Por António Teixeira
Diretor de Recursos Humanos, Formador, Consultor em Comportamento e Gestão Organizacional, Advogado (Área Laboral)
O novo Regulamento Geral de Proteção de Dados, também conhecido como GDPR, vai fazer dois anos de aplicação direta nos 27 estados da União!
Em Portugal fica a sensação que o tempo dos mitos continua! Os mitos da moda são agora: i)“ a moda do RGPD já passou”; ii) “Já ninguém houve falar de RGPD”; iii) “A CNPD não faz nada!”; iv) “Até chegarem a nós já estaremos reformados”e v) Não é um tema sexy!!!”
Enfim a panóplia de mitos habitual da vida de profissionais que, do alto da eficiência exigida pelos Board, ficam sem agenda, budget, equipa, orientações esclarecidas ou last but not least, vontade para tratar de modo sério, focado e, por isso competente, as temáticas do RGPD. E, relembre-se, a propósito, que este ato normativo europeu estatui – exige – um conjunto de obrigações para todas as entidades que tratam os dados, umas mais expressas e outras que resultam da interpretação do ordenamento jurídico como um todo!
Acrescente-se ainda que durante o período de incubação dos referidos mitos tudo flui nos silêncios do coro de assobios de quem olha para o lado! O problema surgirá quando por queixa ou sem queixa à CNPD os mesmos Board que permitem o silêncio das suas equipas de gestores no que à implementação séria diz respeito, convocarem uma reunião urgente para saber de quem é a responsabilidade pela violação do RGPD e logicamente quem vai ter que pagar a coima!? Nessa ocasião, arriscamos prever, “os assobios para o lado” e “sorrisos envergonhados” dos que nada fizeram serão substituídos por micro expressões de preocupação com ténues encolher de ombros…acompanhados com a uma mensagem subliminar para os Board: “nós avisámos que isto podia suceder”. Nessa altura os Board num assomo de competências de gestão executiva intervirão com o habitual “cortar a direito, doa a quem doer” com a consequência jurídica, da batalha interna a travar, a sobrar eventualmente para os diretores que nada fizeram ou para os trabalhadores que funcionalmente trataram os dados.
A questão das responsabilidades dos trabalhadores dependentes é um assunto demasiado sério para ser deixada de lado, numa era em que a busca de responsabilidades dos gestores é um foco da agenda dos legisladores. Podemos ainda questionar a partir de quando essa responsabilidade seja de gestores seja de outros colaboradores, poderá ser assacada? Se a responsabilidade inicial do pagamento da coima cabe ao RTD (empresa pública ou privada, associação, fundação ou pessoa singular), já a questão da responsabilidade (culpa) pela violação fáctica da conformidade – por ação ou por omissão – poderá não morrer solteira, indiciando estratégias de recuperação do dinheiro da coima nem que seja por via do famigerado “direito de regresso”. E aí, nessa altura de um futuro que poderá ser muito próximo soarão os alarmes e os esbracejar da crise interna com a preparação dos garrotes da incompetência nas mãos dos esbirros profissionais em “sacudir a água do capote”!
O que pode acontecer se sua organização não adotou medidas de conformidade para com GDPR?
O regulamento GDPR contempla multas significativas para empresas que não cumprem. As empresas podem enfrentar multas de até 20 milhões de euros ou 4% da factoração anual do ano anterior. As multas podem ser acompanhadas por qualquer medida corretiva considerada apropriada (como avisos ou repreensões ou até proibição do exercício da atividade). Mas a questão central não tem a ver com o montante das coimas, mas com o princípio de decidir ou não decidir pelo cumprimento, leia-se pela adoção de medidas de conformidade para cumprir as obrigações que impendem sobre todos os RTD.
E que medidas deve uma entidade cumprir em relação ao tratamento termos de dados de funcionários/trabalhadores/colaboradores/parceiros singulares?
De uma maneira ou de outra, o RTD está a tratar dados como nome, número de telefone, endereço, recibos, informações confidenciais ou categoria especial de dados (sensíveis) cujo tratamento também deve estar em conformidade com o novo regulamento de proteção de dados não estando, por maioria de razão, aquém ou além daquele ato normativo, não podendo, por isso, a respetiva violação estar isenta de sanções. Agora, mais do que nunca, é essencial planear a adoção de medidas de conformidade relativamente ao tratamento de dados no “Departamento de Recursos Humanos” para que a gestão desse departamento esteja em conformidade com o RGPD.
Da experiência de centenas de ações de formação e de milhares de horas de consultoria ficamos com a convicção que os RTDs continuam sem cumprir as suas obrigações no que à adoção de medidas de conformidade na gestão RH diz respeito. Cremos que o tempo urge, pois a CNPD está lenta (isto não é um mito) e por isso pode ainda haver algum tempo até massificar a sua intervenção. Contudo, atente-se que a autoridade de controlo (CNPD) pode coimar se as medidas forem tomadas apenas agora quando deviam ter sido tomadas até 25 de Maio de 2018, mas acreditamos, que a fazê-lo será com forte atenuação da coima. Dessa mesma experiencia resulta claro que os DRH têm algumas dezenas de medidas a adotar para estarem conformes ao RGPD, mas que logicamente, por falta de meios ainda não as identificaram.
Criar uma cultura de privacidade de dados é essencial nas entidades que tratam dados e os responsáveis pelos recursos humanos devem entender o risco e a responsabilidade envolvidos no tratamento dos dados dos trabalhadores bem como a sua responsabilidade específica por omitiram estratégias para a criação daquela cultura.
Diga-se ainda que o RGPD não é apenas sobre proteção de dados, é fundamentalmente sobre gestão da privacidade de um modo adequado, onde a proteção está incluída. Está frase indicia que tomar medidas de proteção com programas estanques e muitas vezes inadequados não é cumprir o RGPD…é cumprir muito parcialmente o RGPD.
Por último é indesviável que os DRH devem ser os arautos comunicadores e sensibilizadores dos Board, trazendo o RGPD “para cima da mesa”, pois se hoje não há qualquer culpado, amanhã pode haver muitos e os DRH precisam de mobilizar todos os seus meios para gerir estrategicamente as pessoas e não preparar processos disciplinares por violação da gestão de dados ou fornecer dados para que os juristas preparem eventuais ações cíveis contra a parte mais fraca do processo!
Nota resumo: se ainda não foram tomadas as medidas que se impõem e por isso o RGPD está a ser violado, ainda é possível atenuar eventuais responsabilidades pela desconformidade se essas medidas forem identificadas e implementadas.
Mãos à obra!