RGPD: 8 meses depois, a oportunidade continua aí

Depois do “efeito novidade”, o Regulamento Geral de Proteção de Dados (RGPD) tem vindo a tornar-se, a pouco e pouco, uma realidade operacional na relação entre empresas e consumidores no que diz respeito à gestão e tratamento de dados pessoais. Além das recentes disposições legais trazidas pelo RGPD, começam a surgir as primeiras multas e investigações.

A nível europeu, já existem mais de 500 investigações em matéria de dados pessoais. A informação, segundo o Dinheiro Vivo, foi transmitida pela chair do Conselho Europeu de Proteção de Dados, no início de outubro. Já o Supervisor Europeu de Proteção de Dados, Giovanni Buttarelli, sublinhou à Reuters que as primeiras multas RGPD chegam no final do ano, afetando empresas e entidades públicas.

O cenário já se tornou realidade em Portugal. O pioneiro – pelas piores razões – foi o Centro Hospitalar Barreiro-Montijo, que já recebeu coimas da Comissão Nacional de Proteção de Dados (CNPD), ao abrigo do RGPD. Ao todo, o hospital foi multado em 400 mil euros devido aos acessos alegadamente indiscriminados a processos clínicos dos doentes por parte de técnicos e médicos, sem a devida autorização.

De recordar que, no âmbito do regulamento europeu, as multas têm um limite máximo de 20 milhões de euros ou 4% do volume de negócios global. As regras específicas de aplicação do RGPD em Portugal estão dependentes da publicação oficial de uma lei nacional, o que não aconteceu até à data. Numa proposta de lei aprovada, em março, em Conselho de Ministros – e que acabou por não avançar –, o Governo apontava a CNPD como autoridade de controlo nacional do RGPD. Sem legislação nacional, aplicam-se as disposições gerais do regulamento europeu.

Como tirar partido do RGPD para melhorar os processos internos?

Para agarrar a oportunidade de transmitir confiança aos consumidores, é essencial começar pela adaptação, sistematização e agilidade dos processos internos. Mais do que um e-mail a pedir consentimento, é preciso olhar para o que se faz hoje e perceber o que pode ser ajustado e melhorado. E fazer tudo isto de forma ponderada e segura, à escala da empresa. O regulamento começou a ter aplicação prática em maio, mas ainda há tempo de começar a autoanalisar a organizar, melhorar processos e implementar melhores práticas.

O primeiro passo para aproveitar as vantagens do RGPD é estar bem informado sobre as disposições do regulamento. Consulte, por exemplo, o Espaço RGPD da CNPD, que reúne a legislação mais relevante sobre o tema.

Em paralelo com aprofundar os seus conhecimentos sobre o tema, tenha também em conta os quatro pontos de grande impacto do RGPD nas organizações:

1# Regulamento novo, vida nova

Com a chegada do RGPD, é necessário ter a consciência de que a maioria das bases de dados e ficheiros de contacto atuais das organizações se torna obsoleta. Não porque os contactos já não existam, mas porque os mesmos foram obtidos sem o devido consentimento de uso para fins comerciais. Perante esta realidade, as organizações podem enviar um e-mail de consentimento, mas a taxa de resposta será, previsivelmente, muito baixa.

A outra alternativa – mais disruptiva, mas também mais realista – é eliminar, simplesmente, as bases de dados para as quais não há consentimento dos titulares e recomeçar os processos dentro da legalidade e de forma mais transparente. Tenha em conta que, muitas vezes, são estas forças disruptivas que alavancam os negócios e lhes trazem novas possibilidades.

2# Conheça-se a si próprio, saberá quem é (e como melhorar)

Sabe quais são os processos de recolha de dados existentes na sua organização? Ou seja, tem conhecimento de como são recolhidos os dados, que tipos de dados são esses e como é tratada a informação? A aplicação prática do RGPD traz consigo a necessidade de autoconhecimento e autoanálise das organizações sobre a forma como gerem dados pessoais. Esta análise vem trazer uma nova luz sobre os processos das empresas, que passam a ter uma perceção mais clara do que é necessário mudar.

Depois da análise inicial, é preciso começar a implementar alterações. Em cada processo de recolha, as empresas devem pedir e registar o consentimento, informar sobre a finalidade dos dados e do tempo durante o qual vão ser mantidos. Nesta fase, dependendo da dimensão destes processos e da própria organização, pode ser útil incorporar ferramentas informáticas para agilizar operações. Existem, atualmente, soluções capazes de operacionalizar, de forma simples, o consentimento do consumidor e o armazenamento de dados pessoais e sensíveis de forma diferenciada.

3# Ter resposta pronta

O RGPD obriga as organizações a responder rapidamente a um conjunto de solicitações dos titulares dos dados pessoais. Com as novas regras, os titulares podem pedir:

  • O esquecimento dos dados pessoais;
  • Um ficheiro estruturado com os seus dados;
  • A não utilização dos dados para determinados fins;
  • A atualização dos dados.

Para cumprir estas e outras exigências – da forma mais célere possível, contribuindo para uma melhor imagem da empresa junto dos clientes – é preciso otimizar o canal de entrada e de resposta a estes pedidos. De forma a aliviar a carga burocrática destas solicitações sobre os colaboradores da empresa, o ideal é automatizar processos e, até, implementar um sistema self-service de resposta a estas solicitações via website da organização.

4# É preciso ser, não basta parecer

Este é o ponto em que o RGPD traz maiores desafios à vida das organizações: a exigência de uma nova mentalidade e de novos comportamentos. Todos os colaboradores de uma empresa, desde a base até ao topo, devem encarar os dados pessoais sob uma outra perspetiva. Se, quando recebemos dinheiro, não o deixamos num sítio público sem vigilância, porque não somos assim tão cuidadosos com os dados pessoais de terceiros? É preciso adotar, em todas as circunstâncias, esta perceção de que os dados pessoais são importantes e têm de ser geridos de forma cuidadosa.

Como é que pode começar a mudar mentalidades na sua empresa? Organize sessões internas de esclarecimento e partilhe boas-práticas. Por exemplo, um e-mail de um potencial cliente não pode ser encaminhado para o departamento de marketing sem o seu consentimento expresso e informado. E os dados sensíveis não podem estar acessíveis a qualquer pessoa ou esquecidos numa pen USB.

Em conclusão, encare o RGPD de frente e de forma informada. Evite as multas, mas, mais do que isso, torne o regulamento numa alavanca à melhoria de processos internos de gestão de dados pessoais, à adoção de novas ferramentas e à mudança de mentalidades. A sua empresa vai evoluir e os sinais de confiança vão chegar aos clientes e público em geral, com valor acrescentado ao seu negócio. Esta é uma nova era na relação com os clientes – e a sua organização tem aqui uma oportunidade única para se diferenciar.