Num estudo desenvolvido pela IDC para a Microsoft Portugal, que se dispôs a fazer um raio-X às organizações portuguesas e às perspetivas de evolução em relação ao Regulamento Geral de Proteção de Dados (RGPD), que entra em vigor em maio de 2018, apenas 2,5% dos decisores considera que a sua organização está preparada, enquanto 43% dos decisores diz que a organização estará preparada depois de maio de 2018 ou não sabe especificar quando estará conforme com a nova diretiva europeia.
O estudo da IDC é hoje apresentado no evento da Microsoft Portugal – “Breaking GDPR: Become a Master” -, que envolve 16 parceiros, e decorre no Centro de Congressos de Lisboa. Paula Panarra, diretora-geral da Microsoft Portugal, André Azevedo, Diretor Executivo de Tecnologia da Microsoft Portugal, Gonca Dhont, Presidente da Associação de Data Protection Officers e Patrick Grant, conselheiro para a Economia Digital da BusinessEurope são os keynote speakers do evento, que conta ainda com sessões paralelas segmentadas por audiências, conduzidas por especialistas da Microsoft Portugal, parceiros tecnológicos e sociedades de advogados.
“As pessoas e as organizações viram-se confrontadas com um novo quadro regulatório europeu sobre privacidade de dados e este evento propõe-se desconstruir parte da sua complexidade e alguns erros de perceção”, revelou Paula Panarra, diretora-geral da Microsoft Portugal, dando como exemplo os três mitos em torno do RGPD: que constitui um obstáculo ao desenvolvimento económico e ao negócio das empresas, que o seu impacto está circunscrito à área tecnológica, jurídica ou processual, e que o RGPD é um autêntico calvário para implementar.
“É importante compreender que o RGPD é muito positivo na medida em que reforça os direitos individuais dos cidadãos em relação a uma área tão sensível como a privacidade; é uma oportunidade para as empresas porque lhes permite reorganizarem processos e revisitarem a sua política de dados criando condições para extraírem todo o potencial e valor dessa informação; e permite à Europa posicionar-se como um espaço de referência mundial para quem pretende viver e investir num ecossistema seguro em termos de respeito por direitos individuais e por uma forma ética de fazer negócios”, esclareceu.
Paula Panarra recordou ainda que o RGPD impacta transversalmente as organizações. “Ninguém está dispensado de contribuir ou intervir na sua implementação e este quadro regulatório não tem que ser um calvário. Há hoje formas de mitigar esse esforço, que pode ser largamente simplificado recorrendo a serviços cloud, na medida em que vêm imprimir simplicidade, rapidez e redução do custo de implementação. Os serviços cloud têm já níveis de certificação e compliance com o RGPD que permitem facilitar o trabalho das organizações. Os processos de certificação são extremamente morosos, complexos e caros e só empresas que operam à escala planetária conseguem diluir esse custo e “democratizar” o acesso a níveis elevados de certificação”, explica a diretora-geral da Microsoft Portugal.
Para André Azevedo, Diretor Executivo de Tecnologia da Microsoft Portugal, os temas da segurança e privacidade sempre assumiram para a Microsoft a máxima relevância na medida em que a confiança dos seus clientes depende desses dois fatores. “Acreditamos que o RGPD é um importante passo no sentido do reforço dos direitos individuais dos cidadãos e na responsabilização das entidades que procedem ao tratamento dos dados pessoais. Nesse sentido, a Microsoft assumiu formalmente o compromisso de estar integralmente em conformidade até 25 de maio de 2018 no que concerne aos seus serviços em cloud, vertendo as garantias relacionadas com o RGPD em todos os vínculos contratuais assumidos com os seus clientes. Ou seja, o recurso a serviços Cloud Microsoft pode constituir um acelerador para o cumprimento dos requisitos do GDPR por parte dos nossos clientes. Com menor custo, maior rapidez e de forma simples. Este estudo permitiu-nos ter um retrato do estado de arte das empresas portuguesas em relação ao novo Regulamento Geral de Proteção de Dados e as conclusões não são especialmente animadoras. Concluímos que há ainda um longo caminho a percorrer em pouco tempo”, revelou o responsável.
Para Patrick Grant, conselheiro para a Economia Digital da BusinessEurope, a indústria quer estar conforme com os requisitos legais, nomeadamente no domínio da privacidade, mas essa tarefa fica difícil na medida em que o quadro regulatório é uma realidade dinâmica. ”É como tentar acertar num alvo em movimento, em permanente mudança! As empresas querem ver materializada na Europa a intenção inicial de criar um único conjunto de regras de proteção de dados. Mas a elaboração incompleta de diretrizes em vários níveis de governance e os debates em curso em torno do Data Protecion Act estão a limitar esse objetivo”, avisa o especialista.
Estudo IDC para a Microsoft Portugal – “Breaking GDPR: Become a Master”
Segundo o estudo hoje divulgado, as organizações com mais de 250 colaboradores são as que melhor conhecem o Regulamento (mais de 50% dos decisores conhece “relativamente bem” o RGPD). É nas áreas de Sistemas de Informação e Serviços Jurídicos que o conhecimento é maior, com cerca de 2/3 dos profissionais a responderem que conhecem “relativamente bem” o Regulamento.
Cerca de ¾ dos administradores inquiridos afirmam ser os responsáveis finais ou integrarem a equipa de decisão responsável por definir o orçamento e as iniciativas relacionadas com o RGPD. Apenas 1/3 dos responsáveis pela área legal dizem fazer parte da equipa de decisão, sendo que quase 50% considera-se apenas como um “forte influenciador”.
52% dos decisores diz que ainda não é claro quais os investimentos e custos necessários para desenvolver um programa que esteja em conformidade com o RGPD. Dos decisores que sabem qual será o investimento e custo para 2018, 50% indica que será superior a 50.000€.
Nas empresas com mais colaboradores, 75% dos decisores afirmam que sabem qual será o investimento e custo para 2018 e indicam que este será superior a 50.000€, e cerca de ¼ admite mesmo que poderá exceder os 300.000€.
2/3 dos decisores afirma que nas suas organizações não há um departamento específico com a responsabilidade de coordenar o programa de conformidade RGPD e que foi ou será criado um grupo de trabalho interdisciplinar. O departamento de Sistemas de Informação é indicado por 17% dos decisores e o departamento legal por 16%. 11% dos decisores indica que ainda não há uma decisão sobre o departamento que irá ficar com esta responsabilidade.
No caso dos Departamentos de Sistemas de Informação, 55% diz fazer “parte da equipa de decisão” e 33% considera-se apenas como um “forte influenciador”. Em relação ao Departamento de Marketing e Vendas, 55% também diz fazer parte da equipa de decisão, mas 20% diz não ter qualquer papel ou intervenção.
Os principais desafios apontados pelas organizações em relação à conformidade com o RGPD são a “definição dos processos” (320 empresas), “a identificação, classificação e gestão dos dados” (319), a “formação dos colaboradores” (253), o “estabelecimento de medidas de segurança” (219) e “lidar com a gestão do consentimento” (183).
Já sobre os principais benefícios do RGPD para a sua organização 350 das empresas inquiridas reconhece que será a “melhoria da segurança e privacidade da informação”, 278 a “melhoria da gestão da informação”, 219 “garantir a confiança dos clientes”, 199 “redução de risco sancionatório”, e 150 “melhorar a imagem pública e reputação da organização”.
195 dos inquiridos revela que a organização está em processo de nomeação de um Responsável de Proteção de Dados (RPD), 177 diz que não existe um RPD e 119 diz que a organização já nomeou como RPD um recurso interno a tempo parcial.
Metodologia e caracterização da amostra:
Este estudo foi desenvolvido pela IDC para a Microsoft Portugal, sendo o primeiro estudo exaustivo sobre a situação atual e perspetivas de como as organizações portuguesas estão a endereçar os desafios e oportunidades do Regulamento Geral de Proteção de Dados (RGPD). Neste sentido, a IDC realizou uma sondagem que contou com 627 respostas, desenvolvida através de um inquérito telefónico e web entre os dias 03 a 09 de janeiro de 2018.
A distribuição da amostra por setor, função e dimensão das organizações:
| Setor de atividade | |
| Financeiro | 15% |
| Indústria e retalho | 17% |
| Utilities & Energia | 6% |
| Saúde | 6% |
| Administração Pública | 30% |
| Outros | 27% |
| Dimensão da Empresa | |
| Menos de 10 colaboradores | 7% |
| 10 a 50 colaboradores | 10% |
| 50 a 250 colaboradores | 24% |
| Mais de 250 colaboradores | 60% |
| Função | |
| Administradores (CEO, CFO, COO) | 34% |
| Responsáveis de SI | 51% |
| Responsáveis área de Legal | 7% |
| Responsáveis Marketing e Vendas | 9% |
Em relação à dimensão, a maioria são empresas com mais de 250 colaboradores (375). Segue-se como mais representativas as empresas com entre 50 a 250 funcionários (149 empresas), entre 10 a 50 colaboradores (62 empresas) e com menos de 10 colaboradores responderam 41 organizações.
222 empresas são “organizações públicas”, 179 classificam-se como “Empresa Portuguesa com presença no exterior”, 111 são “Empresa Portuguesa sem presença no exterior” e 78 são “Subsidiária de uma multinacional em Portugal”.
Os respondentes ao inquérito eram, na sua maioria, Diretor de SI/informática ou equivalente (173), Diretor geral ou equivalente (69).
Em relação ao nível de conhecimento relativamente ao RGPD (Regulamento Geral de Proteção de Dados), 255 admite que conhece “relativamente bem”, 224 conhece “alguns detalhes” e 62 reconheceu conhecer “muito pouco”.