Maio de 2018. Lembro-me perfeitamente.
Estava numa reunião com o CEO de uma empresa de manutenção industrial em Braga. Quinze minutos a explicar o GDPR. A resposta dele? "Isso é para as grandes empresas. Nós somos pequenos, ninguém quer saber dos nossos dados."
Seis meses depois. Multa de 15.000 euros.
O crime? Enviar emails de marketing sem consentimento explícito. Mais: não conseguiu provar que tinha apagado os dados de um ex-cliente que pediu. O software que usavam simplesmente não tinha essa funcionalidade.
Quinze mil euros. Para uma PME, é a diferença entre lucro e prejuízo anual.
O GDPR Não É Um Bicho de Sete Cabeças (Mas Tem Dentes)
Vamos começar pelo básico, porque há muita confusão.
GDPR significa Regulamento Geral de Proteção de Dados. É lei europeia. Aplica-se a TODAS as empresas que processam dados pessoais. Sim, a vossa também.
"Mas nós só temos uma folha Excel com nomes e telefones!"
Exato. Isso são dados pessoais. Estão abrangidos.
Sabem o que mais são dados pessoais? O email joao.silva@gmail.com. O NIF no sistema de faturação. O endereço IP de quem visita o vosso site. A matrícula do carro no registo de entrada. Tudo.
E as multas? Vão até 20 milhões de euros ou 4% da faturação anual global. O que for maior.
Ainda acham que é só para as grandes empresas?
A Realidade das Multas em Portugal (Números Verdadeiros)
A CNPD (Comissão Nacional de Proteção de Dados) não brinca. Alguns casos reais:
- Hospital público: 400.000€ por acesso indevido a dados
- Empresa de telecomunicações: 75.000€ por marketing sem consentimento
- PME de serviços: 12.500€ por não ter contrato com processador de dados
- Microempresa: 4.000€ por não responder a pedido de acesso a dados
Notem: não é preciso haver um breach massivo. Basta não cumprir os básicos.
O Que Realmente Procurar Num Software SaaS
Esqueçam o marketing. "Somos 100% GDPR compliant!" Toda a gente diz isso.
Aqui está o que devem REALMENTE verificar:
1. Onde Estão Fisicamente os Dados?
Pergunta simples: "Em que país estão os servidores?"
Se a resposta for vaga tipo "na cloud", fujam. Se for "Estados Unidos", complica. Se for "União Europeia", bom começo.
Porquê? Dados na UE = proteção do GDPR. Dados fora = transferências internacionais = dor de cabeça legal.
Testem vocês mesmos. Façam traceroute ao domínio. Vejam onde param os dados. Ficaria surpresa com quantas empresas "portuguesas" têm dados em servidores americanos.
2. O Teste do "Delete Account"
Criem uma conta trial. Metam dados fictícios. Agora tentem apagar TUDO.
Conseguem? Em quanto tempo? Os dados desaparecem mesmo ou só ficam "inativos"?
História real: testei um software português famoso. Pedi para apagar a conta. Resposta: "Podemos desativar, mas os dados ficam por questões fiscais."
Questões fiscais? Faturas sim, têm de guardar. O resto? Não. É violação do GDPR.
3. A Questão dos Subprocessadores
O vosso software usa outros serviços? Claro que usa. Email transacional (SendGrid, Mailgun). Armazenamento (AWS, Google Cloud). Analytics (Google Analytics, Mixpanel).
Cada um destes é um subprocessador. Têm de estar listados. Têm de ser GDPR compliant também.
Perguntem: "Podem dar-me a lista completa de subprocessadores?"
Se hesitarem ou disserem que é confidencial, red flag imediata.
As Perguntas Que Os Vendedores Odeiam (Mas Têm de Responder)
Quando estiverem a avaliar software, façam estas perguntas. Por email. Queremos respostas escritas.
Pergunta 1: "Têm DPA (Data Processing Agreement) standard? Posso ver?"
O DPA é obrigatório. Define quem é responsável pelo quê. Se não têm, não são sérios.
Pergunta 2: "Como garantem a portabilidade dos dados?"
Têm de conseguir exportar TODOS os vossos dados. Em formato legível. Quando quiserem.
Pergunta 3: "Qual é o vosso procedimento em caso de breach?"
Resposta certa: "Notificamos em 24-48h, investigamos causa, tomamos medidas corretivas, informamos autoridades se necessário."
Resposta errada: "Nunca tivemos problemas."
Pergunta 4: "Têm seguro de responsabilidade civil para violações de dados?"
Isto separa amadores de profissionais. Seguro = levam segurança a sério.
Pergunta 5: "Fazem auditorias de segurança? Posso ver o último relatório?"
Pen-testing anual é o mínimo. Se não fazem, são um alvo fácil para hackers.
O Mito do "Nós Tratamos de Tudo"
Vendedor: "Não se preocupe, nós tratamos de tudo do GDPR!"
Mentira.
O GDPR tem responsabilidades partilhadas. Eles (processadores) têm as deles. Vocês (controladores) têm as vossas.
O Que É Vossa Responsabilidade (Sempre)
- Ter base legal para processar dados (consentimento, contrato, etc.)
- Informar os titulares sobre o que fazem com os dados
- Responder a pedidos (acesso, retificação, eliminação)
- Manter registos de atividades de processamento
- Garantir que fornecedores são compliant
Nenhum software faz isto por vocês. Podem facilitar, mas a responsabilidade é vossa.
Casos Reais: O Bom, o Mau e o Feio
O Bom: Empresa Que Fez Tudo Certo
Empresa de limpeza industrial, 30 funcionários. Escolheram software português, servidores em França, tudo documentado.
Cliente pediu todos os seus dados (direito de acesso). Responderam em 3 dias. Excel com tudo.
CNPD fez inspeção de rotina. Zero problemas. Até elogiaram.
O Mau: A Que Quase Correu Mal
Empresa de ar condicionado. Software americano "super seguro".
Problema: não perceberam que os backups iam para servidores nos EUA. Tecnicamente, transferência internacional ilegal.
Sorte: descobriram antes da CNPD. Mudaram de software. Custou 3.000€ em consultoria legal para remediar.
O Feio: O Desastre Total
Empresa de manutenção de elevadores. Software barato da China (sim, existe).
Breach. Dados de 500 clientes expostos. Incluindo NIFs e IBANs.
Não notificaram a tempo (têm 72h). Não tinham DPA. Não tinham nada.
Multa: 50.000€. Processos de clientes: 3. Reputação: destruída.
Fecharam 8 meses depois.
A Checklist Prática (Imprimam Isto)
Quando avaliarem software, verifiquem:
Localização:
- [ ] Servidores na UE
- [ ] Backups na UE
- [ ] Empresa tem representante na UE
Documentação:
- [ ] DPA disponível
- [ ] Política de privacidade clara
- [ ] Lista de subprocessadores
- [ ] Certificações (ISO 27001 é bonus)
Funcionalidades:
- [ ] Exportar todos os dados
- [ ] Apagar dados (verdadeiramente)
- [ ] Logs de auditoria
- [ ] Controlo de acessos granular
- [ ] Encriptação (mínimo TLS 1.2)
Suporte:
- [ ] Respondem em 48h
- [ ] Falam português
- [ ] Conhecem GDPR português
Red Flags (Fujam Se Virem Isto):
- "Guardamos dados para sempre por segurança"
- "Não precisam de se preocupar com GDPR"
- "Os nossos servidores são secretos por segurança"
- "Partilhamos dados com parceiros para melhorar o serviço"
- Termos de serviço só em inglês/chinês/outra língua
O Custo Real de Não Ser Compliant
Não são só as multas. É muito mais:
- Perda de clientes - Grandes empresas só trabalham com fornecedores compliant
- Custos legais - Advogados não são baratos
- Tempo perdido - Responder a inspeções demora semanas
- Reputação - Uma multa pública = anos a recuperar
- Stress - Não dormir a pensar se vão ser multados
Um software compliant custa mais 20-30€/mês? Custa. Vale a pena? Façam as contas.
Como Implementar Compliance (Sem Panicar)
Passo 1: Auditoria Básica (1 dia)
Listem:
- Que dados recolhem
- Onde os guardam
- Quem tem acesso
- Com quem partilham
Vão descobrir coisas assustadoras. Normal. É para isso que serve.
Passo 2: Escolher Software Certo (1 semana)
Usem a checklist acima. Testem 2-3 opções. Façam as perguntas difíceis.
Não tenham pressa. Mudar depois é um pesadelo.
Passo 3: Documentar Tudo (ongoing)
Criem pasta "GDPR" com:
- Contratos (DPAs)
- Políticas (privacidade, cookies)
- Registos (consentimentos, pedidos)
- Procedimentos (breach, pedidos dados)
Chato? Sim. Necessário? Absolutamente.
Passo 4: Formar Equipa (2 horas)
Toda a gente tem de saber:
- Não partilhar passwords
- Não enviar dados por email pessoal
- Reportar imediatamente problemas
- Pedir consentimento antes de recolher dados
Básico? Sim. Mas é o básico que falha.
A Verdade Sobre Fiscalização
A CNPD tem poucos recursos. Não andam a bater a todas as portas.
Mas...
80% das inspeções começam com denúncias. Cliente insatisfeito. Ex-funcionário. Concorrente.
Os outros 20%? Acidentes. Breach que se torna público. Notícia no jornal. Post viral no Facebook.
Ou seja: não é questão de se vão ser fiscalizados. É quando.
Conclusão: O Mínimo Que Devem Fazer
Se só retiverem três coisas deste artigo:
- Escolham software com servidores na UE e DPA
- Documentem tudo (chato mas salva-vos)
- Tratem dados dos outros como gostariam que tratassem os vossos
O GDPR não é um problema. É uma oportunidade. Oportunidade de serem profissionais. De transmitirem confiança. De se diferenciarem da concorrência que ainda anda no "deixa andar".
Num mundo onde dados são o novo petróleo, quem os protege melhor, ganha.
E sinceramente? Dormir descansado, sem medo da próxima inspeção, não tem preço.
Agora vão verificar onde estão os vossos dados. A sério. Agora.
Nota: Este artigo contém orientações gerais sobre GDPR baseadas na experiência prática com empresas portuguesas. Para situações específicas, consultem sempre um especialista em proteção de dados ou advogado especializado.