Já temos RGPD implementado — será mesmo suficiente?

Introdução

"Nós já tratámos do RGPD."

É uma das frases mais comuns quando o tema surge numa reunião de direção. E é, muitas vezes, a frase mais perigosa que uma organização pode dizer — não porque seja dita com má intenção, mas porque é dita com uma convicção que pode não corresponder à realidade.

A instituição fez um esforço. Contratou alguém, produziu documentos, assinou formulários, talvez fizesse uma formação. Do ponto de vista de quem gere o dia a dia, o problema foi identificado e resolvido. Pode passar ao próximo assunto.

Mas a proteção de dados não é um problema que se resolve. É uma prática que se mantém. E a diferença entre estas duas perspetivas tem consequências muito concretas.

O problema real

Existe uma diferença fundamental entre ter implementado o RGPD em determinado momento e estar em conformidade com o RGPD hoje.

O regulamento não avalia o que uma organização fez no passado. Avalia o que a organização demonstra, agora, que está a fazer. Essa distinção é essencial.

Documentos criados em 2018 e nunca revistos podem já não refletir a realidade da organização. Colaboradores que entraram depois da última formação nunca receberam formação. Processos que mudaram continuam documentados da forma antiga. Dados que antes não existiam passaram a ser tratados sem que os registos tenham sido atualizados. Fornecedores mudaram, mas os contratos de tratamento de dados continuam com os anteriores.

Cada uma destas situações, isoladamente, pode parecer menor. Em conjunto, criam um desfasamento significativo entre o que está documentado e o que acontece na realidade. E é exatamente esse desfasamento que uma auditoria vai detetar.

O que está em causa

O risco de assumir que o RGPD "já está feito" é silencioso. Nada acontece de imediato. A instituição continua a funcionar. As famílias continuam a confiar. A equipa continua a trabalhar. A sensação de normalidade pode durar anos.

Até que algo muda.

Pode ser uma queixa de um utente ou familiar que percebeu que os seus dados foram partilhados sem autorização. Pode ser um incidente de segurança — um computador perdido, um email enviado para o destinatário errado, um acesso não autorizado a um sistema. Pode ser uma auditoria da CNPD, desencadeada por uma denúncia ou por uma iniciativa da própria autoridade reguladora.

Nesse momento, a instituição vai precisar de demonstrar que tem um sistema de proteção de dados que funciona. Não que teve. Que tem.

Se o sistema existia apenas no papel, e há anos que não é revisto nem aplicado de forma consistente, essa demonstração vai ser muito difícil. E as consequências — legais, financeiras e reputacionais — podem ser significativas, mesmo para uma organização que nunca teve má intenção.

Onde a maioria falha

O erro mais comum é tratar a conformidade como um projeto com uma data de entrega.

Em muitas organizações, o processo foi assim: em 2018 ou 2019, contratou-se um consultor ou uma empresa especializada. Foram criados documentos — política de privacidade, registos de consentimento, procedimentos internos. Toda a gente assinou o que tinha de assinar. O consultor entregou um dossiê. O projeto ficou concluído.

Mas o que aconteceu depois? Foram os documentos revistos? Foram os novos colaboradores informados? Os processos que mudaram foram refletidos nos registos? A formação foi repetida? Os sistemas informáticos novos foram avaliados?

Na maioria dos casos, a resposta honesta é: não. Não porque ninguém se preocupa. Mas porque ninguém definiu que era responsabilidade de alguém fazê-lo de forma regular.

Há também um segundo padrão de falha, mais subtil: a desatualização gradual. A organização mantém algum cuidado. Mas as mudanças são pequenas e chegam aos poucos — um novo software de gestão aqui, um novo fornecedor de serviços ali, um novo tipo de registo além. Isoladamente, cada mudança parece irrelevante do ponto de vista da proteção de dados. Em conjunto, criam um desfasamento que só se torna visível quando alguém olha para o quadro completo.

E esse olhar completo raramente acontece de forma espontânea. Acontece, muitas vezes, quando já há um problema.

O que fazer na prática

O primeiro passo é uma revisão honesta da situação atual. Não uma revisão para encontrar culpados. Uma revisão para perceber, com clareza, o que mudou desde a última vez que o tema foi analisado a sério.

Algumas perguntas úteis para esta revisão: Os colaboradores que tratam dados pessoais sabem que o fazem e conhecem as regras? Quando foi a última formação, e quem a recebeu? O registo de atividades de tratamento reflete o que acontece realmente na organização hoje? Os contratos com fornecedores que tratam dados em nome da instituição estão atualizados? Os procedimentos de resposta a incidentes existem, estão escritos e são conhecidos por quem os teria de aplicar?

O segundo passo é criar um ritmo de revisão regular. A conformidade não é uma auditoria que se faz uma vez por ano. É um estado que se mantém com ações regulares e frequentes. Formação periódica para a equipa. Revisão semestral dos registos. Atualização dos procedimentos sempre que algo muda na operação. Um ponto de contacto claro para as dúvidas que surgem no dia a dia.

O terceiro passo — e talvez o mais importante — é deixar de depender da memória e do esforço individual. Os sistemas que funcionam não dependem de ninguém se lembrar de fazer algo. Funcionam de forma consistente, independentemente de quem está disponível, de quem saiu ou de quem entrou na equipa.

Conclusão

"Já temos o RGPD implementado" pode ser verdade. Pode também ser uma ilusão confortável. A diferença entre as duas situações só se torna evidente quando algo corre mal.

A proteção de dados é como a manutenção de um edifício. Uma inspeção feita há cinco anos não garante que o edifício está em boas condições hoje. Precisa de atenção regular, de revisão periódica e de ajustes sempre que algo muda.

A boa notícia é que manter a conformidade é significativamente mais simples do que implementá-la pela primeira vez. Desde que exista um sistema — e que esse sistema funcione de forma contínua, não por impulso.

A pergunta não é se já fizeram algo. É se o que fizeram ainda funciona.