avaliaria o ecossistema português? A gestão documental é uma preocupação que acompanha as preocupações das empresas com o RGPD? As empresas compreendem a sua importância? Vivemos uma trilogia de Pessoas–Processos–Tecnologia e um novo paradigma em que a tecnologia é uma parte intrínseca dos próprios processos de negócio. Infelizmente, e não é apenas em Portugal, o mercado empresarial acredita que os instrumentos informáticos resolvem o problema da gestão documental; é fundamental haver uma gestão eficaz suportada em técnicas e regras arquivísticas que cumpram normas internacionais, no que se refere aos acessos, à disponibilização, à garantia de qualidade, à segurança,... porque é sempre fundamental o contexto em que a informação foi produzida; informação descontextualizada, decisão errada. O alarme soou com o RGPD porque lhe estão associadas pesadas coimas em situações de inconformidade, e apenas no que se refere aos dados pessoais. Ora, nós, arquivistas, lidamos com todo o tipo de dados, sem exceção, tenham ou não dados pessoais e sobretudo, garantimos o seu continuo, pois dados avulsos não permitem conhecimento nem esclarecimento. O panorama tem de mudar e o RGPD é a oportunidade de a Arquivística demonstrar que trabalha ao nível dos processos de negócio, do contexto, do armazenamento e/ou da conservação (permanente) e eliminação. Conhecer a vida útil da informação e justificar a sua duração é fundamental, caso contrário, muita informação pertinente será eliminada indiscriminadamente. O panorama da gestão documental em Portugal tem de mudar e cada vez mais as empresas interiorizam que os seus processos documentais estão no meio do processo de transformação digital. A tecnologia é um instrumento que conjuga meios técnicos, recursos humanos e objetivos estratégicos e a sua implementação [das tecnologias de gestão de informação] tem de considerar o ciclo de vida, pensar em armazenamento criterioso, garantindo evidências para o futuro. A Sofia é Data Controller e Corporate Records Manager... como é que isto é diferente de ser uma DPO? São funções complementares, e dada a complexidade do RGPD, têm de trabalhar em conjunto, ainda que com tarefas distintas. Ao DPO compete, no fundo, controlar o cumprimento, por parte da organização, de toda a legislação relacionada com a proteção de dados, nomeadamente em auditorias, atividades de sensibilização e formação do pessoal implicado nas operações de tratamento, aconselha sobre a realização da uma AIPD, controla a sua realização. Digamos que o DPO funciona como uma Entidade Reguladora de cada organização e dentro desta mesma organização. Já o Data Controller define as políticas de gestão documental e apoia na implementação das políticas, das normas e dos procedimentos necessários ao cumprimento da legislação e regulamentação de Proteção de Dados. Faz isso ao identificar e controlar a documentação dentro do sistema informacional e ao produzir mecanismos de representação e de localização da informação. No fundo, cabe ao Data Controller determinar como os dados são processados e com que finalidade, e é este que se certifica sobre a transparência das operações, a fim de manter e construir a confiança do consumidor. E, aqui, entram as competências da gestão documental, Corporate Records Manager – no sentido de proceder ao levantamento documental e de identificar os respetivos processos de negócio, criar uma macro-estrutura funcional para classificação dos processo de negócio, determina os prazos de conservação conforme a legislação em vigor, define e faz cumprir os prazos de retenção da informação administrativa e tem que ter especial atenção à salvaguarda dos dados confidenciais e dos dados pessoais. Claro que há ainda uma vertente muito prática, já que vivemos numa época em que se lida com informação em suporte “papel” e em suporte “digital”. De forma a garantir o acesso à informação em papel, recorre-se às antigas práticas arquivísticas de inventariação e acomodação do “papel”, para recuperar essa informação sempre que necessária ao utilizador. “Arquivo e documentação” e “transformação digital” são muitas vezes conceitos tomados como antagónicos, já que se entende o primeiro como algo “antiquado”. Neste evento unem-se e entende-se a complementaridade entre os dois. Como é que o RGPD dá forma a esta ideia também? Como referi anteriormente, vivemos numa época em que coexistem dois suportes informacionais: o papel e o digital. Ainda que a transformação digital nos permita, gradualmente, substituir um suporte pelo outro, ainda vamos viver durante algumas décadas esta cooperação. Ainda que, pessoalmente, considere que o papel nunca vai deixar de ser utilizado. Claro que podemos sempre digitalizar um documento em papel para nos facilitar a consulta, mas teremos a garantia da salvaguarda da evidência, do seu carácter de prova? E a legislação em vigor já nos dá essa margem? O RGPD não altera a definição de prazos de retenção dos documentos com dados pessoais, apenas esclarece sobre a finalidade dos dados pessoais. Temos a consciência que a intervenção de arquivos correntes ou de gestão é um fator estratégico para governance e que a gestão documental e a proteção de dados pessoais partilham o mesmo objetivo, o de ser associado o mais cedo possível aos novos projetos de IT. A boa gestão da informação exige uma clara definição de perfis, bem como a correta segmentação de processos de negócio (mapeamento de dados), evitando o uso de dados recolhidos a um cliente num outro contexto, uma vez que a avaliação e a posterior classificação de dados só serão válidas caso os dados sejam recolhidos de forma lícita, e é por isso que é importante que o sistema informático de gestão de dados pessoais se baseie em regras de gestão documental, de preferência já em vigor e conhecidas pelos vários atores da empresa. A otimização dos processos documentais é seguramente geradora de valor, não só pela confiança do titular dos dados, como nas garantias de segurança de informação, demonstrativa de indicadores de desempenho, já que o mapeamento nos permite a avaliação em tempo real da execução de tarefas, mede os resultados, custos, produção, produtividade, etc. É urgente compreender a relevância dos arquivos correntes e intermédios na resposta às necessidades gerais de informação e é através da gestão documental que se poderá dar o próximo passo: o de criar impacto com a informação disponível, centralizando, simplificando, agilizando e uniformizando visualmente todos os dados para que se convertam em conhecimento e em insights valiosos para a tomada de decisões e apenas desta forma será possível impactar de forma positiva o negócio e o espaço para novos processos e modelos de negócio. |
Receba todas as novidades na sua caixa de correio!
