GDPR em vigor: última chamada para adequação

Para atender à regulamentação é provável a empresa precise fazer mudanças radicais na forma que coleta, armazena e gerencia os dados recebidos

Compartilhar:

Com a GDPR em vigor, agora cabe às empresas que processam, manipulam ou armazenam dados de cidadãos ou residentes da União Europeia, submeter-se às regras de compliance disposta no GDPR. Aliada a essa necessidade, também cabe uma dose a mais de atenção já que que os dados obtidos circulam rapidamente dentro das empresas e a probabilidade de se perderem no meio do caminho é imensa.

 

Será que sua empresa está adequada?

 

Para atender ao GDPR é provável sua empresa deva ter feito mudanças radicais na forma com que coletam, armazenam e gerenciam os dados recebidos. Se a empresa ainda não se adequou, abaixo seguem algumas dicas.

 

De pronto temos o DPO (Data Protection Oficer), figura que surge a partir da adequação à norma. Trata-se de uma pessoa cuja atribuição é garantir (num contexto de olvidar esforços, aconselhar e instruir) a conformidade da empresa com o GDPR, supervisionando e instruindo acerca das obrigações descritas no regulamento.

 

Esta pessoa será o elo entre a norma e a efetiva implementação e, dentre suas inúmeras atribuições estão:

 

– Criação de uma política de tratamento de dados;

 

– Criação de comunicados internos conscientizando a todos sobre a privacidade dos dados obtidos;

 

– Elaboração de um plano que vise procedimentos que garantam a efetiva proteção dos dados que estão em posse e, isto inclui a manipulação e a manutenção adequado dos dados recebidos, garantindo o correto armazenamento e sua rastreabilidade.

 

Ou seja, ele será o responsável por “assegurar” o cumprimento da norma que será refletida nas documentações elaboradas.

 

Vale lembrar que a obrigatoriedade descrita no GDPR, no que concerne a ter um DPO, está atrelada a três situações específicas. No entanto, não impede que as demais empresas o tenham (pelo contrário, tê-lo será um diferencial):

 

i.          Quando o tratamento dos dados for efetuado por uma autoridade ou entidade pública (com exceção dos tribunais);

 

ii.         Quando as principais atividades de tratamento do responsável ou do subcontratante consistir na monitorização regular e sistemática dos titulares dos dados em grande escala (como por exemplo, os grandes operadores de dados na internet, motores de busca, redes sociais), ou;

 

iii.        Quando as principais atividades do responsável ou do subcontratante consistirem no tratamento em grande escala de dados pessoais sensíveis e dados relativos a condenações penais e contra ordenações (são exemplos desta categoria os hospitais, as instituições financeiras e as seguradoras).

 

Além disso, sua empresa terá que dispor de:

 

1.         Uma equipe de privacidade interna: esta equipe abrangerá desde o time de TI até a equipe de legal, compliance, RH, compras e etc;

 

2.         Uma política de classificação dos dados:  esta etapa é fundamental para que sua empresa possa entender quais dados estão sendo recebidos, qual o propósito de sua utilização, onde estão sendo armazenados e para onde estão sendo enviados, pois com esses dados em mãos sua empresa poderá traçar uma política de segurança adequada, além de ser fundamental para corrigir a política existente.

 

Todos os dados devem ser rastreados. Portanto, uma busca nos possíveis locais por onde eles passarão será fundamental, devendo tal busca iniciar a partir porta de entrada desses dados até o seu repouso absoluto.

 

3.         Proteção dos Dados:  este é de fato o “coração” do GDPR. Nesta etapa sua empresa deverá envidar todos os esforços para que haja uma POLÍTICA DE SEGURANÇA adequada, de modo que sejam mitigadas quaisquer violações, devendo:

 

a.         Automatizar o tratamento especial de informações com políticas de dados padrão como, por exemplo, controle de acesso, segurança, criptografia e retenção.

 

b.         Possibilitar a transferência e a eliminação de dados pessoais de todas as fontes de dados.

 

c.         Constatar e excluir reproduções de dados pessoais prescindíveis.

 

d.         Manter uma tutela de tais dados, de modo a possibilitar que estes sejam auditáveis (fornecendo rotas de auditoria para todos os consentimentos de dados, pedidos e ações corretivas e etc).

 

Estar ciente sobre as possíveis ameaças, sobretudo num contexto de vazamento de dados e atuar de forma rápida e precisa, será capital para sua empresa, pois detectar uma intrusão, como um  ransomware, por exemplo, poderá ditar a continuidade da operação de sua empresa, ou o prejuízo que esta terá em virtude de tal vazamento, tanto num contexto de pagamento de multa, quanto num contexto de perda de negócio.

 

* Cristiane Santana é especialista jurídica em Segurança da Arcon

 

Conteúdos Relacionados

Security Report | Overview

Threat Intel detecta vazamento de dados de 250 mil brasileiros no setor bancário

ZenoX detectou vazamento de dados na dark web e especialistas destacam medidas práticas de como evitar danos e proteger informações...
Security Report | Overview

Consumo no fim de ano aumenta urgência por Cibersegurança uniformizada, diz pesquisa

Com a chegada de uma das datas mais movimentadas do comércio, especialista alerta para os riscos de ataque e mostra...
Security Report | Overview

Como os riscos de Cyber podem ameaçar finanças e reputação na Black Friday?

A ameaça de danos financeiros e reputacionais torna a segurança cibernética robusta não apenas uma necessidade técnica, mas um imperativo...
Security Report | Overview

Estudo detecta crescimento de 95% dos ciberataques no Brasil

Relatório da Check Point Research registrou cerca de 2766 ataques digitais semanalmente no Brasil