O RGPD visto por Tiago Vidal, Sócio e Diretor Geral da LLORENTE & CUENCA Portugal, durante uma mesa redonda no Congresso da APCE. Uma reportagem a não perder na nova edição da Meios & Publicidade.
Una gestión de comunicación para la empresa del siglo XXI
Meios & Publicidade: Congresso da APCE
1. A3
Meio: Imprensa
País: Portugal
Period.: Quinzenal
Âmbito: Outros Assuntos
Pág: 4
Cores: Cor
Área: 22,00 x 31,50 cm²
Corte: 1 de 3ID: 75288741 01-06-2018
vigor a 25 de Maio, mas a proposta de lei destinada
a adaptar as novas regras europeias a Portugal ainda
não foi aprovada no Parlamento. Aliás, no contexto da
União Europeia, apenas seis países aprovaram, nesta
fase, a legislação.
O regulamento vem determinar que o consumidor
precisa de dar consentimento a cada propósito para
o qual uma empresa deseja processar os seus dados
pessoais. Qualquer pessoa pode pedir o acesso aos
dados que as empresas detêm sobre si ou pedir
para não usá-los. “Se as empresas estão a fazer algo
com a informação para o qual não foi dado consenti-
mento, aí é que é preciso um novo consentimento. Por
exemplo, se pretenderem passar os dados pessoais
a terceiros”, ilustra o líder da consultora em market
intelligence. “Imagine que subscrevi uma newsletter.
Na minha perspectiva, não faz sentido enviar um
e-mail a perguntar se se pode continuar a enviar. Faz
é sentido deixar muito claro junto dos clientes e subs-
critores que se está a cumprir o novo regulamento e
dar a conhecer qual é a política de privacidade. Com
clientes essa questão é ainda mais evidente. Se tenho
um contrato com um fornecedor, tenho de receber
comunicações desse fornecedor. Essa questão nem
se põe”, refere ao M&P.
É neste contexto que Gabriel Coimbra é directo na
consequência dos esforços dos últimos dias de
muitas empresas em actualizarem as suas bases
dados, enviando newsletters onde pedem aos subscri-
tores que confirmem que querem continuar a receber
informações: “O desespero está a levar à destruição
das bases de dados, já que apenas cinco por cento
das pessoas vão responder a esses e-mails”, declara.
Um debate promovido pela Associação Portuguesa
de Comunicação de Empresa (APCE) sobre o RGPD
e reputação deixou claras as preocupações que as
empresas então a viver por estes dias. A implemen-
tação do RGPD “está a ser vista como um processo
No início do ano, o tema do Regulamento Geral de
Protecção de Dados (RGPD) parecia estar afastado
das preocupações dos gestores. Um estudo encomen-
dado pela Microsoft Portugal à IDC e que envolveu 600
empresas nacionais indicava que, em Janeiro, apenas
2,5 por cento dos decisores consideravam que as suas
empresas estão preparadas para lidar com o RGPD.
Mais de 40 por cento afirmavam que a sua organização
ficaria preparada só depois de Maio e mais de metade
dos inquiridos admitia não conhecer bem o regula-
mento. Tudo mudou. O tema passou a ser diabolizado,
com muitas organizações a comparar o novo regula-
mento com o equivalente ao pânico do bug informático
do primeiro de Janeiro de 2000.
“Nas últimas semanas começámos a receber os
milhares de e-mails e SMS, que é precisamente aquilo
que não se quer do RGPD. Achamos completamente
errado enviar e-mails ou SMS aos clientes a perguntar
se devemos continuar a comunicar com eles, quando
eles são já clientes. Está explícito que devemos comu-
nicar porque são nossos clientes. Como há uma falta
de conhecimento, não temos ainda a lei portuguesa,
não há jurisprudência e temos uma maturidade muito
baixa no mercado, começamos a ver coisas absurdas
como estas”, comenta ao M&P Gabriel Coimbra,
country manager da IDC Portugal. O RGPD entrou em
FRAME ITRUI OLIVEIRA MARQUES
Um pesadelo
chamado RGPD
O Regulamento Geral
de Protecção de Dados
pretende dar segurança
e privacidade aos dados
pessoais dos europeus.
Entretanto, criou-se um
problema de comunicação
“O desespero está
a levar à destruição
das bases de dados,
já que apenas cinco
por cento das pessoas
vão responder
a esses e-mails” Página 3
2. Meio: Imprensa
País: Portugal
Period.: Quinzenal
Âmbito: Outros Assuntos
Pág: 6
Cores: Cor
Área: 22,00 x 31,50 cm²
Corte: 2 de 3ID: 75288741 01-06-2018
de compliance e não de comunicação, e que está a
ser liderados pela área jurídica e de TI. É uma oportu-
nidade enorme para se organizarem os seus pontos
de contacto com os clientes”, destacou Tiago Vidal,
director-geral da Llorente & Cuenca, que considera
que “há um potencial de crise. Toda a gente está
assustada com as multas, que, levadas ao limite,
poderão levar ao fecho de empresas. É um cenário
que acho que não vai acontecer, nem que seja numa
fase inicial, porque a maioria das organizações não
está preparada”. “O tecido empresarial das PME é
enorme, por isso a maioria não está preparada. Vai
haver riscos de reputação. As organizações vão ter
de ter canais internos para canalizar os pedidos de
dúvidas dos clientes, para minimizar riscos de perda do
cliente e os riscos jurídicos. Muitas empresas criaram
uma crise quando começaram a lançar os e-mails das
autorizações porque as suas bases de dados caíram
95 por cento”, reforçou Tiago Vidal no mesmo debate.
Se até agora as multas máximas eram de 30 mil euros,
agora podem chegar aos 20 milhões ou a quatro por
cento da facturação das empresas. “Estamos a entrar
numa nova era do que é a visão da protecção dos
dados pessoais dos europeus. A partir do dia 25 de
Maio começa o grande desafio porque temos de olhar
para isto como um trabalho contínuo ao longo dos
próximos anos e que vai valorizar o grande activo das
organizações: a informação. Há uma série de aspectos
jurídicos e processuais que têm de ser controlados e
desenvolvidos para que as organizações possam ser
mais competitivas no uso da informação”, considera
Gabriel Coimbra.
É de esperar que os consumidores, a partir de agora,
sejam mais exigentes. Até porque os portugueses,
apesar de haver uma Lei de Protecção de Dados,
datada de 1998, têm sido, até ao momento, pouco
interessados e informados em relação à questão de
protecção de dados. Em Espanha, por exemplo, é
conhecida a expressão “Direitos ARCO”, que garante a
qualquer cidadão controlar os seus dados pessoais por
quatro vias: Acesso (saber quais os dados pessoais que
uma organização está a usar), Rectificação (correcção
de dados incompletos, excessivos ou inadequados),
Cancelamento (eliminação definitiva dos dados) e
Oposição (impedir que as empresas enviem publici-
dade ou informação comercial sem autorização).
Os especialistas consideram que as grandes organi-
zações são as mais bem preparadas, já que serão as
mais visadas pelo RGPD. A nota negativa vai para o
Estado. A administração pública e o sector empresa-
rial do Estado têm até Outubro de 2019 para cumprir
o RGPD. “Há o exemplo do Estado português que
diz que tem dois anos para se preparar. Estamos a
falar de uma lei para proteger a nossa privacidade e o
Estado, que é quem tem mais informação sobre nós,
diz que não esta preparado”, refere Gabriel Coimbra.
Um caso prático
Teresa Carvalho, directora do gabinete jurídico e
compliance da Liberty Seguros, também presente no
encontro promovido pela APCE, contou que, no caso
da seguradora, foi criada em Fevereiro de 2017 uma
equipa interna, com 16 de pessoas de várias áreas,
num processo que é liderada pela área jurídica e de
compliance. Além disso, os responsáveis pelo sector
dos seguros encontraram-se várias vezes nos últimos
meses para trocarem experiências. “Não acredito em
ninguém que a 25 de Maio diga que está a cumprir o
regulamento a 100 por cento”. A comunicação destes
temas com os clientes da Liberty Seguros foi feita
“com moderação. Se comunicamos muito, as pessoas
baralham-se”. Para os colaboradores da empresa
foram definidos e partilhados 10 mandamentos da
protecção de dados.
A prioridade é dar a conhecer aos agentes de seguros,
exteriores à Liberty, os cuidados que devem ter com o
tratamento de dados. E aqui não entram apenas em
campo os dados digitais. “Foi preciso explicar que
nem hoje nem a partir do dia 25 de Maio, se pode
dizer à senhora, que passa a perguntar, se o marido
esteve lá para assinar o seguro de vida. Em meios
pequenos, isto pode ser uma situação complicada
para o mediador de seguros”, ilustra.
1. Dados pessoais. São exemplos de dados
pessoais nome, a morada, o e-mail, o número de
identificação, dados de localização, o endereço de
IP (protocolo de internet) ou cookies. São operações
de tratamento de dados, por exemplo, o acesso/
consulta de uma base de dados de contactos que
contenha dados pessoais, a gestão de pessoal e de
folhas de salários, o envio de mensagens promocio-
nais por correio electrónico, a gravação de vídeo ou
o armazenamento de endereços IP.
2. Consentimento. O RGPD exige que o consen-
timento seja dado mediante um acto positivo claro
que indique uma manifestação de vontade livre,
específica, informada e inequívoca de que o titular
de dados consente no tratamento dos dados que lhe
digam respeito. Por exemplo, cumprem esses requi-
sitos as declarações escritas (inclusive em formato
electrónico), a validação de uma opção ao visitar um
site ou mesmo os actos que indiquem claramente
que o titular dos dados aceita o tratamento proposto.
Não pode usar listas de contactos que lhe deram
sem os mesmos consentirem expressamente a utili-
zação dos respectivos dados.
3. Alterações. Quando informar o titular dos dados,
no momento da recolha dos dados, ou no primeiro
contacto (se este for posterior à recolha dos dados),
que uma operação de tratamento se baseia num
determinado fundamento, não poderá depois alterar
esse fundamento por outro que venha a considerar
ser mais conveniente sem uma razão justifica-
tiva. Deve ainda ter em conta que quando cessa a
relação em causa deixa de poder usar esses dados
sem obter o prévio consentimento do seu titular.
4. Cartão de visita. A entrega de um cartão de
visita não dá a quem o recebe o direito de usar
indiscriminadamente a informação pessoal do seu
titular. É aconselhável bom senso e prudência. Não é
expectável que, aproveitando-se a troca de cartões,
venha depois a utilizar os dados do cartão para os
incluir numa base de dados comercial e daí em
diante começar a enviar SMS e e-mails com ofertas
a essa pessoa.
5. Encarregado de Protecção de Dados
(EPD). Independentemente do número de colabo-
radores, uma organização, que efectue operações
de tratamento de dados pessoais, deverá designar
um EPD se as suas actividades principais consis-
tirem em operações de tratamento que, devido à sua
natureza, âmbito e/ou finalidade, exijam um controlo
regular e sistemático dos titulares dos dados em
grande escala. É o caso dos serviços de teleco-
municações, concessão de crédito a clientes ou
seguradoras. Também precisam designar um EPD
empresas cujas actividades principais consistam em
operações de tratamento em grande escala de cate-
gorias especiais de dados (dados genéticos, dados
biométricos, dados de saúde) ou de dados pessoais
relacionados com condenações penais e infracções.
Fonte: Macedo Vitorino & Associados
Regras a ter em conta
“Há um potencial
de crise. Toda a gente
está assustada com as
multas, que, levadas
ao limite, poderão
levar ao fecho de
empresas”
Tiago Vidal (Llorente & Cuenca), Teresa Carvalho (Liberty Seguros),
Gabriel Coimbra (IDC) e António Rapoula (APCE)
Página 4