A ACIB, em parceria com a APD Portugal, realizou no dia 10 de junho um seminário sob o tema "RGPD - Regulamento Geral de Proteção de Dados". As regras do Regulamento Geral de Proteção de Dados implementado no espaço Europeu vieram introduzir alterações substanciais, face às regras anteriormente em vigor no nosso país, para as quais as organizações e as empresas não estavam preparadas.

Esta sessão direcionada e participada por aproximadamente 90 gestores e quadros teve como objetivo informar e sensibilizar para esta nova realidade, chamando a sua atenção para as principais implicações quer ao nível da estrutura interna das organizações quer ao nível das implicações fiscais decorrentes da não observância deste regulamento.

Nesta sessão estiveram presentes, João Albuquerque, Presidente da ACIB, António Couto dos Santos, Vice-Presidente da APD Portugal, Dália Petiz, Diretora-Geral da APD Portugal e os oradores especializados em RGPD, Rute Silva Gomes, advogada na Garrigues - Sociedades de advogados internacionais de Direito empresarial, e Luís Antunes, da TEK Privacy, startup da Universidade do Porto.

A sessão foi iniciada com a intervenção de João Albuquerque, Presidente da ACIB, que agradeceu à APD Portugal a disponibilidade para a parceria com a ACIB no sentido do esclarecimento, discussão e orientação dos empresários para um tema tão relevante e com muitas implicações para as empresas.

Referiu que "como sempre, a ACIB está na vanguarda procurando informar e defender as empresas e os empresários”. Salientou que pelas avultadas coimas que se aplicarão e pelas responsabilidades também pessoais, esta é uma legislação que se deve conhecer em profundidade pelo que, nesta sessão, serão apresentados conceitos chave, bem como um conjunto de considerações, tendo em conta os interesses das empresas e dos seus gestores no que diz respeito à implementação do RGPD e ao Roadmap a utilizar para a sua conformidade.

Rute Silva Gomes, advogada da Garrigues, iniciou a sua intervenção dando nota que "um ano após a aplicação do RGPD, foi finalmente aprovada pelo Parlamento a respetiva lei de execução e a confusão está instalada e, afinal, o que devem fazer as empresas?". Com uma experiência acumulada nos últimos anos e uma oferta direcionada para o processo de transição do RGPD, a Garrigues têm vindo a apoiar inúmeras organizações, desenvolvendo diversos projetos nas áreas da saúde, retalho, indústria e serviços.

Nesta sessão abordou de forma clara os seguintes temas: O princípio do primado do direito da União Europeia (que refere que o regulamento tem caráter geral e é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros); Abordou o consentimento do titular dos dados, a política de privacidade, os impressos e formulários; O sistema para registo de dados pessoais; O direito ao esquecimento e o direito à portabilidade; A avaliação de impacto; A subcontratação.
Focou que este regulamento europeu reforça os direitos de todos os indivíduos e torna as empresas responsáveis pelos dados pessoais que processam, sendo que por “indivíduos”, entende-se não só clientes, mas também fornecedores e funcionários.

Esclareceu sobre o que são, de facto, dados pessoais. Falou sobre o registo de atividades de tratamento e o que deve conter esse registo. Abordou o cumprimento do dever de informação, dando resposta a questões que iam sendo levantadas relacionadas com: "Temos de prestar informação no caso de dados recolhidos antes da aplicação do RGPD? Como é que pode ser fornecida a informação? Podemos deixar a atividade de tratamento X para o caso de o querermos fazer no futuro? E se o titular já tiver conhecimento desta informação? Explicou como devem ser feitos: o tratamento no contexto das relações laborais, o tratamento de dados biométricos, a videovigilância. Deu nota dos prazos de conservação de dados pessoais e a eliminação de dados cujo prazo já terminou.

Luís Antunes, Professor Catedrático da Universidade do Porto, fez a apresentação do “roadmap” que uma PME deve implementar para o processo de conformidade. Abordou a definição de perfis, referindo que é considerado perfil qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações.

Fez alusão ao perfil e às funções do encarregado de proteção de dados (DPO). Esclareceu quando a empresa precisa de um encarregado de proteção de dados. Fez uma explanação sobre as novas regras para o consentimento e o direito ao esquecimento (o que significa e toda a complexidade envolvida).

Terminou fazendo referência às coimas envolvidas aquando do incumprimento. Quando é aplicável os 20 milhões de euros, ou 4% do volume de negócios anual global, e os 10 milhões de euros, ou 2% do volume de negócios anual global. Referiu que é provável que as organizações que tomem medidas abrangentes e verificáveis as multas sejam menores ou significativamente reduzidas. Para um incidente de violação, é possível cobrar multas múltiplas. Por exemplo, se os dados pessoais forem roubados e houver potencial de prejuízo para as pessoas em causa, as infrações poderão abranger medidas de proteção insuficientes, mas também se as pessoas em causa não forem notificadas num prazo razoável.

António Couto dos Santos, Vice-presidente da APD, explicou que a APD (Associação para o Progresso da Direcção de Empresas) foi criada com a finalidade de proporcionar a administradores e diretores acesso a redes de contacto, conhecimento, formação e informação nacional e internacional contribuindo para o desenvolvimento da qualidade do tecido empresarial. Deu nota de algumas empresas associadas da APD e que a estratégia da APD passa por encontrar soluções para vencer os bloqueios e dar visibilidade às médias empresas que são as maiores produtoras de riqueza do país. É ainda intenção da APD que se comece a olhar para a indústria transformadora, muitas vezes esquecida.

Dália Petiz, Diretora-geral da APD Portugal, fez a apresentação da associação que representa referindo que se trata de uma associação privada, independente e sem fins lucrativos, com sede no Porto, filiada na APD Internacional, com sede em Madrid. É um movimento que potencia sinergias empresariais e de negócios, que promove a formação e informação dos empresários e dos quadros de alta direção das empresas, no âmbito do progresso e do desenvolvimento económico e social.

A APD não defende interesses corporativos, embora tenha empresas como associados. Considera-se parceira das associações e assume-se como defensora dos interesses de diretores, gestores e administradores, de entidades públicas e privadas, contribuindo para a sua e informação e qualificação.

Com esta iniciativa, a ACIB pretendeu alertar e informar os participantes para a necessidade de adequar as estruturas de informação e de segurança, de modo a garantir proteção de dados pessoais e para informar sobre os custos diretos e intangíveis que eventuais quebras de segurança obrigam.