O Regulamento Geral de Proteção de Dados (“RGPD”), que passou a ser aplicável a partir de 25 de maio de 2018, é um dos temas incluído na agenda das organizações no último ano, embora, a sua maioria (em particular as PME e o sector público), ainda se encontrem atrasadas na sua implementação.
O RGPD vem mudar o “paradigma” existente, ao estabelecer um “princípio de responsabilidade”, em que as organizações passam a ter um papel proativo na interpretação e aplicação das regras de proteção de dados pessoais, sob pena de, em caso de incumprimento, ficarem sujeitas a pesadas coimas, que podem atingir os 20 milhões de euros ou 4% do volume de negócios anual do grupo, consoante o mais elevado.
Se a sua organização pertence àquela maioria, que ainda está atrasada na implementação do RGPD, eis as principais “dicas” que precisa de saber para começar a pôr “mãos à obra”. Poderá também consultar o kit de sobrevivência da Macedo Vitorino & Associados, disponível em «MVData», que o ajudará a identificar os riscos e a implementar o RGPD.
Não terá de ser necessariamente uma tarefa complexa, mas exigirá alguma paciência, um profundo conhecimento da organização, acompanhado por uma partilha de tarefas e de repartição de responsabilidades, para já não falar de uma mudança de práticas instituídas e de mentalidades.
Assim:
1. Identifique que dados são recolhidos e utilizados pela sua organização
Comece por “mapear” os dados recolhidos e utilizados pela sua organização e depois agrupá-los em conjuntos identificáveis, funcionais e com riscos similares ao nível da sua proteção e conservação, tendo em conta: (i) as categorias de dados, por exemplo, dados de identificação, dados de faturação, dados de saúde, etc.; (ii) a finalidade de tratamento, por exemplo, gestão de recursos humanos, marketing, etc.; (iii) o prazo de conservação; (iv) o âmbito geográfico do tratamento; (v) quem tem acesso aos dados e com quem são partilhados; (vi) as medidas de segurança em curso.
2. Reveja os seus procedimentos, políticas, contratos e outra documentação relevante
Reveja a sua política de privacidade, ou seja, o documento pelo qual informa os titulares dos dados de como são recolhidos e utilizados os seus dados pela sua organização.
Se o tratamento está a ser realizado porque obteve um prévio consentimento do titular dos dados, deverá confirmar se esse consentimento se mantem válido e se será capaz de o demonstrar. O consentimento deve ser livre, específico, informado e corresponder a uma clara ação afirmativa do titular dos dados (oral ou escrita). Em caso de tratamento de dados sensíveis ou também designados por “categorias especiais de dados” (por exemplo, dados relativos à saúde, dados genéticos, biométricos, convicções políticas, religião, orientação sexual) ou transferência de dados para fora da UE, o consentimento tem de ser explícito. O silêncio, opções pré-validadas ou a omissão do titular dos dados não constituem consentimento.
Tenha ainda em atenção que o consentimento é apenas um dos fundamentos que permitem justificar o tratamento de dados (ou de determinados dados), mas podem existir outros fundamentos, por exemplo, se o tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte ou para diligências pré-contratuais a pedido do titular dos dados, ou se for necessário para efeito do interesse legítimo prosseguido pela organização. Se assim for, não precisa de obter o prévio consentimento. Sabia, por exemplo, que o RGPD permite que o tratamento realizado para fins de marketing direto poderá, em determinados casos, ser justificado pelo interesse legítimo da organização, e desde que seja assegurado o direito de a qualquer momento o titular dos dados se opor a receber comunicações para essa finalidade.
Se a sua organização recorre a entidades subcontratadas para, por sua conta e segundo as suas instruções, tratarem dados pessoais (por exemplo, recurso a uma empresa externa de contabilidade, de medicina do trabalho, de informática, de arquivo, de segurança privada), deverá atualizar o seu acordo com essas entidades. Esse acordo tem de ser escrito e incorporar a nova terminologia e obrigações impostas pelo RGPD.
3. Tenha em conta os direitos dos titulares dos dados e adote procedimentos que permitam o exercício desses direitos
Por forma a promover uma relação de lealdade e transparência entre a organização e os titulares dos dados, os denominados direitos “ARCO” (acesso, retificação, cancelamento e oposição) dos titulares dos dados são reforçados pelo RGPD, em particular pelo direito à informação, “direito à portabilidade” e “direito a ser esquecido”.
O RGPD vem impor que a organização informe/dê acesso, a pedido dos titulares dos dados, às atividades de tratamento dos seus dados e isto de forma gratuita e no prazo de um mês, bem como que o titular dos dados receba os dados pessoais, que tenha fornecido, num formato estruturado, de uso corrente e de leitura automática, e possa solicitar que os seus dados sejam transmitidos, de forma gratuita, a outra organização. Pense-se, por exemplo, no caso de mudança de operador de comunicações, de instituição bancária.
A sua organização deverá ainda assegurar-se que consegue cumprir e/ou cumpre com o “direito a ser esquecido”, o direito de a pedido do titular proceder ao apagamento dos seus dados pessoais, sem demora injustificada, e abster-se de qualquer disseminação futura dos dados.
4. Adote medidas e políticas internas que cumpram os requisitos de proteção “desde a conceção” e proteção “por defeito”
A “proteção desde a conceção” requer que a organização aplique, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, medidas técnicas e organizativas adequadas destinadas a aplicar com eficácia os princípios da proteção de dados e a incluir garantias necessárias no tratamento (por exemplo, pseudonimização, encriptação dos dados).
Já a “proteção por defeito” requer que a sua organização implemente medidas técnicas e organizativas adequadas destinadas a assegurar que, por defeito, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento (incluindo, a quantidade de dados pessoais recolhidos, a extensão do seu tratamento, o seu prazo de conservação e a sua acessibilidade).
As organizações devem determinar, de forma casuística, as medidas adequadas para fazer cumprir estes requisitos. Um procedimento de certificação aprovado pode ser utilizado como forma de garantir o cumprimento das exigências da proteção “desde a conceção” e da proteção “por defeito”.
5. Assegure-se que consegue demonstrar que está a cumprir o RGPD
O RGPD impõe que as organizações criem e mantenham um registo das atividades de tratamento se:
- Tiverem mais de 250 trabalhadores;
- O tratamento de dados for suscetível de implicar um risco para os direitos do titular dos dados e o tratamento não for ocasional; ou
- Os tratamentos incluam dados sensíveis ou dados relativos a condenações penais e infrações.
Os registos devem ser escritos e incluir informação sobre os tratamentos de dados efetuados, incluindo os contactos do responsável pelo tratamento e do encarregado de proteção de dados, as finalidades de tratamento, as categorias de dados, os seus destinatários, transferências internacionais de dados e medidas de segurança. Deverá cooperar com a autoridade de controlo e disponibilizar os seus registos, se necessário.
6. Adapte os seus procedimentos por forma a realizar uma avaliação de impacto do tratamento de dados
A avaliação de impacto sobre a proteção de dados tem por objetivo avaliar a origem, natureza, exatidão e gravidade dos riscos e implementar medidas de segurança para os mitigar, como é o caso da encriptação, e assegurar um nível de segurança apropriado.
A avaliação de impacto das operações de tratamento de dados será exigível se os tratamentos forem suscetíveis de implicar um risco elevado para os seus titulares, nomeadamente, nos casos de definição de perfis, tratamento de dados sensíveis em grande escala ou recurso a sistemas de videovigilância em grande escala.
Caso não consiga mitigar o risco elevado através de medidas apropriadas face à tecnologia existente e custos de implementação, deverá consultar a autoridade de controlo (a Comissão Nacional de Proteção de dados, em Portugal) antes de proceder ao tratamento de dados pessoais.
7. Deverá verificar se cumpre os requisitos para ser obrigatório designar um Encarregado de Proteção de Dados (“DPO”) e de que forma esta função se enquadrará no seio da sua organização
A designação de um DPO não se encontra ligada à dimensão da organização, mas sim à sua atividade principal e categorias de dados tratados. O RGPD impõe a designação de um DPO, que poderá ser um colaborador ou uma entidade ou pessoa externa à sua organização, em três casos específicos:
- Quando o tratamento for efetuado por uma autoridade ou organismo público (exceto tribunais);
- Quando as atividades principais da organização ou do subcontratado a recorra consistam em operações de tratamento que exijam um controlo sistemático e regular dos titulares dos dados em grande escala. Por exemplo, serviços de telecomunicações, concessão de crédito a clientes, seguradoras; ou
- Quando as atividades principais da organização ou do subcontratado a que recorra consistam em operações de tratamento em grande escala de dados sensíveis (dados genéticos, dados biométricos, dados de saúde) ou dados pessoais relacionados com condenações penais e infrações. Por exemplo, tratamento de dados relativos à saúde de pacientes por hospitais.
Mesmo quando não seja obrigatório, poderá ser aconselhável designar um DPO por forma a centralizar as questões de proteção de dados e facilitar o cumprimento do RGPD pela sua organização.
8. Reveja e atualize as medidas de segurança do tratamento e implemente um procedimento de notificação em caso de violação de dados pessoais
A sua organização deverá estar preparada para: (i) confirmar que todas as medidas de segurança técnicas e organizativas adequadas foram adotadas para prevenir uma violação de dados pessoais; (ii) ser capaz de determinar, de forma imediata, que ocorreu uma violação de dados; e (iii) informar, em tempo útil, a autoridade de controlo e o titular dos dados, se necessário.
Em caso de violação de dados pessoais, deverá adotar procedimentos por forma a notificar a violação à autoridade de controlo, sempre que possível, até 72 horas após seu conhecimento, a menos que seja possível demonstrar que a violação de dados pessoais não é suscetível de resultar num risco para os direitos dos titulares dos dados. Também deverá informar o titular dos dados, sem demora injustificada (o RGPD não prevê um prazo específico para o efeito), quando a violação seja suscetível de implicar um elevado risco para os direitos do titular dos dados, e em cooperação com a autoridade de controlo.
9. Reveja o impacto sobre as transferências internacionais de dados
A par das soluções existentes, como as “cláusulas contratuais-tipo” e o consentimento do titular, prevêem-se ainda novas soluções para justificar as transferências transfronteiriças, por exemplo, regras vinculativas aplicáveis a entidades de um grupo empresarial, que realizem entre si transferências de dados; códigos de conduta acompanhados de compromissos vinculativos das organizações no país terceiro no sentido de aplicarem as garantias adequadas, ou a criação de procedimentos de certificação.
Transferências de dados não repetitivas e que apenas digam respeito a um número limitado de titulares de dados poderão ser, em situações excecionais, justificadas, mediante notificação à autoridade de supervisão e prestação de informação ao titular dos dados.
10. Assegure-se que os seus colaboradores estão conscientes das implicações do RGPD e têm formação sobre as novas regras
Esta medida aparece, em último lugar, mas também poderia aparecer em primeiro ou, na verdade, em qualquer uma das posições anteriores. Trata-se de uma medida transversal e necessária à implementação do RGPD ao longo do tempo e essencial para a consciencialização sobre o tema e uma progressiva mudança de mentalidades no seio das organizações.
Nas conferências dedicadas ao tema sobre o RGPD em que tenho tido a oportunidade de participar e, portanto, num contexto propício à troca de cartões de visita, tem havido uma questão que tem merecido particular interesse (obviamente, entre outras), que é a de saber que destino estará reservado aos cartões de visita a partir de 25 de maio de 2018.
Se tivermos em conta os exigentes requisitos do RGPD em matéria de consentimento do titular dos dados (ou seja, da pessoa a quem os dados dizem respeito), diremos, à partida, que uma mera troca de cartões de visita não cumprirá esses requisitos. Para ser válido ao abrigo do RGPD, o consentimento deverá traduzir-se num ato positivo claro, que indique uma manifestação de vontade livre, específica, informada e inequívoca. O consentimento poderá ser prestado por declaração escrita ou oral, mas já não será válido o silêncio ou a omissão.
Dito isto, até se poderia pensar que bastaria passar a incluir-se uma declaração escrita de consentimento nos cartões de visita ou até, no limite, dar um consentimento verbal no momento da troca de cartões. Todavia, não é bem assim. Para além de inverosímil (e até de certa forma, caricato), poderiam ainda colocar-se outras questões, nomeadamente, quanto à prova do consentimento e do direito à informação dos titulares dos dados que, no momento da recolha dos dados, devem ser informados sobre diversos aspetos do tratamento dos seus dados.
Se uma declaração escrita de consentimento incluída num cartão de visita ou até, no limite, uma gravação de voz do consentimento e uma remissão no cartão de visita para a política de privacidade poderiam, em teoria, resolver aquelas questões (o que ainda assim tenho as minhas dúvidas), não deixaria, a meu ver, de existir um obstáculo (quase) intransponível: a realidade, pois, não é verosímil que, no contexto de um evento ou de uma reunião, se coloquem, em prática, tais soluções.
Salvo melhor opinião, o consentimento não constitui o fundamento (mais) adequado para justificar o tratamento de dados pessoais no âmbito dos cartões de visita. Isto não significa, porém, que os cartões de visita passem a estar “em vias de extinção” com o RGPD. O consentimento não é o único fundamento para o tratamento dos dados. Os interesses legítimos de quem determina as finalidades e os meios de tratamento (ou seja, dos “responsáveis pelo tratamento”), ou de terceiros, também constituem fundamento para o tratamento.
A troca de cartões de visita poderá, assim, ser justificada, pelo interesse legítimo em situações como aquela em que o titular dos dados seja cliente ou esteja ao serviço do responsável pelo tratamento. Mas mesmo fora desses casos, será possível, dependendo dos casos, justificar, de forma razoável, que os dados dos cartões de visita possam ser tratados ao abrigo de um interesse legítimo.
Não só quanto aos cartões de visita, mas em geral, a existência de um interesse legítimo requer uma avaliação cuidada, em particular de saber se o titular dos dados pode razoavelmente prever, no momento e no contexto em que os dados pessoais são recolhidos, que esses poderão vir a ser tratados com essa finalidade. Imaginemos, por exemplo, uma reunião entre um representante de uma empresa, que é acompanhado pelo seu advogado, e uma entidade reguladora, tendo em vista a discussão de uma determinada questão de âmbito regulatório, e na qual os diversos intervenientes trocam cartões de visita. A meu ver, não deixará de ser legítimo que o advogado a quem o colaborador da entidade reguladora deu o seu cartão de visita venha, mais tarde, a contactá-lo no sentido de vir a esclarecer uma questão futura sobre um assunto regulatório para o mesmo ou outro cliente. Nesta situação, o que já não seria legítimo é que os dados do cartão de visita fossem utilizados para, a partir daí, ser enviada publicidade sobre produtos ou serviços pela empresa sua cliente.
Salvo melhor opinião, e sob pena de se negar a realidade, e como dizia o jurista francês GEORGES RIPERT “Quando o Direito ignora a realidade, a realidade vinga-se ignorando o Direito”, a resposta a esta questão só poderá ser uma: com sensibilidade e bom-senso, os cartões de visita poderão ser justificados pelo interesse legítimo à luz do RGPD.
Artigo de opinião sobre o «Why Portugal» publicado na Forbes
Em 2011, quando Portugal pediu ajuda internacional, um sócio de um escritório de advogados americano apostava comigo que até 2013 Portugal sairia do Euro. A perceção em Portugal e no estrangeiro de que Portugal teria uma queda abrupta no PIB era generalizada. Os investidores fugiram de Portugal. Na altura como hoje, as notícias sobre a situação portuguesa eram muito exageradas.
Quando comparado com os seus congéneres europeus, Portugal oferece boas condições para a atração de investidores. Em geral, em Portugal e na Europa encontram-se condições legais, políticas e económicas impares quando comparadas com a de outros continentes. A União Europeia é um dos maiores mercados do mundo, é sofisticado, desenvolvido e inovador. As condições políticas são as melhores do mundo para o desenvolvimento económico. Os valores democráticos prevalecem. O Estado de Direito, o «rule of law», é uma pedra angular da vida na Europa. Só vivendo noutras partes do mundo se tem a noção de que a Europa é e será nas próximas décadas um local privilegiado para viver e investir.
Portugal beneficia da sua participação na União Europeia, não apenas pelo acesso ao mercado europeu, mas também por funcionar num modelo de organização política, económica e legal comum aos 28 países da União Europeia. As idiossincrasias nacionais não apagam o legado europeu. As especificidades de Portugal são, em muitos casos, uma agradável surpresas.
Nos últimos anos, o turismo redescobriu um Portugal para além do Algarve, do sol e das praias. Os estrangeiros começaram a afluir a Lisboa e Porto, descobriram o Alentejo, o centro e o norte. Descobriram a riqueza da história que ficou para além das descobertas, e talvez por causa das descobertas. A arquitetura, a arte, as belezas naturais mais variadas. Redescobriram a gastronomia, a nossa «joie de vivre» sempre misturada com um certo pessimismo em relação às instituições e ao Estado, pintados de cores mais escuras do que a própria realidade e um certo «nacionalismo» bacoco que ultrapassou a ditadura e continua a promover valores e pessoas para mais além do justificável. Amália e Eusébio deixaram-nos. Hoje promovem-se Ronaldo, Mourinho como ícones nacionais.
Mas há muito mais Portugal para além de Fátima, Futebol e Fado.
Em 2013, quando o pior da crise ainda não tinha passado, a Macedo Vitorino & Associados criou um projeto designado «WHY PORTUGAL – The Case for Investing in Portugal», que visava e visa dar a conhecer os resultados dos relatórios de instituições internacionais como o Banco Mundial, Fórum Económico Mundial e Comissão Europeia. Os resultados foram uma surpresa agradável. Os relatórios internacionais que analisámos mostram que Portugal pode competir com os demais países da Europa na atração de investimento. O Relatório do Banco Mundial, «Doing Business 2018», relatório de referência para os investidores internacionais, coloca Portugal no 29.º lugar no mundo, 13.º da Europa, como local mais atrativo para fazer negócios. Portugal está à frente de outros países do sul e leste da Europa, normalmente considerados pelos investidores como localizações alternativas a Portugal.
De acordo com o «Global Competitiveness Report 2017/2018», publicado pelo Fórum Económico Mundial, a legislação laboral portuguesa é significativamente menos rígida do que a de vários outros países europeus, muito embora continue a ser mais rígida do que a dos países de referência.
De acordo com os dados da European Trade Union Institute, calculado como uma média anual entre os anos de 2010 a 2016, o número de dias de trabalho perdidos em conflitos laborais por cada 1.000 trabalhadores foi de apenas 15, um número inferior ao que se verifica na média dos restantes países europeus.
Os demais indicadores dão a Portugal uma posição muito razoável como se pode ler na edição deste ano do «Why Portugal 2018». As instituições públicas e privadas podem e devem fazer muito mais, mas parte do caminho está feito.
Já agora, segundo o Telegraph, Lisboa é a segunda capital europeia com mais horas de sol; a primeira é La Valetta, capital de Malta.
O Regulamento Geral de Proteção de Dados (“RGPD”) constitui, sem dúvida, um dos grandes desafios que se colocarão às organizações e às suas administrações durante o ano de 2018. Em bom rigor, este não deveria ser o ano para uma tomada de decisão sobre a matéria. Esta decisão já deveria ter sido, na verdade, adotada, pelo menos, em 2017, pois, o RGPD já se encontra em vigor desde maio de 2016, embora só seja aplicável a partir de 25 maio deste ano. Este período adaptação de dois anos, embora necessário, poderá vir a ter um efeito perverso, ao promover o adiar de uma decisão que se afigura inevitável, e poderá contribuir para o atraso da implementação do RGPD.
Esta situação explica-se, em primeira linha, pela falta de consciência e sensibilização sobre o tema e, por efeito cascata, pelo desconhecimento do perfil de risco de cada organização, cuja identificação implica um autoconhecimento profundo e interdisciplinaridade, nem sempre fáceis de conseguir, principalmente em estruturas que não têm uma visão de conjunto e integrada, que é essencial ter nesta matéria.
Por outro lado, existe a questão (sempre presente) dos custos associados e cuja relevância, em muitos casos, não é reconhecida pelas administrações. Como convencê-los então da importância da matéria e a adotarem as medidas necessárias para superarem este desafio, que não é apenas tecnológico, mas sistémico.
Antes de mais, as organizações passam a ter um papel ativo na aplicação do RGPD, sendo responsáveis pelo seu cumprimento e por comprová-lo. Para ajudar as organizações e, em particular, os seus quadros de gestão superior, o RGPD introduz a figura do Encarregado de Proteção de Dados. Apesar de a sua designação não ser obrigatória para todos os casos, a verdade é que se tornará crucial que as organizações designem uma ou várias pessoas, fornecendo-lhe os recursos humanos, tecnológicos e a formação necessários para assegurar a conformidade com o RGPD.
Estamos, portanto, a falar de uma questão de “responsabilidade” (“accountability”), que competirá à administração, antes de mais, garantir, assim como caberá, em caso de violação de dados pessoais, à administração responder pelas elevadas coimas, que podem ir até 20 milhões de euros ou 4% do volume de negócios anual, a nível mundial, junto dos seus acionistas, colaboradores, clientes, fornecedores, e gerir os danos, incluindo danos reputacionais, para a organização.
As pesadas coimas impostas têm evidentemente constituído um dos principais argumentos para persuadir as administrações. Não deveria ser só assim, mas a verdade é que, neste curto prazo, que resta, não se conseguirá fazer em dois meses, o que não foi feito em dois anos e, em particular, alterar mentalidades enraizadas no seio das organizações. Para este efeito, até o prazo de adaptação de dois anos poderá ser um prazo ambicioso.
Leia o artigo completo no PDF.
Pois bem… Com o presente e décimo artigo, chegamos então ao fim desta série de mini-textos sobre Networking, que em conjunto com o Dinheiro Vivo me propus desenvolver e que tentaram traduzir de forma sintética mas pressupostamente sistematizada, alguns pensamentos estratégicos e operacionais sobre o tema em apreço.
Que me recorde, foi a primeira vez que um título de comunicação social assumiu a iniciativa pioneira de abordar e tratar este tema, sobre o qual, apenas de alguns anos a esta parte a comunidade começou a encarar de uma forma não apenas empírica e intuitiva, mas como uma sub-disciplina da Gestão que começa a dar os seus primeiros passos.
A importância dos relacionamentos e da sua gestão terá, na minha modesta opinião, uma importância cada vez maior nas próximas décadas no mundo profissional e dos negócios.
Não é por acaso que também a importância que é atribuída ao espaço do conhecimento e tratamento da inteligência emocional é cada vez maior. Por uma questão de simplificação de processos no enquadramento do tema, aceitemos a simples sugestão dos autores Salovey e Mayer para a definição da inteligência emocional como “a capacidade de perceber e exprimir a emoção, assimilá-la ao pensamento, compreender e raciocinar com ela, e saber regulá-la em si próprio e nos outros".
Ora, uma das grandes “novidades” que a Websummit 2017 nos trouxe e que o Dinheiro Vivo de forma assídua e presente nos foi dando eco ao longo dos vários dias do evento, foi o tema da inteligência artificial e dos seus magníficos avanços.
Se aceitarmos como bons e exequíveis alguns dos cenários que os especialistas nesta área nos trouxeram a Lisboa, acredito que o Homem tenderá cada vez mais a diferenciar-se não (só) pelo que sabe mas talvez (e principalmente) como/de que forma/com quem/com quantos se irá relacionar com os demais.
Ora se existe área de actuação onde uma boa rede de networking é também fundamental para, fazendo a diferença, causar impacto e onde todos os conceitos anteriormente expostos ao longo dos nove anteriores artigos, é exactamente o espaço de relacionamento com os Media.
Todos os agentes económicos que, como eu, de uma forma ou de outra têm de se relacionar com os profissionais da comunicação social precisam e carecem de compreender que existem algumas regras muito simples e básicas que devem ser seguidas e que sem as quais dificilmente se poderá construir uma relação saudável.
Com efeito e enquanto Advogado/Consultor tive a “sorte” de, em particular nos últimos 10/12 anos na área desportiva e financeira, cruzar-me com alguns temas e ou clientes que pela sua enorme notoriedade e/ou mediatismo, obrigaram-me a melhor compreender e gerir as relações com alguns profissionais dos Media, os quais de forma expressa ou tácita muito me ensinaram sobre o que fazer e não fazer. Palavras e conceitos como “confiança”, “credibilidade”, “verdade”, “relação interessada” e/ou “proposta de valor” tão usados ao longo desta série de artigos têm absoluta importância e cabal aplicação neste universo de relacionamento.
Para não nos repetirmos, bastará uma rápida leitura dos ditos textos sobre networking aqui desenvolvidos e o exercício mental de como os aplicar no relacionamento com os profissionais dos Media será quase óbvio, lógico, racional e intuitivo.
Por último, termino como uma citação de Jay Abraham que poderá inspirar-vos e ajudar-vos ainda mais na criação e desenvolvimento do vosso networking:
“Ninguém nunca terá sucesso sem ajudar os outros”.
O cidadão comum, durante o seu dia a dia, assume por diversas vezes o papel de Contribuinte: quer seja no IVA que paga ao pequeno-almoço, nas portagens que paga a caminho do trabalho, ou no IMI (e agora também no AIMI) que paga pela casa onde regressa ao final do dia.
Todavia, o nível de compromisso do Contribuinte com o Estado não vai ficar por aqui.
Com a criação do serviço público de notificações eletrónicas e da morada única digital, as notificações efetuadas para o domicílio fiscal eletrónico do Contribuinte consideram-se efetuadas no quinto dia posterior à sua disponibilização.
Ou seja, a lei vem presumir que o Contribuinte viu a notificação 5 dias depois de a receber através do serviço público de notificações eletrónicas (o sítio da Internet ou a aplicação móvel disponibilizada para o efeito) diminuindo o anterior período de 25 dias para as notificações feitas através da caixa postal eletrónica.
E interessa que tenha ou não visto a notificação? Muito pouco.
Para que se afaste esta presunção, o Contribuinte terá que provar que não viu a notificação por causa que não lhe seja imputável. Ou seja, terá que provar que não viu, não por que não quis, mas sim porque não pôde.
Nos dias da era digital, esta prova pode ser bastante complicada – não é fácil alegar que se estava num sítio sem rede e sem acesso à Internet.
Mas esses sítios, para nosso bem, ainda existem. O que não pode existir é uma obrigação implícita que force o Contribuinte a estar constantemente sob vigilância, sob pena de não saber, por um lado, que existe um processo não judicial iniciado contra si e, por outro, que está a decorrer o prazo que tem para se defender desse mesmo processo.
Porque o que está aqui em causa é precisamente o momento a partir do qual se começa a contar o prazo que o Contribuinte tem para exercer a sua defesa. Não queremos, contudo, afastar definitivamente toda e qualquer presunção de notificação, sob pena de impossibilitar a comunicação e agilização dos processos tributários.
Todavia, é necessário ponderar qual a importância de um processo tributário mais célere e qual a importância das garantias de defesa do Contribuinte – ponderação que só em abstrato pode parecer difícil, uma vez que as garantias do Contribuinte perante a Administração são de tal importância que estão consagradas na Constituição da República Portuguesa.
Não podem restar dúvidas de que, perante uma Administração Tributária dotada de todos os poderes que goza um órgão da administração do Estado, se deve dar prevalência à defesa do Contribuinte que, reiteramos, não tem de estar contactável a tempo inteiro.
A solução pode originar casos perfeitamente absurdos: alguém que sofre um acidente de viação no dia em que recebe uma notificação e fica internado durante uma semana, quando sair do hospital, vai deparar-se com um prazo de defesa com menos dois dias. E o Contribuinte, além de se preocupar com a sua recuperação, terá também de se preocupar em afastar a presunção de notificação.
Mas não podemos perder de vista que a presunção é uma criação legislativa que permite ao órgão que aplica o Direito conhecer aquilo que, de outro modo, não conheceria. E, como todas as criações, tem de ser razoável e ponderada, sob pena de cairmos num mundo de perfeita fantasia, onde só um Super-Contribuinte poderia exercer atempadamente os seus direitos.
No artigo anterior tentámos elaborar uma curta lista de dez sugestões que poderão, no nosso entender, ajudar à criação e dinamização de uma boa rede de networking.
A última dessas dez sugestões traduzia-se na criação de algo que designámos como a criação de uma “proposta de valor” para os contactos/propostas que estabelecemos na nossa rede de relacionamentos, importando para a nossa temática aqui em tratamento nos últimos meses, um conceito relativamente usual no léxico económico-financeiro dos tempos mais recentes.
Se corrermos rapidamente a web ou alguns livros de autores com obra feita nesta área, vemos que para entendermos o conceito de uma “proposta de valor” basicamente ela é descrita como a forma pela qual alguma entidade, singular ou colectiva, apresenta e define o seu diferencial no mercado. No fundo, a forma pela qual o autor e sujeito activo dessa mesma proposta se destaca de todos os demais concorrentes que participam desse mesmo mercado… no limite, aquilo que a torna única e por via disso, (mais) valiosa.
Ora, se ao longo destas reflexões que temos vindo aqui a sistematizar no Dinheiro Vivo, assumimos a necessidade absoluta de termos uma abordagem interessada à nossa rede, com investimento de tempo e conhecimento, em que a criação de uma estratégia pessoal e personalizada é fundamental, entendemos como absolutamente crucial a imperatividade de conseguir identificar e criar uma proposta de valor em cada uma das abordagens que iniciamos e/ou desenvolvemos com a nossa rede de networking.
Como escrevemos no artigo do mês passado, nas abordagens e/ou activações da nossa rede de relacionamentos haverá sempre que antecipadamente pensar na criação dessa de valor dessa proposta, ou seja, na apreciação antecipada e equilibradamente conjugada da relação entre as minhas necessidades/desejos e os daqueles que fazem parte da minha rede.
Sabemos que quanto mais elevado é o perfil do alvo da nossa abordagem, quanto mais restrito é o seu acesso e/ou tempo, mais cuidado e labor devemos colocar na elaboração da nossa proposta. Fazer a abordagem certa é meio caminho para o sucesso da mesma e ela implica com toda a certeza a inclusão de algum tipo de valor acrescentado, diferenciado e/ou original para o seu destinatário.
Recupera-se aqui o que se escreveu em Março do corrente ano no terceiro desta compilação de artigos em que alertámos para a ideia de que “…o desenvolvimento efectivo e funcional de uma boa estratégia pessoal para a criação de uma boa rede de networking tem de partir de uma correcta e honesta análise da situação pessoal, profissional, social e até familiar de cada um de nós, assim como dos objectivos ambiciosos mas realistas que desejamos alcançar.”
Ora, se naquele momento de partida de construção de uma rede necessitamos dessa tarefa introspectiva, aquando da criação da fase da elaboração da proposta de valor o processo carece de olhar para o receptor da mesma e (tentar) perceber:
- O que necessita?
- O que gosta?
- O que pretende?
- Como posso ajudar e/ou ser útil?
- Onde posso fazer diferença para melhor?
Estas são as perguntas de uma análise extrospectiva para as quais cada um de nós tem de estar apto a responder e assim conseguir entregar o máximo resultado possível… quanto mais o fizermos mais próximo do sucesso estará a nossa proposta de abordagem, porque ela será munida de valor.
Se compararmos o Regulamento Geral de Proteção de Dados (“RGPD”) com a atual Lei de Proteção de Dados Pessoais parecem não existir alterações significativas ao nível dos princípios de proteção de dados. Os conceitos, os princípios fundamentais a que devem obedecer os tratamentos de dados e os respetivos fundamentos de licitude permanecem intocáveis.
As alterações, essas sim significativas, verificam-se ao nível das regras do jogo e da operacionalização desses princípios e com um impacto relevante no dia-a-dia das organizações, independentemente da sua dimensão, área de negócio e/ou setor de atividade.
A questão da proteção dos dados pessoais não surge direta e necessariamente relacionada com a dimensão da empresa, a sua área de negócio, e/ou o respetivo setor de atividade, o que não significa que não existam setores de atividade sujeitos a um escrutínio mais rigoroso, como as áreas da saúde, financeira, seguros, comunicações eletrónicas, retalho.
Todas as empresas, que, no exercício da sua atividade tratem dados pessoais estarão sujeitas às novas exigências do RGPD. Difícil será dizer aquelas que não ficarão sujeitas, se é que este exercício é possível de ser feito!
O ponto de partida é, sem dúvida, saber quais são as novas regras e os procedimentos que as organizações terão de adotar para cumprir com as novas exigências a partir de 25 de maio de 2018.
De entre as alterações introduzidas, destacaria uma, que considero central, e com um forte impacto ao nível da dinâmica das organizações: a alteração do modelo de regulação.
O atual modelo de regulação é um modelo de hétero-regulação, em que as empresas estão obrigadas a notificar ou obter autorização da Comissão Nacional de Proteção de Dados para o tratamento de dados. Com a entrada em vigor do RGPD, o modelo de regulação passará a ser um modelo de autorregulação, ou seja, as organizações passam a ser responsáveis pela interpretação e operacionalização do RGPD, bem como por assegurar, de forma contínua, o cumprimento do RGPD e ficando sujeitas a fiscalização e supervisão da autoridade de supervisão. Uma avaliação prévia do impacto será apenas obrigatória nos casos em que exista um elevado risco para os direitos, liberdades e garantias dos cidadãos.
É, por isso, fundamental que as empresas, que realizem tratamentos de dados pessoais, comecem por perceber qual é o seu perfil de risco, o que implicará um autoconhecimento profundo da organização, exercício a partir do qual devem avaliar o que deve ser feito para se prepararem para o RGPD.
Na data de hoje, se olharmos para realidade portuguesa, conseguimos distinguir, em termos de preparação para o que aí vem, diferentes níveis de maturidade.
Segundo o estudo da KPMG de março de 2017, as empresas portuguesas estão atrasadas na implementação do RGPD. De um universo de 101 empresas participantes no estudo, 85% afirmaram que ainda não tinham iniciado um processo de implementação de medidas efetivas, ainda que 65% tivessem mencionado possuir um grau de consciência médio ou alto sobre o impacto do RGPD.
Acreditamos que, a mais de seis meses da elaboração deste estudo, este cenário se tenha alterado, embora não muito significativamente.
Pela nossa experiência, há empresas, em particular empresas que atuam em setores regulados e filiais portuguesas de grandes empresas estrangeiras, que se encontram num nível mais avançado com iniciativas de implementação do RGPD; o restante universo, sobretudo as PME’s e o setor público, encontra-se, porém, num nível ainda embrionário, que varia entre o desconhecimento e/ou o desinteresse face às novas regras e o receio do aproximar da data de entrada em vigor do RGPD, e sem que um plano definido de ação tenha ainda sido traçado.
No plano das medidas a adotar, é preciso ter consciência que não há uma solução universal, que possa ser indistintamente aplicável a todas as organizações e que estas terão de se preparar, não apenas tendo em vista a data de início de vigência do RGPD, mas de uma forma contínua. O que está em causa é, sem dúvida, um processo contínuo de adaptação das organizações ao RGPD e que obrigará as empresas a reverem a forma como lidam com o tratamento de dados pessoais hoje e no futuro. É caso para dizer que há mais vida para além de 25 de maio de 2018…
€44.891,82. Quarenta e cinco mil euros, números redondos: multa aplicada a uma empresa por atraso no pagamento dos salários. (Porque além de justa causa para o trabalhador rescindir o contrato, as retribuições em mora são matéria contraordenacional).
Provado que, por faltar aos pagamentos, a empresa impediu os trabalhadores de organizar a sua vida pessoal e familiar, fazer face às despesas e honrar compromissos; provado que, no ano anterior, o volume de negócios foi de € 7.742.204,00; o Tribunal do Trabalho, confirmado pela Relação de Évora e pelo S.T.J., reconheceu justa causa aos trabalhadores para cessarem os contratos e, em 2015, a empresa ofereceu uma garantia bancária e os ordenados foram pagos.
Mas ficou também provado que o não pagamento foi motivado por uma diminuição da procura de bens e serviços comercializados pela empresa e pela falta de liquidez decorrente dos cortes na concessão de crédito bancário e da falta de pagamentos por parte dos clientes; provou-se que, em 30 anos, o não pagamento de salários foi inédito; que a empresa tentou renegociar a dívida com parceiros financeiros, celebrou acordos de cessação de contratos de trabalho (adequando a estrutura de pessoal à realidade financeira) e que os trabalhadores foram várias vezes informados acerca da situação e das medidas adotadas para a tentar resolver.
Por tudo isto, dia no passado dia 28 de abril de 2017, o Tribunal da Relação de Évora decidiu que “não é culposo o comportamento da empregadora consistente em não pagar atempadamente a retribuição aos trabalhadores, desde que tal seja devido à sua situação económica e financeira difícil e o seu comportamento, em concreto, seja transparente e de boa-fé, e não um mero pretexto para protelar o pagamento”. Este Acórdão vem, de certo modo, romper com a jurisprudência que nos últimos anos tem decidido que, verificada que esteja materialmente a infração contraordenacional e conhecida que seja a proibição do ato, se pode concluir que houve culpa (pelos menos, negligência).
A noção de “culpa” nas contraordenações laborais tem sido amplamente debatida: discute-se se se assemelha à “culpa” do processo penal/ até que ponto se exige a concretização do elemento subjetivo do tipo uma vez verificado o ato, atendendo ao dever de conhecer a lei e ao facto de a negligência ser aqui sempre punível. Embora com exceções, a grande maioria dos Tribunais tem entendido que o ilícito de mera ordenação social se reveste de neutralidade ética, que há pouca ou nenhuma relevância axiológica nas condutas que consubstanciam contraordenações e que, por isso, a verificação da culpa não deve assemelhar-se à jurídico-penal, baseada numa censura ética, mas apenas à imputação de um facto à responsabilidade social do autor. É, assim, que muitos Tribunais têm decidido condenar o agente que, no momento em que atua, tem conhecimento de que está a fazê-lo ilicitamente e, ainda assim, o faz por vontade própria. Ou seja: nas contraordenações, muitas vezes, para se ser “culpado”, basta ter praticado o ato proibido, consciente da respetiva proibição. Desde que a decisão mencione os elementos subjetivos do tipo, (para que não se alegue ter sido violado o seu direito de defesa), fácil se torna imputar o ilícito a um agente. E é por isso que os Desembargadores surpreendem: não por discordarmos da decisão, mas pela exigência que a mesma revela ao decidir da (inexistência de) culpa, por parte da empresa infratora.
Após a programada pausa de férias do mês de Agosto, entramos agora na recta final da série do total dos dez artigos preparados para o Dinheiro Vivo sobre o tema do Networking. Desta forma e no cumprimento do antecipadamente planeado, cabe ao presente capitulo tentar ser o mais prático e objectivo de todos, naquilo que de concreto e em termos de ideias com vista à criação de uma boa rede de relacionamentos, diz respeito.
Com certeza que as sugestões abaixo propostas não pretendem ser uma lista completa e exaustiva do que pode e deve ser levado a cabo com vista à prossecução do supra referido, mas apenas um conjunto de propostas que devem ser lidas e encaradas no enquadramento estratégico exposto nos nossos artigos anteriores.
Assim sendo, aqui ficam 10 pequenos contributos:
- Retomar “velhos” contactos – Alguns princípios básicos de marketing, dizem-nos (ainda que de forma não pacífica) que o custo de busca de um novo cliente é na maioria das vezes superior à reconquista/fidelização de um actual. Ora se, aplicarmos isto à criação de uma rede de contactos, podemos imaginar que por vezes é mais fácil retomar o contacto com antigos amigos, colegas, parceiros, vizinhos, clientes, fornecedores, etc do que tentar criar um relacionamento com um novo.
- Actualizar as bases de dados – De forma complementar à sugestão anterior, é fundamental ir acompanhando a evolução social, familiar, profissional e económica da sua rede de contactos. Só assim saberá a cada momento quem “activar” ou que mensagem/ ”proposta de valor” apresentar para alcançar os seus objectivos.
- Investir tempo no relacionamento – Parece uma frase retirada de um manual de terapia de casal, mas não… está mesmo relacionada com a gestão e criação de redes de networking. Não faça o contacto só quando precisa de ‘vender’ algum produto, serviço ou ideia. Seja interessado, sincero e altruísta no relacionamento.
- Disponibilizar-se para contactar e ser contactado – Obviamente que esta ideia está intimamente ligada à anterior apesar de não se confundirem. Pelo contrário, pela sua simplicidade, complementa-a.
- Diversificar contactos – Variar os seus contactos por áreas de interesse, geografias e/ou sectores profissionais pode ajudar a potenciar a sua rede de relacionamentos. Por vezes, quando ficamos muito fechados no nosso círculo de amigos e colegas de profissão acabamos por reduzir e minimizar o potencial da nossa rede. Igual preceito, poderemos aplicar aos locais que assiduamente frequentamos ou ao convívio com aqueles que unicamente partilham dos nossos gostos e/ou hobbies.
- Participar em actividades associativas e seminários/congressos – O nosso envolvimento em grupos desportivos, culturais, políticos e/ou associativos, seja nos seus órgãos sociais ou tão somente na organização de um determinado evento e/ou tarefa, pode ser uma (boa) forma de conhecer mais e melhores pessoas, assim como um mecanismo de darmos a conhecer as nossas (melhores) qualidades profissionais e/ou emocionais, processos de liderança e/ou colaboração, entre outras. De igual forma a participação em seminários, congressos, palestras é também um exemplo prático, simples e relativamente imediato de aumentar a nossa rede de contactos ainda que devamos evitar a “mecanização” da simples troca/entrega de cartões de visita, conforme já foi referido em artigos anteriores.
- Especialização numa determinada área académica/profissional – Dominar de forma profunda um determinado ramo de conhecimento cientifico e/ou profissional é um modelo extremamente eficiente de facilmente poder alavancar a sua rede de relacionamentos, na medida em que tal facilitará (e muito…) o destaque da sua pessoa (recordo aqui o conceito da “superconexão” tratado no nosso VI artigo. Contudo, sabemos que poderá não estar ao acesso de todos. Estando, nunca deixe de aproveitar tal estímulo!!!
- Partilhe informação e conhecimento – Independentemente de ser ou não um especialista em determinada área académica ou sector profissional, partilhar algum do seu conhecimento, do que faz na sua actividade e/ou do que pensa fazer, poderá ajudar a dinamizar a sua rede de relacionamento assim como publicitar as suas capacidades e características distintivas.
- Personalização do trabalho em rede é fundamental – Nunca envie mensagens pré-concebidas ou robotizadas. Erro crasso!! A personalização das suas mensagens, emails, posts e de restantes formas de comunicação é fundamental para uma boa gestão da rede de relacionamentos.
- “Proposta de valor” – Concluo esta pequena lista de dez sugestões com algo que pretendo desenvolver mais concretamente num dos artigos dos próximos meses… Nas abordagens e/ou activações da nossa rede de relacionamentos haverá sempre que antecipadamente pensar na criação de uma “proposta de valor”, ou seja na apreciação antecipada e equilibradamente conjugada da relação entre as minhas necessidades/desejos e os daqueles que fazem parte da minha rede de networking.