sexta-feira, 21 de abril de 2017

itSMF Portugal organizou mais um encontro "IT'S TIME TO TALK ABOUT..."



A edição de abril de 2017 da iniciativa da itSMF Portugal, intitulada “IT’S TIME TO TALK ABOUT”, realizou-se no passado dia 19 e foi dedicada ao tema “Privacy & Data Protect Management - Opportunities to increase Information Security”.

Durante cerca de duas horas, Otília Veiga (Comissão Nacional de Proteção de Dados), Sandra Ferreira (Microsoft Portugal) e Inês Oliveira, (Direção Geral da Política de Justiça), reuniram-se na Fundação Cidade de Lisboa para debater, de forma informal, as implicações do Novo Regulamento Europeu da Proteção de Dados, sob moderação de José Carlos Martins.

A segurança está hoje no topo das agendas das organizações e o objetivo da itSMF foi abordar o quanto se constitui como um elemento chave para a transformação digital do negócio, elemento de garantia da resiliência das infraestruturas, garante da proteção da informação e dos dados pessoais e de proteção de ativos críticos.

Inês Oliveira começou por fazer um enquadramento temporal para explicar que, atualmente, as empresas ainda têm que notificar o cliente e a Comissão Nacional de Proteção de Dados de cada vez que fizerem o tratamento de dados pessoais. «Com a entrada em vigor do Novo Regulamento Europeu da Proteção de Dados, este passo deixa de ser necessário mas se há quebras de segurança ou se se verificar o acesso ilegítimo aos dados, isso tem que ser comunicado», explicou. Na verdade, o novo regulamento entrou em vigor no ano passado mas prevê um período transitório de dois anos para a sua total aplicação, pelo que as organizações ainda têm algum tempo para se adaptarem às novas regras. 

A nova legislação contempla dois diplomas: um regulamento para entidades públicas e uma outra diretiva que se vai aplicar à Polícia, ao Ministério Público e aos Tribunais. É esta que carece de transposição para a legislação interna. É esta questão que pode motivar futuras discussões porque será o legislador nacional quem decide se as coimas de violação do regulamento de proteção de dados se aplicam a organismos públicos.

As Pequenas e Médias Empresas - PMES - estão obrigadas a cumprir, desde que estejam no território da União Europeia e/ou ofereçam serviços na União (mesmo que operem fora).

Outro elemento a ter em conta é a criação da figura de encarregado ou delegado de proteção de dados, que será obrigatório se a empresa tiver mais de 250 trabalhadores ou trate dados sensíveis - previstos e designados na Constituição Portuguesa.

Otília Veiga fez uma abordagem menos severa da aplicação do novo regulamento, lembrando que os dados só serão preservados o tempo necessário para o seu tratamento e que, para as empresas, também vai surgir a boa notícia do selo europeu de proteção de dados a que as empresas poderão candidatar-se. «Vai funcionar um pouco como hoje funcionam as ISOS - como os ISOs (International Organizations for Standardization). «Virão direitos novos mas mantém-se o princípio dos cidadãos poderem queixar-se de violação de dados pessoais. Posso, enquanto cidadão, queixar- me à autoridade local com agora com o acréscimo de ter mais direito à informação», ressalva a responsável. 

Com a aplicação do novo regulamento vão ser criados, acima de tudo, meios para tornar puníveis as violações porque «sem meios não se conseguem fazer valer direitos».

Já Sandra Ferreira lamenta, por um lado, que a mão pesada das multas leve as PMES a só pensarem na multa ao invés de pensarem em aumentar o cuidado com os clientes e os seus dados. «Hoje em dia já não temos controlo sobre onde andam os nossos dados. O regulamento é interessante para a salvaguarda dos meus direitos, enquanto cidadão, e pode ser visto como positivo no mercado competitivo», conclui.

No final foram resumidos os principais desafios que as empresas enfrentam neste momento:
- Fazerem o levantamento dos dados que tem e porque os tem;
- Criarem políticas internas de privacidade - os responsáveis devem saber o que significa, concretamente, estar protegido;
- Reverem os consentimentos com clientes e funcionários na ótica do novo regulamento, bem como a política de formação dos colaboradores;
- Fazerem uma avaliação de risco de segurança.
Esta foi a terceira edição do It’s Time To Talk About e reuniu cerca de uma centena de participantes.

Sem comentários: