Uma pen que guardava uma base de dados pessoais, cifrada, foi roubada num assalto. A situação deve ser reportada à entidade fiscalizadora? E se um fornecedor de serviços identificar  uma falha que permita acesso a informação pessoal ou se essa informação for enviada para a mailling list errada?

Estes são alguns dos casos detalhados num novo documento divulgado pelo Grupo do Artigo 29, um grupo europeu que trabalha os temas da privacidade e da proteção de dados e que conta também com a participação portuguesa, através da Comissão Nacional de Proteção de Dados.

O documento que foi agora publicado esclarece uma série de casos práticos, com informação detalhada para os responsáveis de proteção de dados e para as organizações de forma a que estas se preparem para cumprir as obrigações do Regulamento Geral de Proteção de Dados que começa a ser aplicado a 25 de maio.

O tema da comunicação à entidade fiscalizadora nacional tem sido um dos que gera mais preocupação e dúvidas, sobretudo sobre a forma de interpretar o prazo máximo de 72 horas para essa comunicação, e o tipo de falhas, ou violação de dados (data breach em inglês), que devem ser comunicados. Esta tem sido apontada como uma das áreas mais passível de levar à aplicação das multas milionárias, que podem facilmente chegar a 20 milhões de euros.

O documento divulgado esta semana, ainda na versão em inglês, é um dos vários que estão a ser publicados no âmbito do grupo do Artigo 29 para esclarecer dúvidas e ajudar a preparar as organizações para o RGPD. Os esclarecimentos sobre o direito à portabilidade, o papel da autoridade de controlo principal e do encarregado de proteção de dados (DPO – Digital Protection Officer), assim como a definição de perfis, estão entre os documentos já publicados.

Todos estes documentos serão traduzidos para português, mas para já podem ser encontrados no site do Grupo do Artigo 2 , assim como na área do RGPD da Comissão Nacional de Proteção de Dados (CNPD), que tudo indica será a autoridade de controlo em Portugal.

Clara Guerra, da CNPD, adiantou ao SAPO TEK que estão a ser preparados mais documentos de orientação que possam ajudar as empresas e organizações a cumprirem as obrigações do RGPD, que são complexas e mudam o paradigma de controle e fiscalização da conformidade na proteção de dados. Embora reforce que “nada começa e acaba no dia 25 de maio”, a CNPD vai continuar a trabalhar em Portugal e no Grupo do Artigo 29. “É importante discutir a aplicação do regulamento a nível europeu para haver harmonização”, justifica.

Em Portugal falta a ainda a lei nacional, que já esteve em consulta pública mas que ainda não tem uma data de publicação oficial prevista. Mas as várias entidades responsáveis pela aplicação do RGPD e as consultoras e juristas têm avisado as empresas e organizações para não deixarem tudo para a última hora, já que este é um tema complicado e é preciso fazer o levantamento de todas as situações de tratamento de dados, não só internas como através de fornecedores externos, preparando processos e escolhendo um responsável pela proteção de dados (DPO) quando é obrigatório fazê-lo.

Mesmo assim as últimas avaliações feitas ao mercado mostram que tudo está muito atrasado. Um estudo da IDC para a Microsoft indica que apenas 2,5% das organizações admitem estar preparadas, e que mais de 40% admitem que só vão estar prontas depois de maio.

Neste caso, podem mesmo sujeitar-se às elevadas multas previstas e Daniel Reis, da PLMJ, alerta mesmo que seguramente os valores podem chegar aos milhões de euros em Portugal, até porque mesmo as empresas de pequena dimensão não estão isentas de cumprir o regulamento quando têm tratamento de dados pessoais.