“Genericamente, verifica-se que o desconhecimento sobre o RGPD ou os seus detalhes é elevado e que, embora haja uma perceção da importância a atribuir à proteção de dados, não há mecanismos desenvolvidos para desempenhar nas operações da organização”, conclui o trabalho, elaborado pelo Instituto de Apoio às Pequenas e Médias Empresas e ao Investimento (IAPMEI) e pelas associações para a Promoção e desenvolvimento da Sociedade de Informação (APDSI) e Portuguesa de Gestão das Pessoas (APG).
As respostas das mais de 1.600 pequenas e médias empresas inquiridas evidenciam que apenas 3% têm “um plano a decorrer para garantir conformidade com o RGPD em maio de 2018”, sendo que 44% admitem “não ter qualquer plano” e cerca de 14% refere “ter apenas ações pontuais em áreas específicas”.
Ainda assim, só 6% das empresas afirmam que “não estarão preparadas” para o RGPD em maio de 2018, considerando mais de 22% que vão estar “totalmente preparadas”, apesar de quase 23% destas admitir “não ter qualquer plano em curso para garantir esta conformidade”.
Segundo as conclusões do estudo – que vão ser apresentadas hoje em Lisboa numa conferência organizada pelo IAPMEI e LCG Consulting — no que respeita à implementação do RGPD pelas empresas é “marcante” a “tendência para a dúvida e a incerteza”, já que mais de 46% das inquiridas afirmam que “talvez venham a estar preparadas ou não saber se estarão”.
Do total de inquiridos, apenas 4,8% respondeu “conhecer detalhadamente o RGPD e as suas principais obrigações”, enquanto cerca de 38% “não conhece o regulamento (32%) ou não sabe se conhece” e quase 48% diz “ter conhecimento sobre o RGPD, mas desconhece os detalhes”.
Analisando apenas as maiores empresas, com mais de 250 trabalhadores, a percentagem das que afirmam conhecer bem o regulamento sobe para quase 30%, mas totaliza, ainda assim, “menos de um terço”, notam os autores do trabalho.
Já numa análise por setores económicos, o que “aparenta mais conhecimento” sobre o RGPD é o das ‘atividades de informação e de comunicação’, no qual 15% das empresas afirmam estar bem informadas.
Apesar desta incerteza, o inquérito conclui que a proteção de dados “aparenta ser uma prioridade” para a maioria das empresas questionadas, já que mais de 61% o afirmam (20% prioridade elevada e 41% prioridade moderada) e apenas 5% dizem “não ser prioritário” e 15% ter “pouca prioridade”.
“Também aqui a dimensão da empresa aparenta influenciar a consciência e a importância dada ao tema da proteção de dados”, refere o trabalho, notando que “nenhuma das grandes empresas afirma que a proteção de dados não é uma prioridade”.
Questionadas sobre se os procedimentos atuais da empresa satisfazem os requisitos do RGPD, foi evidente “um desconhecimento grande” sobre o nível de cumprimento das exigências, com praticamente metade (49%) a afirmar “não saber” e apenas 10% a dizer estar “totalmente preparados”.
Já no que respeita às penalizações no caso de incumprimento do RGPD, “o desconhecimento parece ser uma vez mais o maior problema”, já que 42% dos inquiridos afirmam “desconhecer” que há penalizações, 35% referem a sua existência, mas “desconhecem os detalhes”, e apenas 7% dizem estar “bem informadas”.
Caso o RGPD fosse hoje aplicado, 47% afirmaram não saber se a sua organização seria penalizada financeiramente, 19,4% aparentaram estar convictas de que não seriam penalizadas e apenas 2% tinha consciência de que não cumpre e sofreria penalizações.
Atualmente, apenas 17% das organizações reportam ter políticas formais de proteção de dados pessoais transversais a todas as áreas e departamentos, enquanto 32% afirmam que estas existem, mas apenas para algumas áreas/departamentos, e 25% referem não ter qualquer plano formal a este nível.
Se 16% das empresas que participaram no inquérito disseram planear aumentar o orçamento dedicado ao programa de proteção de dados, a maioria afirmou que não ou que não sabia, destacando-se as ‘atividades de informação e de comunicação’ (30%) e as ‘atividades de saúde humana e apoio social’ (25%) como “os setores mais conscientes da necessidade de aumento de orçamento para o programa de proteção de dados pessoais”.
Quanto ao nível de adequação das medidas adotadas internamente para garantir a privacidade dos dados, o trabalho conclui que apenas 6% dos inquiridos as considerou “perfeitamente adequadas”, tendo 40% sustentado que são “razoavelmente adequadas”, denotando “a consciência da necessidade de fazer algo mais e eventualmente algum desconhecimento sobre as implicações”.
Quando questionadas se planeiam aumentar o número de empregados dedicados a programas de privacidade de dados, a grande maioria das empresas (56%) disse não o pretender fazer.
O novo regulamento, que vai ser aplicado a partir de 25 de maio de 2018, obriga bancos, hospitais, laboratórios farmacêuticos, entre outras empresas, a ter um responsável pelo tratamento de dados pessoais, uma função criada pelo regulamento comunitário e destinada a juristas ou engenheiros informáticos.