A 25 de maio de 2018, o Regulamento Geral sobre a Proteção de Dados (GDPR) entra em vigor. Posteriormente, aplicar-se-á a todos nós em todo o mundo que fazemos negócios com clientes na União Europeia. Enquanto região, a UE é o terceiro maior parceiro comercial global da África do Sul, pelo que certamente prestamos atenção a este facto.
Vale a pena referir que, em princípio, é essencial que as leis de proteção de dados acompanhem os tempos, especialmente num mundo digital e transfronteiriço onde os seus dados pessoais são armazenados na cloud, potencialmente em qualquer parte do globo, mesmo que esteja a lidar com uma empresa local. Eu, tanto quanto qualquer pessoa, fico irritado com as incansáveis chamadas de marketing não solicitadas e o correio direto. E vimos suficientes violações de dados recentemente para saber que constituem uma ameaça muito real, e que as empresas devem ser obrigadas a reportá-las rapidamente para minimizar o seu impacto.
O diabo está, contudo, nos detalhes, e o peso imposto às pequenas e médias empresas — ostensivamente a força vital das economias que querem crescer — é potencialmente paralisante. De acordo com o Banco Mundial, as PME formais contribuem com até 60% do emprego total e até 40% do rendimento nacional (PIB) nos países emergentes. Na África do Sul, as PME contribuíram com 36% do PIB em 2017, e o governo depositou as suas esperanças neste setor para que gere 9 em cada 10 novos empregos até 2030.
Então, qual é o problema?
Na África do Sul, também estamos a preparar-nos para a aplicação da nossa própria lei local de proteção de dados, a Protection of Personal Information Act, carinhosamente conhecida como POPI. E para garantir a conformidade, as grandes empresas sul-africanas estão a começar a organizar-se. No entanto, o que isso parece traduzir-se concretamente é nas grandes empresas (com aparentemente ilimitados recursos humanos e orçamentos) a impor os seus protocolos de conformidade à sua cadeia de fornecimento com a instrução de que devem implementá-los ou ser registadas como não conformes. É legítimo questionar se o fornecedor, tipicamente uma PME, pode de forma realista e financeira replicar os protocolos de segurança dos seus clientes maiores.
E depois chega o duplo golpe. Entra o grande cliente número dois, com um volume semelhante de protocolos de conformidade, exceto que apenas são semelhantes, não idênticos aos do primeiro cliente. Para ilustrar, assumamos que o grande cliente número um insiste em crachás de segurança para o seu pessoal para controlar o acesso ao edifício, mas o grande cliente número dois insiste em segurança biométrica. Será mesmo expectável que implemente ambos para estar em conformidade com cada cliente? E depois esperar que o seu pessoal salte por todos esses obstáculos apenas para entrar no edifício?
Estou atualmente a rever vários contratos com mais de 40 páginas para garantir a conformidade POPI de vários dos nossos clientes de topo e posso confirmar que, para garantir a conformidade generalizada, não é de todo improvável que, por exemplo, possamos de facto precisar de instalar leitores de impressões digitais e de retina nos nossos escritórios para cumprir requisitos específicos de controlo de acesso prescritos. Ou que os nossos funcionários e consultores nunca possam levar os seus computadores portáteis para casa — e se o fizessem, teriam de ser transportados por uma empresa de segurança. Não tenho a certeza do que esses requisitos implicariam para o controlo de acesso e outras conformidades nas casas dos funcionários, nem para os smartphones, que tipicamente são propriedade dos funcionários e têm acesso pleno, graças à cloud, à maioria das informações disponíveis através de um computador portátil.
Isto parece ridículo, mas não é impossível com base na forma como o POPI está a ser implementado no terreno, e no facto de que, enquanto empresa, simplesmente não podemos abandonar os nossos maiores clientes. Também não podemos arriscar a não conformidade, onde as penalidades seriam um ponto de rutura para as PME. A multa por violação do POPI é de R10 milhões (cerca de GBP600 000), e talvez nos saiamos bem quando se considera que as multas por violação do GDPR são de EUR20 milhões (cerca de GBP18 milhões) ou 4% do volume de negócios global. Ai! Não conheço muitas PME que conseguissem lidar com isso! Além do custo e da praticabilidade, esses requisitos também vão contra as práticas de trabalho modernas, que permitem a colaboração, reduzem as distâncias e a necessidade de tempo e custos de deslocação. Refiro-me, naturalmente, às novas tecnologias que estão a entrar e a transformar o nosso ambiente de trabalho diário, como a videoconferência, a partilha de ecrãs e máquinas via web, e a possibilidade de reunir a melhor equipa, de qualquer parte do mundo, para trabalhar em projetos específicos. São exatamente o tipo de benefícios que as PME ágeis e os contratantes independentes oferecem às grandes empresas, e no entanto serão efetivamente proibidos pela abordagem das grandes empresas, «cinto e suspensórios», à implementação desta legislação.
Assim, embora concorde com a necessidade de segurança dos dados, tenho a sensação de que a abordagem legislativa é um passo em frente e dois passos atrás, e que erramos demasiado para o lado da proteção de dados individuais, em detrimento da construção dos nossos futuros digitais. Talvez precisemos de um pouco mais de bom senso e de pensamento voltado para o futuro quando abordamos estes desafios. O GDPR está a chegar, prepare-se para as consequências não intencionais da conformidade!
Tal como publicado no AccountinWeb – 8 de maio de 2018
https://www.accountingweb.co.uk/community/blogs/kevin-philips/gdpr-is-coming-lessons-from-the-south
#SME #GeneralDataProtectionRegulation #compliance #datasecurity #GDPR #SouthAfrica #EU #POPI