"A preocupação com a privacidade dos dados pessoais e com a segurança da informação não são temas novos na EDP. Ao longo dos últimos anos, fruto também da crescente digitalização e do aumento de volume da informação tratada, tem vindo a ser feito um esforço consistente no sentido de reforçar os procedimentos internos e a segurança dos sistemas de informação, incidindo principalmente nos dados pessoais dos clientes, colaboradores e outros terceiros. Ainda assim, a principal mudança introduzida pelo RGPD passa pelo princípio de responsabilidade proativa das empresas, o que levou a EDP a desenvolver, desde a publicação do regulamento e em todos os países europeus onde está presente, uma iniciativa transversal de modo a sistematizar a abordagem a este tema: por um lado com a identificação e organização dos dados que são tratados e com que finalidade, e por outro com a realização de uma análise de riscos dos tratamentos e sistemas de suporte com a correspondente definição de acções de melhoria. O plano de melhorias e adaptação ao RGPD implica um esforço significativo da organização no sentido de rever e ajustar alguns processos de negócio, uma sensibilização forte dos colaboradores e o desenvolvimento de um trabalho conjunto com os nossos parceiros de negócio e tecnológicos, com alguns investimentos significativos, nomeadamente ao nível dos sistemas de informação. O processo de adaptação na EDP tem três grandes vertentes: em primeiro lugar, o aprofundamento de políticas de grupo e o reforço de mecanismos de formação e sensibilização dos nossos colaboradores e parceiros; em segundo lugar a revisão de algumas actividades e processos de negócio, alinhada com a análise de riscos realizada; e por último, o reforço de mecanismos de segurança de informação. Estas vertentes estão reflectidas no plano global de melhorias que tem vindo a ser implementado e monitorizado de muito perto. As iniciativas de negócio mais relevantes estão praticamente concluídas. Mais importante que a nomeação formal de um encarregado de protecção de dados será garantir as condições para que este possa desempenhar de forma eficaz as funções que estão previstas no RGPD. Neste sentido, considerando, por um lado, a complexidade e os requisitos da função e, por outro, a dimensão do grupo EDP - estão a ser avaliados os diferentes possíveis modelos de gestão e articulação que permitam ao encarregado de protecção de dados acompanhar e monitorizar de forma efectiva a gestão de dados pessoais no grupo. Até maio, será definido e implementado o modelo que se revele mais adequado e nomeado formalmente o Encarregado de Protecção de Dados da EDP. O ponto de partida a este nível, em conjunto com o plano de adaptação que tem vindo a ser desenvolvido, permitirá à EDP estar preparada para a nova realidade do RGPD, reforçando em paralelo as relações de transparência e confiança com os clientes, colaboradores e com todos aqueles cujos dados podem ser tratados pela EDP. A EDP hoje reconhece no RGPD não apenas um conjunto de obrigações a cumprir mas também uma oportunidade de obter uma vantagem competitiva, através de um compromisso renovado de confiança no relacionamento com os seus stakeholders. Um dos próximos desafios será a implementação na EDP de alguns requisitos do RGPD que possam vir ainda a ser concretizados ou aprofundados pela publicação da futura legislação nacional em matéria de protecção de dados."

"A Caixa encara o RGPD como uma primeira etapa do Mercado Único Digital no âmbito do qual se quer posicionar para assegurar a manutenção da confiança dos seus Clientes e dos seus parceiros de negócio. O RGPD constitui um desafio exigente que passa por uma análise das práticas e procedimentos internos em matéria de protecção de dados pessoais, de modo a assegurar que todos os tratamentos de dados a que procede estão conformes com os requisitos legais. Toda a estrutura interna da CGD está sob escrutínio com vista a adoptar as medidas técnicas e organizativas adequadas e que se revelem ainda necessárias para assegurar a conformidade com o RGPD. Trata-se de um processo ainda em curso que decorreu (e decorre) em paralelo com outras obrigações regulatórias recentes do sector bancário (ex: DMIF II, PRIPS, crédito hipotecário), também muito exigentes até em termos de formação dos colaboradores, pelo que se está a convergir para assegurar o cumprimento quando o RGPD estiver plenamente em vigor em 25.05.2018. Nomeámos recentemente uma Data Protection Officer que é quadro sénior da instituição e que tem uma visão transversal do Grupo com base na sua experiência profissional anterior. Não é fácil conseguir reunir num DPO os requisitos exigidos pelo RGPD, pelo que essas competências têm de ser asseguradas através de formação específica, da estrutura de apoio à função e do espírito e trabalho de equipa de toda a instituição. O envolvimento e compromisso de todos os colaboradores é essencial. O RGPD aponta para que o valor da remuneração esteja alinhado com as responsabilidades inerentes ao exercício da função. A CGD está a desenvolver todos os esforços para esse efeito, sendo certo que maio de 2018 marca o ponto de partida para uma nova era de protecção de dados em todos os Estados-Membros da União, que passará a contar com uma nova autoridade para a protecção de dados: o Comité Europeu de Protecção de Dados. Como todas as alterações que implicam mudança de mentalidades e de hábitos, os desafios radicam na consciencialização dos direitos relativos à protecção de dados pessoais por parte dos respectivos titulares e na compreensão do novo enquadramento legal, em que o modelo de relacionamento com a autoridade de controlo também foi alterado. O compromisso com o fomento de uma cultura de protecção de dados efectiva é algo que a CGD pretende que seja elemento diferenciador e merecedor da preferência dos seus Clientes e demais stakeholders".

"O Millennium tem o processo de adaptações em curso. Tem previsto ajustar-se em função das diversas clarificações que são publicadas. E contamos estar conformes em Maio com a regulamentação".

"O processo de adaptação está em curso e já foi designado o encarregado da protecção de dados, que foi seleccionado internamente. Não comentamos os restantes temas".

"O investimento é muito significativo, sendo um processo que envolve um trabalho muito extenso das áreas de negócio, das áreas de sistemas e das áreas legais e de compliance no levantamento da informação existente e no diagnóstico das práticas actuais de tratamento de dados, bem como na eventual alteração das mesmas. Nas empresas do Grupo Fidelidade este é um tema no qual trabalhamos desde há muitos meses e os trabalhos prosseguem de forma positiva. Para além da implementação de algumas alterações organizacionais, temos também em curso o recrutamento do novo DPO (Data Protection Officer). É um “novo” perfil que requer um conjunto de competências relevantes na área jurídica/compliance, mas também uma necessidade elevada de compreensão e de profunda articulação com as áreas de negócio, e que por isso se reveste de alguma exigência. O recrutamento está em curso. Em última análise, este processo acaba por ser também uma oportunidade para as empresas, na medida em que leva necessariamente a uma visão mais estratégica sobre a problemática dos dados e a um reforço das práticas de segurança. Adicionalmente, poderá ser também positivo no relacionamento com os clientes, na medida em que lhes assegura que a nossa organização tem as melhores práticas na recolha, tratamento e protecção da sua informação, salvaguardando sempre os seus direitos e a sua privacidade".

O Regulamento Geral de Protecção de Dados (RGPD) é extensível a todos os mercados, porquanto os seguros não são excepção. Para a Ageas, a protecção de dados é um ponto de honra, promovido pelos valores da cultura do Grupo Ageas Portugal, que tem como foco principal o cliente, procurando garantir a sua tranquilidade e a sua segurança. No decorrer da nossa actividade económica, assumimos uma estratégia de absoluta centralização da responsabilidade corporativa no negócio, adoptando comportamentos responsáveis e de valor para o progresso da economia e da sociedade. Esse modelo tem de funcionar alinhado a todas as obrigações do RGPD, incidindo as perspectivas da gestão das pessoas, processos e tecnologia. O investimento realizado e o trabalho permanente de promoção da melhoria contínua do negócio, corporiza o rigor indispensável à cultura Ageas e o absoluto respeito pelos direitos, liberdades e garantias fundamentais exigíveis. O Regulamento não deve ser entendido numa perspectiva de projecto, mas sim contínua. Não é um trabalho limitado a um espaço temporal, pois a sua conformidade deverá ser demonstrável a partir da sua aplicação. A adaptação não iniciou apenas na publicação do RGPD, pois o mesmo dá sucessão a obrigações já previstas no passado, como a Lei 67/98, entre outras. Nestes termos e uma vez que a Ageas é um grupo segurador reconhecido pela confiança, transparência e compromisso, mantemos de forma particularmente activa todos os esforços que elevam a protecção de dados e a segurança como princípios basilares da cultura organizacional, na gestão de processos e sistemas tecnológicos das nossas empresas. De referir também que pelo facto de integrarmos um grande Grupo segurador internacional, valorizamos as boas práticas e experiências como vantagem competitiva na experiência e maturidade da conformidade com o RGDP. Sim, o encarregado de protecção de dados foi uma das principais concretizações, uma vez que é ele que informa e aconselha, controla a conformidade e auditorias relativas ao RGPD, para além de ser quem coopera e constitui-se ponto de contacto com a autoridade de controlo, nos termos do art.º. 39 do RGPD. A contratação do DPO nunca é uma tarefa fácil, uma vez que de acordo com o art.º. 37 deve ser designado com base nas suas qualidades profissionais, especialmente o conhecimento e experiência. Atendendo à multidisciplinariedade de competências exigíveis revela-se sempre um perfil raro no mercado, felizmente conseguimos identificar e contratar de acordo com o exigido.

O Regulamento Geral sobre a Protecção de Dados (“RGPD”) não veio impor uma ruptura ou mudança significativa das anteriores práticas e políticas em matéria de privacidade, porque a protecção de dados pessoais foi sempre uma grande preocupação do Grupo Luz Saúde. O novo quadro legal traz, no entanto, novos desafios em matéria de data governance e, em geral, de compliance com as novas regras, o que obrigou a uma revisão dos processos/procedimentos para a recolha e tratamento de dados pessoais, bem como a adaptação dos (e/ou investimento em) sistemas de informação, ou ainda o desenho de novos produtos e serviços. Está em curso um exigente programa interno de compliance com o RGPD que vai decorrer até ao início de maio, sendo que neste momento o principal foco reside na definição de novos processos e procedimentos que serão aplicados transversalmente a toda a actividade Grupo Luz Saúde, de forma a assegurar que as operações de tratamento de dados estão em conformidade com as novas regras sobre a protecção de dados. Já temos um encarregado de dados pessoais, que começou a colaborar com o Grupo Luz Saúde há bastante tempo. Como começamos a transição para o RGPD em 2016, antecipamo-nos à contratação do encarregado de dados e conseguimos identificar um recurso que está alinhado com os restantes colaboradores do Grupo Luz Saúde. O cumprimento do programa de compliance em curso prevê que o Grupo Luz Saúde esteja em condições de assumir as novas obrigações impostas pelo RGPD a partir de maio. O mais desafiante tem sido a implementação de uma política de awareness para o cumprimento das novas regras comum a todas as unidades de saúde do Grupo Luz Saúde e seus colaboradores, sem excepção, seja através da realização de sessões formativas ou pela revisão de situações comportamentais que estejam em desconformidade com o RGPD.

“Desde há um ano que estamos a trabalhar para nos adaptarmos às mudanças que a nova legislação vai trazer e acreditamos que a empresa estará devidamente preparada para cumprir a lei quanto entrar em vigor. Começámos por criar um grupo de trabalho multidisciplinar, como elementos de vários departamentos (jurídico, informático, qualidade e segurança, marketing e outros), com o objectivo de adequar a política de protecção de dados e de privacidade às exigências do Regulamento Geral. Desta forma, quisemos assegurar que seguimos as melhores práticas - quer tecnologicamente, quer por parte das equipas -, reforçar a protecção de dados dos nossos clientes e colaboradores e minimizar os riscos inerentes à gestão deste tipo de dados. Entre as medidas a introduzir, e as já postas em prática, destacam-se: reconfigurar os processos de negócio (como por exemplo os pedidos de reservas), para diminuir o volume de dados solicitados aos clientes; alargar os dados alvo de encriptação; reavaliar e reajustar os contratos com parceiros e fornecedores de serviços que de alguma forma lidem com dados dos clientes ou dos funcionários da Vila Galé; aprofundar o código de conduta e a política de privacidade; reforçar os processos de recolha de consentimento junto dos clientes; ter um DPO; dar formação adequada às equipas sobre a nova legislação; garantir que todos os novos processos de negócio criados na empresa são pensados de raiz para irem ao encontro do regulamento. Actualmente, uma das faces mais visíveis deste trabalho é a área de cliente do site da Vila Galé, onde já é possível o utilizador proceder à alteração dos seus dados pessoais”.

[O regulamento obriga] a "trabalho de consultoria na análise dos processos e proposta de medidas a implementar. O processo está na sua fase de conclusão e deverá iniciar a fase de implementação em breve. Já foi designado internamente um responsável por esta área uma vez que está bem familiarizado com a empresa e o seu ecossistema". Estarão em conformidade com o regulamento em Maio, como previsto? "Acreditamos que sim". O que foi difícil? "Nada em concreto, apenas sensibilizar as áreas para este tema e a importância do mesmo".

"Desde logo tivemos de auditar todos os sistemas e processos que utilizamos. Alguns sistemas (que são universais em todo o Grupo Renault) terão de ser modificados de forma a cumprirem com as exigências do novo regulamento. Sabemos também que será necessário adaptar e alterar os contratos que temos com os nossos concessionários". A adaptação está concluída? "Ainda não. Está em curso sabendo que estas adaptações são maioritariamente promovidas pela nossa casa-mãe". Já têm o encarregado de protecção de dados? "Não. Estamos a avaliar se a solução interna é possível ou não". Estarão em conformidade com o regulamento em Maio, como previsto? "Sim." "A adaptação dos sistemas é sempre o processo mais moroso e eventualmente de maior complexidade".

"Estamos a trabalhar internamente com vista à implementação dos mecanismos que o RGPD prevê, de forma a estarmos prontos quando o regulamento for aplicado".

"Implica profundas mudanças ao nível de procedimentos, atendendo às novas obrigações que decorrem para o Metropolitano de Lisboa (ML) de carácter jurídico, tecnológico, processual, organizacional e de segurança. Não seria possível ter a adaptação concluída neste momento, atendendo ao quadro legal nacional ainda em preparação. Foi criado internamente (em 2017) um grupo de trabalho com vista ao estudo e à identificação das medidas a implementar para o cumprimento do RGPD, trabalho esse concluído ainda no final do ano passado. O modelo a implementar para a contratação do DPO encontra-se em estudo. O cumprimento do RGPD é um assunto relevante para a Empresa. O processo de transição encontra-se em curso, pelo que todas as obrigações que decorrem para a empresa obrigam a um esforço acrescido".

"Estão previstos investimentos consultoria para trabalhos de revisão e diagnóstico, desenvolvimento de plano de acção e follow-up das acções, bem como na implementação de ferramentas especificas, principalmente de segurança, que tratam os dados pessoais, nomeadamente, controlo de acessos aos dados, anonimização, encriptação, gestão do consentimentos, fuga de informação e gestão de incidentes. As principais mudanças prendem-se com os procedimentos que envolvam tratamentos de dados pessoais, com revisões/alterações contratuais com terceiros e colaboradores, com a revisão da forma de acesso aos dados pessoais com maior segurança e a granularidade nos acessos aos dados e segregação de funções. Por outro lado, será criada uma nova função, o Data Protection Officer. A adaptação está em curso. Estamos a esclarecer a aplicação de alguns pontos do regulamento, para concluir o diagnóstico, o plano de acções e a implementação de novas ferramentas que permitam aplicar o regulamento nos processos que tratam dados pessoais. Iremos também eventualmente rever alguns contratos para os alterar no sentido de os adequar ao regulamento e nomear o DPO. Estamos a desenvolver os trabalhos para que os aspectos mais críticos do regulamento possam ser cumpridos, mas vários dos aspectos quanto à implementação do regulamento irão prolongar-se por mais tempo. [Mais difícil foi] Entender o próprio regulamento e a sua aplicação. A grande amplitude da aplicação do regulamento, que implica intervir em muitos aspectos para os quais os sistemas, as aplicações, os processos e as pessoas não estão ainda preparados".

“A privacidade e a segurança dos dados são dois objectivos permanentes da Brisa. Iremos dar cumprimento à legislação, e concretamente ao RGPD, como é nossa prática. A DPO foi seleccionada entre os seus colaboradores e já está em funções”.

"A empresa [Mundo Têxtil] foi obrigada a suportar o custo inicial, significativo, com a contratação da equipa de prestadores de serviços que irá coadjuvar a adaptação para o Regulamento. Não se prevêem outros custos significativos. Não se prevêem alterações/mudanças significativas no funcionamento da empresa. A empresa começou recentemente a adaptação, estando ainda na fase de auditoria, onde se perceberá todos os momentos em que a empresa entra em contacto com dados pessoais e, consequentemente, como os capta, processa e armazena. Após a fase de auditoria, segue-se a emissão do relatório com o diagnóstico das medidas a tomar. Seguir-se-á a fase de implementação das medidas. Face à dimensão e áreas de negócio da empresa foi necessária a designação de encarregado de protecção de dados. Para o efeito foi escolhido um trabalhador da empresa que já tem grande conhecimento do organograma e funcionamento da empresa e o perfil adequado para o efeito. O Encarregado de protecção de dados designado terá formação intensiva pela equipa que contratamos para a adaptação da empresa ao regulamento. Após estar concluída a adaptação da empresa, o encarregado de protecção de dados designado continuará a ter o apoio, em BackOffice, da nossa equipa de advogados".

"A Altice Portugal tem, desde sempre, assegurado o cumprimento da legislação nacional em vigor em matéria de tratamento de dados pessoais e protecção da privacidade, designadamente no sector das comunicações electrónicas. Para o efeito, implementou um conjunto de procedimentos, regras e políticas nesta matéria, muitos dos quais com mais de duas décadas de efectiva aplicação. Tendo em vista a garantia de cumprimento integral, em maio próximo, das novas regras e exigências decorrentes do Regulamento 2016/679, o Meo tem vindo a proceder, desde a publicação deste normativo, a uma análise aprofundada do mesmo, no sentido de identificar os impactos, as medidas e os investimentos necessários – à luz, também, das orientações publicadas pela Comissão Nacional de Protecção de Dados. Simultaneamente, a Altice Portugal, através das associações sectoriais em que tem assento, a nível nacional e internacional, tem promovido e participado em sessões de trabalho e discussão conjunta sobre a matéria. Este processo tem sido marcado por não se encontrar, ainda, publicada toda a legislação necessária à execução do regulamento, bem como pela discussão, a nível europeu, do novo regulamento e-Privacy, destinado a regular a protecção de privacidade no sector das comunicações electrónicas".

“A segurança e a protecção da privacidade dos dados pessoais de todas as pessoas que de alguma forma se relacionam com a Nos, clientes, colaboradores ou parceiros, constitui e sempre constituiu um compromisso fundamental da empresa. A Nos segue atentamente a legislação nacional e internacional relativa a esta matéria bem como as guidelines que os órgãos com responsabilidades na mesma (CNPD, outros reguladores internacionais, Grupo dos reguladores europeus e outros) vão emanando. Neste contexto, as medidas, direitos e obrigações, plasmados no RGPD e todas as orientações que têm surgido estão a ser endereçadas pela empresa, através de uma equipa de trabalho alargada e multidisciplinar, a ser divulgadas e implementados com o objectivo de assegurar o cabal cumprimento da legislação.”

"Foi necessário, conforme requisitos previstos no regulamento de protecção de dados pessoais, fazer a revisão dos procedimentos internos da empresa, quer a nível operacional quer processual. Estamos em plena fase de implementação interna de todos os requisitos previstos no Regulamento Geral de Protecção de dados (RGPD). O encarregado de protecção de dados será designado oportunamente. [O mais difícil foi] a identificação dos diversos tratamentos de dados a ajustar ao novo RGPD".

“A ERA Portugal está atenta ao novo enquadramento legal e está trabalhar com todas as áreas da empresa para poder cumprir todas as novas exigências da lei de protecção de dados.”