GDPR: mais que um mal necessário

Faculdade de Educação Tecnológica do Estado do Rio de Janeiro

GDPR: mais que um mal necessário

Empresas prontas para adotar o regulamento terão a oportunidade de fazer mais do que apenas aprimorar a proteção de dados, mas também implementar uma abordagem mais ética para o tratamento das informações

Por:Neil Thacker

Enfim, o GDPR -Regulamento Geral sobre Proteção de Dados em português – chegou! No último dia 25 de maio, a nova legislação que regula, controla e protege os dados de cidadãos da União Europeia entrou em vigor, provocando ações e a criação de processos de segurança em empresas de todo o mundo. Até então era difícil encontrar negócios com 100% de adesão e compatíveis com todos os requisitos estabelecidos na norma. Dessa forma, as empresas devem encarar o GDPR como o início de uma nova era de cuidado com as informações e precisam estar prontas para atender a conformidade de hoje e do futuro; e não apenas fazer reparos paliativos para esconder as imperfeições do passado.

As orientações que acompanham a nova norma vão evoluir ao longo do tempo, portanto as empresas precisam estar preparadas para acompanhar outras mudanças nos padrões de proteção de dados e também para se informar, aprender, se adaptar e adotar as melhores práticas de proteção de dados. Os primeiros seis meses após a data de aplicação serão os mais críticos.

A Governança de Dados e o Due Diligence devem ser aliados nesse momento. A implementação desses pontos não deve ser responsabilidade apenas da equipe de TI ou da área jurídica, mas de toda a organização. Será necessário definir quais e como os dados estão sendo usados para assim identificar o que está sendo feito incorretamente e o que pode atrapalhar os processos.

Todas as atividades de processamento de dados pessoais devem ser registradas, gerenciadas e atualizadas frequentemente, tarefa significativa no mundo atual da nuvem. Esse é um requisito essencial do GDPR. É claro que o erro humano no processamento de dados continuará acontecendo, mas a maneira de eliminar isso é automatizar a manutenção desse registro sempre que possível. Dessa forma, consegue-se criar uma regra para como os dados são coletados, processados e retidos com segurança até o momento de serem destruídos.

No caso de dados pessoais serem roubados ou mal utilizados, o relato da violação deve ser feito dentro de 72 horas para as autoridades responsáveis. Dependendo da complexidade das informações, será necessário informar a várias autoridades e isso pode ser ainda mais complicado se a violação afetar os negócios em vários países. Há muita coisa em jogo, de reputação a prejuízo financeiro, por isso é imperativo notificar a violação e ter um gerenciamento de respostas correto e ágil. É altamente provável que o erro humano e o uso inadequado dos dados sejam as principais causas de roubo de informações, o que significa que a educação deve ser contínua, particularmente em áreas como segurança na nuvem.

Ao invés de simplesmente ver o GDPR como um mal necessário, deve-se perceber que há valor a ser obtido com a aproximação do regulamento da UE. As empresas prontas para adotar o regulamento terão a oportunidade de fazer mais do que apenas aprimorar a proteção de dados, mas também implementar uma abordagem mais ética para o tratamento das informações.

Além disso, no futuro, o GDPR abrirá novas oportunidades de negócio. Um sistema de classificação poderia ser implementado, por exemplo, em que os clientes e acionistas pudessem analisar o quanto as empresas estão preparadas para proteger os dados. Uma iniciativa como essa proporcionaria um impulso adicional às organizações não apenas para controlar seus padrões, mas também para buscar inovações em proteção de dados que possam realmente ser utilizadas para viabilizar e desenvolver negócios.

No Brasil

Para o Brasil novidades devem chegar em breve. O Projeto de Lei 4060/12 foi aprovado pela Câmara dos Deputados em 29 de maio, logo após a entrada em vigor da GDPR. A norma prevê regulamentar dados pessoais, tanto pelo poder público quanto pela iniciativa privada. Aliás, o projeto já está sendo chamado de “GDPR brasileira” e também terá sanções no caso de descumprimento com multa de 4% no faturamento da empresa, com limitação a R$ 50 milhões. A PL está agora em avaliação pelo Senado.

*Neil Thacker é CISO EMEA na Netskope

Fonte: Computer World

Texto Original:
http://computerworld.com.br/gdpr-mais-que-um-mal-necessario