Nos últimos meses, poucos foram os dias em que não ouvimos falar do novo RGPD e das mudanças que traria consigo a entrada em vigor, no dia 25 de maio, da nova diretiva europeia relativa à proteção de dados. A nível empresarial, todos fomos afetados em maior ou menor grau. Portanto, quanto mais soubéssemos acerca das disposições do regulamento que se aplicavam ao nosso caso em específico, melhor. Nos casos em que as atividades eram desenvolvidas em departamentos de Recursos Humanos, a situação complicava-se…
A partir de 25 de maio, as empresas, durante o processamento de vencimentos ou o tratamento de quaisquer outros dados pessoais, passaram a estar sujeitas ao princípio da responsabilidade ativa. Ou seja, passaram a ter de demonstrar que dispõem das medidas de segurança necessárias para garantirem a proteção dos dados. Essas medidas são:
- Minimização dos dados armazenados
- Pseudonimização
- Encriptação dos dados pessoais
- Limitação do acesso aos dados.
Em suma, as empresas passaram a ter de ser capazes de garantir confidencialidade, integridade, disponibilidade e resiliência.
Uma opção que poderia tornar mais simples o cumprimento destas obrigações, a nível de processamento de vencimentos, passava por encarregar uma entidade externa desta tarefa. Assim, a empresa encarregaria também a entidade de adotar as medidas de segurança que, caso contrário, seriam da sua responsabilidade. Contudo, era essencial escolher fornecedores de serviços de confiança que integrassem essas medidas de segurança nos seus processos.
Nós, por exemplo, podemos relatar como fomos influenciados pelo novo Regulamento Geral de Proteção de Dados, enquanto fornecedores de serviços de processamento de vencimentos, enquanto criadores de software de processamento de vencimentos e gestão de Recursos Humanos e enquanto prestadores de serviços de outsourcing a terceiros. Como é algo que teve repercussões em todas as nossas áreas de atividade, o nosso caso englobou todas as possíveis situações relacionadas com a proteção de dados.
Devido à natureza dos dados que tratamos, o RGPD veio aumentar bastante as exigências, a nível de segurança, que são impostas à pessoa encarregada do seu tratamento, uma vez que o dever de diligência do responsável o obriga a demonstrar que foram adotadas as medidas técnicas e organizativas que garantem a proteção dos dados. Posto isto, além de registarmos essas atividades, também analisámos os riscos do ponto de vista da proteção de dados. Essa análise foi feita tendo em conta a figura do responsável e do encarregado do tratamento de dados e permitiu-nos exercer, assim, a nossa responsabilidade ativa. Após essa análise, continuámos a adotar medidas de segurança que complementavam ou vinham reforçar as já implementadas.
Além disso, revimos e atualizámos os contratos relativos ao tratamento de dados que celebramos com os nossos clientes e fornecedores de serviços e modificámos procedimentos, para garantir que os titulares dos dados possam exercer os seus direitos ARCOP ou a notificação em caso de quebra de segurança, etc.
A verdade é que a adaptação ao RGPD, para garantir o cumprimento escrupuloso da diretiva, não foi tarefa fácil. Foi algo minucioso que requereu tempo e conhecimentos específicos e, por isso, sempre recomendámos que essa questão fosse deixada nas mãos de profissionais especializados. Foi o que nós fizemos. Passámos meses em processo de adaptação e a verdade é que partimos em vantagem, pois já tínhamos implantado, há vários anos, uma grande quantidade de medidas técnicas e organizativas. Contudo, não podíamos descorar a complexidade da nossa empresa, pois opera em vários países e é composta por cinco áreas de negócio diferentes, todas elas afetadas pelo RGPD. Para levar a cabo o processo de adaptação, contámos com a ajuda do nosso próprio Departamento de Proteção de Dados. O departamento é composto por técnicos especializados do Departamento de Sistemas e Qualidade e conta com aconselhamento jurídico externo.
Desde o momento em que a diretiva foi publicada até ao seu culminar, a 25 de maio de 2018, com a entrada em vigor do RGPD, passámos por um processo muito trabalhoso. Contudo, podemos afirmar que nessa data estávamos preparados a nível interno e habilitados a garantir a prestação de um serviço de qualidade aos nossos clientes. E, no seu caso, como geriu a adaptação ao novo Regulamento Europeu de Proteção de Dados?
