Em resposta a questões colocadas pela Lusa, as três empresas deram conta da sua experiência desde que entraram em vigor as novas regras.

"A aplicação do tratamento de dados pessoais ao abrigo do RGPD tem sido muito exigente", indicou fonte oficial da Brisa, destacando que "obrigou ao levantamento rigoroso das atividades de tratamento de dados pessoais realizados na empresa, com base no novo enquadramento jurídico, assente no princípio da autorregulação pela empresa do tratamento dos dados, ao invés do sistema vigente anteriormente de heterorregulação encabeçada pela CNPD [Comissão Nacional de Proteção de Dados]".

No caso da EDP, fonte oficial da empresa salientou que "o compromisso com a salvaguarda da privacidade e proteção de dados dos seus 'stakeholders', designadamente clientes, colaboradores e fornecedores, esteve sempre presente na estratégia de atuação do grupo".

O grupo EDP "deu início ao projeto de adequação ao RGPD no final de 2016, com o objetivo de assegurar que se encontravam inventariadas todas as atividades de tratamento realizadas e de avaliar e antecipar eventuais riscos associados a esses tratamentos, assegurando a implementação das medidas adequadas para os mitigar".

A elétrica ressalvou que "este processo de adequação envolveu diversas empresas, áreas de negócio e diferentes 'stakeholders'" (envolvidos).

Por sua vez, o encarregado de proteção de dados da Sonae SGPS, Pedro Cupertino Miranda, disse que "o respeito pelo tratamento dos dados pessoais é uma preocupação de longa data na Sonae" e que por isso, "o grupo iniciou o desenvolvimento de um conjunto de iniciativas relacionadas com a proteção de dados pessoais com o apoio de equipas multidisciplinares internas e externas muito antes da entrada em vigor do novo regulamento".

Esta foi uma "preocupação permanente e preparação prévia" que "permitiu ter os mecanismos e a documentação necessária atempadamente, assim como assegurar as respostas adequadas aos pedidos realizados pelos titulares dos dados pessoais".

A Brisa faz um balanço "positivo" da aplicação das normas, "na medida em que o RGPD -- e a sua implementação --, ao robustecer os mecanismos de proteção de dados pessoais, aumentou a consciência da sociedade -- empresas e titulares dos dados pessoais -- sobre a importância dos mesmos" e contribuiu "para a proteção da privacidade e da transparência".

A EDP tem uma opinião semelhante, falando de "um balanço claramente positivo" e assegurando que "a proteção de dados é um tema que se encontra muito assimilado no dia-a-dia do grupo" e que "é certo que se manterá como um elemento fundamental no exercício da atividade e estratégia da empresa".

Para a Sonae, o "balanço é positivo e demonstra a capacidade do grupo e das suas equipas de criar, implementar e evoluir em novos processos, com agilidade, de forma colaborativa e com o 'mindset' focado na proteção de dados pessoais".

O encarregado de proteção de dados do grupo da Maia referiu ainda que "é um exemplo de trabalho diário e com foco na melhoria contínua para garantir a existência de processos que, respeitando os direitos dos titulares dos dados, acrescentam valor aos diferentes 'stakeholders'".

A Brisa disse ainda que "a implementação do RGPD é um processo contínuo e complexo" e que a par da criação de novas funções", como a figura do encarregado de proteção de dados, "foi necessário criar processos e procedimentos, dar formação específica a todas as pessoas da empresa e, também, desenvolver ferramentas informáticas para dar suporte às necessidades inerentes à implementação do RGPD".

Para a EDP, com a entrada em vigor do RGPD, "foram atualizados os normativos internos, os processos e os documentos informativos, nomeadamente no que respeita à recolha de consentimentos", tendo ainda procedido "ao robustecimento dos contratos com prestadores de serviços" e reforçado "ações de formação e sensibilização dos colaboradores", bem como disponibilizado "canais e equipas dedicadas à gestão e resposta a pedidos de exercício de direitos e ao tratamento de reclamações".

No caso da Sonae, "além de potenciar os processos de negócio e reforçar as medidas técnicas e organizativas existentes, foram desenvolvidos novos processos, nomeadas e reforçadas equipas com responsabilidade de garantir conformidade com a lei, e criada inclusive uma equipa dedicada à monitorização de todos os processos de proteção de dados", referiu o mesmo responsável.

A Brisa realçou que "em cada atividade que envolva o tratamento dos dados pessoais foi renovada e reforçada a análise na perspetiva da proteção da privacidade e dos dados pessoais dos titulares, nomeadamente com a realização de avaliações de impacto e registos" e que "em ações de comunicação, 'marketing', gestão de 'sites', 'apps' [aplicações], entre outras, tem de ser feita uma análise atenta e rigorosa para se assegurar o cumprimento dos princípios e normas".

Além disso, "passou a haver uma grande preocupação em assegurar o rastreio das reclamações e do exercício de direitos reconhecidos pelo RGPD, por parte dos titulares dos dados pessoais, de forma a terem uma resposta atempada", assegurando que "as garantias da segurança da informação, sejam dados pessoais ou outros, sempre foram para a Brisa uma preocupação fundamental e assim continuará a ser".

A EDP realçou também a nomeação do "encarregado de proteção de dados, figura que não existia anteriormente, e a criação de procedimentos para assegurar a identificação e registo de novas atividades de tratamento e a comunicação de incidentes, por exemplo".

No que diz respeito a queixas, a Brisa registou algumas "relacionadas com a receção de comunicações não solicitadas", sendo que a EDP recebeu "muitas questões relacionadas com novos documentos informativos ou pedidos de consentimento que haviam sido remetidos aos clientes e outros titulares".

Leia Também: Comunicações. Mais de 2.250 clientes apoiados entre julho e março