A conformidade com o novo regulamento de protecção de dados pessoais da União Europeia tende a ser particularmente penosa para as PME. Essa é, se não a principal, uma das ideias que se confirmaram na mesa redonda organizada pelo Computerworld, em torno do recente conjunto de regras aprovado pelo Parlamento Europeu.
Com efeito, percebe-se que as PME serão as empresas que mais desafios terão na agenda, se de facto estiverem atentas.
Mediante o seu enquadramento legal, terão por exemplo de providenciar a nomeação de um delegado oficial de privacidade dentro da sua organização. Num processo mais complexo e abrangente, terão de ganhar conformidade nos seus procedimentos e fluxos de trabalho, o que será ainda mais exigente. Os custos prevêm-se avultados, mas as penalizações podem ainda ser piores.
O regulamento entra em vigor, na sua plenitude, só a 25 de Maio de 2018. Apesar disso, quem sabe do desafio recomenda que se comece quanto antes o processo de adaptação. Dois anos podem não ser suficientes.
A classificação de dados e informação dentro da organização, integrada com a gestão de identidades, surge como pedra basilar. Mas pelo caminho tendem a emergir não só as armadilhas das zonas cinzentas da legislação, como também os consultores menos éticos, que prometem a panaceia.
O associativismo é apresentado como solução para as PME ganharem sobretudo conhecimento e capacidade de avaliação, pela partilha. Um exemplo está a ser um consórcio no ensino superior envolvendo instituições no Norte e Centro do país.
A partilha de conhecimento e experiências dominou a mesa redonda, patrocinada pela Micro Focus e pela NetIQ. O debate foi repartido em vários artigos, com as declarações destes responsáveis a servirem de base de ligação aos mesmos no Computerworld:
“Não sei se o ‘Digital Officer’ não é um recuo, no sentido de desresponsabilizar o presidente da administração, embora o âmbito seja o dos dados pessoais” ‒ Tolentino Martins, da direcção de SI e TI (Serviço SIS LOG) da NAV Portugal
“Usualmente quando a Timwe tem contrato com um operador, este transfere o risco para ela. E nós obviamente temos fornecedores e vamos transferir o risco para o lado deles. Por isso vamos obrigar toda a cadeia a cumprir com estas normas” ‒ João Stott, CSO da Timwe
“Mas é preciso inventariar-se todos os processos e classificar os dados, as políticas de classificação de informação são críticas neste tema. Até a própria definição do que são dados pessoais” ‒ Miguel Jacinto, CISO do Banco BIC
“Preocupa-me o ‘risk assessment’, na organização a que pertenço. Parece-me um bocado custoso e difícil de ver, como é que uma organização que é académica normalmente e dá pouco valor à informação, mas valoriza a imagem, poderá colocar o tema em cima da mesa e executar” ‒ António Rio Costa, da Universidade de Trás-os-Montes e Alto Douro
“As organizações têm de se associar. Criar grupos multi-organização. Porque se uma organização estiver só, não será possível (estar em conformidade com o regulamento sem sobressaltos)” ‒ João Rato, director de vendas da Micro Focus em Portugal
“Com dois anos para haver competência do lado dos fornecedores, adaptação e depois implantação, devem surgir ‘muitos negócios da China’. Escolher bem vai ser difícil, porque o tema entrou na ordem do dia” ‒ Ricardo Martins, director de serviços de TIC da Universidade de Aveiro
“O novo regulamento é muito severo quanto à gestão de acessos. As organizações precisam de ter capacidade de saber o que os utilizadores acedem e a quê” ‒ Carlos Barbero, gestor de vendas da NetIQ