O papel da tecnologia na conformidade com o RGPD
Em vésperas de completarmos o primeiro ano sobre a data de início da aplicação efetiva do RGPD, tentamos perceber qual o papel que podemos atribuir à tecnologia no processo de busca da conformidade com o diploma. Foi nas palavras de Satya Nadella, diretor executivo da Microsoft, que encontramos inspiração para encontrar a resposta - "Every business will be a software business”. Esta é não só uma visão de futuro, como uma visão que reflete também o presente. Já hoje parece ser consensual afirmar-se que para que uma organização seja competitiva tem de ter ou trazer a tecnologia para o centro do seu negócio.
Na verdade, tecnologia é sinónimo de digitalização, simplificação, aceleração e produtividade. É ela o motor que potencia as relações organizacionais e comerciais, a satisfação dos clientes, a interação com os fornecedores e outros agentes que se relacionam com as organizações. Quanto a isto, parece não restarem dúvidas. Mas a questão que se coloca é perceber se a tecnologia pode trazer essas vantagens para o campo da conformidade com o RGPD.
Como garantir a conformidade?
É certo que não podemos cair na tentação fácil de achar que estaremos conformes se adquirirmos esta ou aquela ferramenta, este ou aquele sistema/tecnologia, isto porque a conformidade com o RGPD, para além de ser um trabalho em contínuo progresso, abrange diferentes dimensões e não passa apenas pela tecnologia. É necessário implementar, rever ou melhorar processos como a catalogação de dados, recolha e tratamento de dados pessoais, política de segurança e privacidade, avaliações de impacto, auditorias internas e externas, assim como consciencializar, formar e mudar comportamentos. É ainda importante verificar as garantias de conformidade dadas pelos subcontratados a quem se recorre e verificar as condições de segurança das aplicações internas ou de terceiros usadas dentro da organização.
Apesar desta transversalidade, é inegável o papel facilitador, agilizador e diferenciador que a tecnologia pode ter neste processo. A este respeito, o art.º 32.º do RGPD refere que devem ser implementadas "medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco”, tendo em conta as técnicas mais avançadas, os custos de aplicação face aos riscos, probabilidade e gravidade variável em cada situação.
O mesmo artigo exemplifica, ainda, algumas dessas medidas, nomeadamente a pseudonomização e cifragem de dados pessoais; medidas que tenham a capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento; a capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico; ou processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento.
A encriptação, ao tornar os dados incompreensíveis e sem sentido a terceiros, permite que numa situação em que ocorra um incidente de violação de dados se possa prescindir da notificação aos titulares de dados, o que pode fazer a diferença, evitando danos reputacionais.
Há ainda outros cuidados mais simples, e com os quais as organizações estão mais familiarizadas, que podem auxiliar neste processo, nomeadamente: programa de antivírus; sistemas de bloqueio de downloads de fontes desconhecidas ou suspeitas; política de atualização regular das palavras chave, geração de backups automáticos e mecanismos que permitam a recuperação de dados.
Também a execução de testes de penetração, testes de engenharia social, assim como a realização de auditorias internas e externas serão exemplo de trabalho desenvolvido rumo à responsabilidade demonstrada e conformidade.
É certo que a tecnologia é um aliado de peso nestes pontos, assim como noutros em que sem ela dificilmente se conseguiria executar em tempo útil determinada tarefa ou tal acarretaria um gasto substancialmente superior, além de perdas de produtividade. Isso mesmo se dirá sobre outros cuidados recomendados - encriptação de palavras chave e ficheiros; definição de perfis e níveis de acesso a informação e categorias de informação; existência de histórico de operações (Log), permitindo detetar quem, quando, onde, a quê e o quê consultou/executou sobre determinados dados, o que leva a detetar a origem e responsabilidade por incidentes de violação de dados.
Poderemos então concluir que o investimento em tecnologia traz benefícios no que respeita à conformidade com o RGPD?
Parece-nos que dúvidas não restam quanto a uma resposta afirmativa. A tecnologia poderá facilitar a prevenção e antecipação na deteção de falhas de segurança e violações de dados, contribuir para a diminuição de risco de exposição dos dados, facilitar a avaliação sobre a necessidade de realizar um DPIA.
A centralização da informação e desmaterialização de documentos associados à transformação digital potenciada pela tecnologia facilitará a gestão de pedidos e a resposta ao exercício de direitos por parte dos titulares dos dados pessoais (acesso, retificação, cancelamento, oposição, esquecimento, portabilidade, …).
Por ouro lado, soluções tenológicas mais direcionadas a esta área também permitirão efetuar o registo de atividades de tratamento, gestão de consentimento, auxiliar na gestão de prazos de manutenção e "esquecimento” de dados pessoais, apoiando as funções do DPO.
Tudo isto ajudará na construção de evidências de conformidade, que aliadas com outros fatores encaminharão para a conformidade. A conformidade com o RGPD engloba várias áreas e várias questões ligadas a uma organização e essa conformidade só é concretizável se as organizações fizerem do seu negócio um negócio seguro/confiável, e ao mesmo tempo produtivo. É neste ponto de aceleração que a tecnologia desempenha um papel central, em linha com o pensamento Satya Nadella que nos trouxe até aqui.