O impacto do RGPD nas empresas – Uma mudança cultural?

A nova legislação obriga as empresas a evidenciar os esforços que estão a fazer para cumprir com o RGPD, prevendo coimas pecuniárias avultadas caso não consigam demonstrar essas evidências. Para a Multicert é fundamental uma visão sistémica do tema, uma vez que não se consegue dissociar a privacidade dos dados da segurança da informação.

É impossível, para as organizações, garantir a proteção dos dados das pessoas sem, por um lado, garantir a autenticidade de quem os envia e recebe e, por outro lado, a forma como são mantidos, geridos e tratados. A confidencialidade destes dados, bem como a sua integridade, são de uma importância vital para a continuidade do negócio das organizações.

A informação tem que ser devidamente preservada e deve ser garantido o seu acesso em condições definidas e apenas por quem tem as devidas permissões para o fazer. Não esquecendo que, apesar de ser informação crítica para o negócio das organizações, são dados que pertencem aos seus titulares, isto é: às pessoas.

Há por isso um conjunto de requisitos técnicos e processuais que têm que ser garantidos pelas empresas. Estes requisitos são latos e cobrem, por exemplo,

• a segurança no storage da informação,
• os logs que registam os acessos,
• a anonimização ou pseudonimização dos dados em ficheiros que trocam ou cruzam a informação,
• o processo de identificação dos diferentes interlocutores que se cruzam ou acedem à informação durante o seu ciclo de vida.

Um exemplo recorrente é a forma como a informação é recolhida nos pontos de contacto com os clientes em todos os canais – que passa a obrigar a autorização explícita por parte do titular para que a sua informação possa ser utilizada em ferramentas ou campanhas de marketing. E a forma como essa mesma informação é guardada e acedida tem que responder a um conjunto de requisitos muito claros. Por outras palavras: o titular tem que consentir a recolha dos seus dados para todo e qualquer tratamento que lhe possa ser dado.

Todas as pessoas que manuseiam privada ou sensível têm de estar devidamente informadas e formadas para reconhecer os riscos do tratamento indevido de informação
 

Áreas como o Marketing e os RH vão ser fortemente afetados por esta legislação, pelo que o impacto do RGPD não é apenas sobre as equipas técnicas mas sim sobre a organização como um todo. O que nos leva ao tema da formação e sensibilização, dado que todas as pessoas que manuseiam informação privada ou sensivel têm que estar devidamente informadas e formadas para reconhecer as ameaças que o tratamento indevido da informação possam trazer à organização e aos titulares dos dados. Equipas de venda e de contacto com os clientes, por exemplo, terão que ter formação específica sobre como solicitar informação aos clientes.

Será então fundamental alargar o conhecimento deste tema aos diferentes colaboradores da empresa que estão direta ou indiretamente envolvidos nos processos que interferem com a informação ao longo de todo o seu ciclo de vida. Porque uma mudança cultural fundamental nas organizações implica que os colaboradores passem a ser vistos como facilitadores da conformidade da organização com o novo regulamento, retirando esse ónus exclusivamente das equipas técnicas e de compliance.

Branded Content

Artigo produzido por Multicert