O novo Regulamento Geral de Proteção de Dados (RGPD) entra em vigor esta sexta-feira em toda a UE. Portugal não vai cumprir o prazo de transposição do novo Regulamento, mas isso não impediu que a lógica do mercado começasse a produzir efeitos nos preços de hardware, software, consultoria ou apoio jurídico: «O mercado está inflacionadíssimo, porque há uma grande procura das empresas», refere Luís Vidigal, presidente da Associação para a Promoção e Desenvolvimento da Sociedade da Informação (APDSI). Sobre os orçamentos, o dirigente da APDSI avança com uma estimativa: «Para uma PME, o custo nunca fica a menos de 3000 euros… e já não estou a ter em conta as alterações de processos e fluxos de informação». Três mil euros podem ser uma realidade dura para uma PME, mas correspondem apenas a uma fração dos custo do RGPD para as maiores empresas: «A nossa experiência em clientes de média e grande dimensão permite-nos estimar esse esforço entre os 50 mil e os 500 mil euros. Este intervalo não considera outros investimentos adjacentes ao RGPD que as organizações decidam efetuar», explica João Frade, sócio que trabalha na Área de Risco da Deloitte.
A estimativa apresentada pelo responsável da Deloitte está em consonância com os valores apurados por um estudo representativo das 5000 maiores empresas a operar em Portugal, que levou a Microsoft e a IDC a concluírem que metade dos decisores nacionais prevê gastar mais de 50 mil euros na compra de equipamentos e aplicações, ou nas configurações necessárias para adaptar o tratamento de dados de profissionais e clientes.
A Exame Informática consultou outros peritos que, sob anonimato e em análises não muito detalhadas, apontaram para orçamentos que facilmente chegam aos 150 mil euros nas empresas de maior dimensão ou que tratam maiores volumes de informação.
João Frade recorda que os custos da adaptação ao RGPD podem registar uma grande variação consoante a «maturidade dos processos e sistemas de proteção de informação crítica de negócio». «Uma organização que tenha elevada maturidade na proteção de informação crítica terá mais condições para cumprir com o RGPD. Já uma organização com sistemas de informação muito complexos e dispersos, ou que processe muitos dados pessoais, terá necessariamente maiores custos de adaptação aos novos desafios», acrescenta o responsável da Deloitte por e-mail.
Sem métrica
Uma coisa é certa: não há propriamente uma métrica que se aplique a todos os casos e empresas – até porque uma empresa pode, no limite, ter um único profissional e lidar com dados sensíveis de milhões de pessoas, que obrigam a tomar medidas de segurança reforçadas. «O número de profissionais não é um fator determinante para a identificação de custos de infraestrutura. A tipologia de negócio ou o sector de atividade em que cada organização se centra, sim, constituem-se como peças fundamentais para identificar ou tentar perceber essa métrica», sublinha David Oliveira, Diretor da EY.
O RGPD pode ser menos exigente para empresas com menos de 250 profissionais, mas são outros os fatores de ordem prática que acabam por influenciar o custo final. Número de aplicações que tratam dados pessoas, processos e fluxos de informação, e total de pessoas e entidades externas que acedem aos dados podem fazer com que empresas de dimensão idêntica tenham custos bem diferentes na adoção do RGPD, recorda João Pinto dos Santos, diretor sénior da Accenture Digital, por e-mail: «uma empresa que vende a outras empresas e não a particulares, não tem práticas de marketing digital sofisticadas (apenas faz mailings diretos) e não tem acordos de partilha de informação com outras entidades tem o problema e o impacto bastante mais circunscrito. Já instituições com elevado número de clientes (bancos de retalho, grande distribuição) e práticas de marketing digital com elevadas quantidades de aplicações, manipulação de dados pessoais de centenas de milhar ou mesmo milhões de clientes e alguns acordos de partilha de informação, tem muitas áreas de impacto a resolver».
O responsável da Accenture Digital descreve a adesão ao RGPD como «forte», mas também ressalva que está a ser feita «tardiamente». Adivinham-se investimentos, não com as proporções do já longínquo bug do ano 2000 e num crescendo que poderá acelerar à medida que se aproxima a transposição do RGPD. «Em situações onde há maior obsolescência tecnológica, haverá lugar à adoção de novas soluções. Ou isso ou enfrentar o risco das fortes penalizações pelo incumprimento. Até no plano económico, a decisão não é difícil. Renovar é investir e potencia mais negócio. Gastar o dinheiro em multas é uma erosão de margem e imagem pública», conclui João Pinto dos Santos.
Da Deloitte, chegam igualmente descrições que confirmam que só nos últimos tempos, o tema terá merecido a atenção e os investimentos necessários: «Apesar do período de adaptação do regulamento concedido pelo legislador, a maioria das organizações começou a dar atenção ao tema no último ano ou semestre», refere João Frade.
Em contrapartida, David Oliveira recorda que o respeito pelo RGPD poderá não se ficar pela mera implementação de novas ferramentas. O responsável da EY recorda que, depois da implementação, há um segundo momento «no qual as empresas irão munir-se de ferramentas e sistemas que permitam cumprir com o regulamento de uma forma otimizada e eficaz para os objetivos principais da organização. Por este motivo, empresas que já iniciaram o processo há algum tempo poderão estar já nesta segunda fase, outras apenas mais tarde o irão fazer».
Luís Vidigal acredita que na maioria das grandes empresas «o TPC foi feito» tirando partido do trabalho que as maiores marcas de software foram fazendo nos últimos tempos, mas é bastante mais pessimista no que toca às PME que, em muitos casos, «ainda trabalham com os e-mails e as folhas de Excel». «Não há soluções baratas e rápidas para as PME», conclui.
