O enquadramento jurídico da proteção de dados pessoais na União Europa foi substancialmente alterado em 2016 com a aprovação do Regulamento Geral de Proteção de Dados (RGPD).
O novo quadro legal traz algumas alterações que irão certamente impactar nos processos de tratamento de dados que as organizações têm em vigor. O não cumprimento das novas regras dará direito a multas que podem ir dos 20 milhões de euros a 4% da receita anual da empresa que não cumpra.
Pedro Veiga, coordenador do centro Nacional de Cibersegurança, considera que o RGPD é "uma peça muito importante na segurança e na confiança no mundo digital".
Embora reconheça que a forma como os dados são guardados em sistemas de informação e a sua segurança não seja o foco central do Centro Nacional de Cibersegurança, Pedro Veiga relembra que sempre que há um novo enquadramento legislativo seja necessário fazer adaptações áquilo que era a prática anterior. "Creio que todas as organizações estão a fazer o seu trabalho, a ritmos eventualmente diversos, mas estarão capacitadas no momento da respetiva entrada em vigor", assume este especialista.
Jorge Pinto, presidente da AP2SI, considera que o Regulamento Geral de Proteção de Dados surge num momento crucial. A par com a Diretiva de Segurança em Redes e a obrigatoriedade de implementação de estruturas nacionais dedicadas à cibersegurança, será um dos pilares para que as instituições prestem atenção a estes temas. Segundo ele, as coimas possíveis serão igualmente um fator de preocupação para as instituições que sentem a necessidade de apostar em recursos qualificados para as apoiar.
Em relação à questão de as organizações portuguesas estarem prontas para o cumprimento do RGPD, Jorge Pinto admite que existem organizações em diferentes graus de preparação. "Se algumas estão ainda numa fase exploratória do tema, outras já se encontram claramente preparadas. Basta olhar para as instituições que já contavam com figuras similares ao Encarregado de Proteção de Dados antes de se tornar uma questão", destaca o responsável.
A questão que, Jorge Pinto acredita que vai fazer a diferença é de saber se existirão recursos disponíveis nos próximos meses para apoiar as organizações que ainda não começaram. "Julgamos que esse será um dos problemas principais: a falta de recursos qualificados para apoiar as organizações no processo de transição e preparação", sustenta o presidente da AP2SI.
O novo regulamento da proteção de dados já está em vigor, mas até maio de 2018 decorre um período de transição que dá às entidades que gerem dados de terceiros, margem para se adaptarem às novas normas sem sofrerem sanções.
A diretiva estabelece limites como a imposição de um prazo máximo de 72 horas para comunicação, a todas as partes envolvidas, de incidentes de segurança que tornem vulneráveis dados pessoais geridos pela organização vítima do problema e cria a figura do Data Protection Officer, um responsável pela proteção de dados nas organizações. Outra novidade é a limitação da capacidade das empresas para pedirem e usarem dados pessoais, ao fim para que realmente se destinam e com uma janela temporal definida.