No dia 25 de maio de 2018, entrou em vigor o Regulamento Geral sobre a Proteção de Dados (RGPD), que representou um marco significativo na forma como organizações e indivíduos, atuantes ou residentes na União Europeia, lidam com a gestão da informação e a privacidade dos dados em atividades profissionais, comerciais, financeiras, culturais ou sociais, de natureza coletiva ou pública. Cinco anos após a sua implementação, este é o momento perfeito para refletirmos sobre as lições aprendidas nesta jornada rumo à conformidade.

1. A consciencialização é o primeiro passo: As organizações têm-se esforçado por garantir que todos compreendem a importância de proteger a informação e a privacidade dos dados. Da gestão de topo aos coordenadores de equipa e restantes elementos, é essencial que a (in)formação esteja no poder de todos para que os esforços se façam de forma alinhada e transversal, seja na obtenção de consentimentos, no tratamento e recolha de dados dos titulares, na manutenção de registos e direitos de acesso, na notificação de incidentes, entre outras boas práticas de segurança.
2. Uma boa gestão de informação é uma mais-valia: O RGPD acelerou a importância e urgência de uma gestão adequada da informação dentro de organizações em todo o mundo. As conclusões do Fortune Business Insights apontam para um crescimento deste mercado de 3,01 para 12,91 mil milhões de dólares, só no período 2022-2029. Para as organizações, este investimento vai servir para identificar e classificar corretamente os dados que são recolhidos e processados, entender a sua finalidade e garantir que são armazenados de forma segura. Isto requer a implementação de sistemas de gestão documental eficientes, que permitam o controlo adequado dos dados ao longo de todo o ciclo de vida.
3. A conformidade e a transparência devem estar integradas nos processos de negócios: Ao desenvolver novos produtos ou serviços, é importante considerar a privacidade dos dados como um requisito-chave. Isto inclui a realização de Avaliações de Impacto da Proteção de Dados e, cada vez mais, a procura de serviços de compliance-as-a-service (CaaS) para cumprir a regulamentação e promover uma abordagem proativa na gestão de riscos. A este respeito, vale a pena lembrar que as empresas que não levam a sério a proteção dos dados pessoais estão sujeitas a penalidades e danos reputacionais sérios – só em Portugal, as multas por violação do RGPD já atingiram, desde 2018, os 500 milhões de euros, revelou recentemente a International Data Corporation (IDC). E como ninguém está acima da lei, gigantes internacionais como a Meta, a Amazon ou a Google também já foram alvo de coimas milionárias devido a incumprimentos relacionados com transparência, partilha e obtenção de consentimento.
4. A confidencialidade e a segurança são prioritárias: As empresas compreenderam a necessidade de implementar medidas tecnológicas e organizacionais adequadas para garantir a confidencialidade, a integridade e a disponibilidade dos dados pessoais (sejam registos de colaboradores, ficheiros de clientes ou listas de fornecedores, entre outros). Para tal, tem sido fundamental a adoção de sistemas avançados de segurança, como criptografia, autenticação de dois fatores ou proteção contra acessos não autorizados. Tudo medidas necessárias para atingir objetivos legítimos e em conformidade regulamentar.
5. A gestão de risco e a qualidade precisam de monitorização contínua: As organizações têm apostado na prevenção, identificação, avaliação e mitigação dos riscos relacionados com a proteção de dados. Isto requer a implementação de políticas e procedimentos robustos, formação constante dos colaboradores, criação de novas funções (Data Protection Officer, Chief Information Security Officer, Privacy Officer, Data Compliance Manager, etc.) e realização de auditorias internas para garantir a manutenção dos padrões desejados. Aqui, sabemos inclusivamente que as empresas do G2000 estão a preferir adotar avaliações de risco contínuas em vez das tradicionais auditorias anuais de segurança.

À medida que celebramos estes cinco anos de implementação do RGPD, verificamos a consolidação do quadro de supervisão para a proteção de dados, assim como a atuação mais presente e constante da própria Comissão Nacional de Proteção de Dados (CNPD). Verificamos ainda os cada vez maiores desafios (e benefícios) trazidos por tecnologias emergentes, como a Generative AI, no campo da gestão de informação.

Como arquivista de formação e hoje responsável por um departamento dedicado ao desenvolvimento de sistemas de gestão de informação e processos de negócio, sei que é possível impulsionar a proteção dos dados pessoais e simplificar a conformidade com o RGPD através de software, de tecnologia. Tecnologia essa que permite às organizações organizarem os seus processos de negócio de forma integrada, sabendo que os seus dados e informações se encontram em conformidade com os padrões de privacidade e segurança exigidos – e beneficiando ainda de automatização de tarefas repetitivas, geração automática de relatórios, melhoria da qualidade dos dados ou análise preditiva para tomada de decisões estratégicas em áreas como a ESG (desempenho ambiental, social e de governança corporativa).

O RGPD é a linha que separa o antes e o depois de uma gestão de informação centrada nos direitos das pessoas versus uma gestão focada apenas nas prioridades das empresas. E as organizações que ainda não deram o salto necessário para esta transformação, colocam em causa a sua própria sobrevivência, bem como a sua relevância, a sua maturidade digital, a confiança que estabelecem com os cidadãos e consumidores e o livre fluxo (mas seguro) de informação e opinião sem o qual é impossível existir e prosperar no mundo digitalmente interconectado de hoje.

Beatriz Bagoin Guimarães é coordenadora do departamento de sistemas de Gestão de Informação e Processos de Negócio na Quidgest

O Observador associa-se à comunidade Portuguese Women in Tech para dar voz às mulheres que compõe o ecossistema tecnológico português. O artigo representa a opinião pessoal do autor enquadrada nos valores da comunidade.