À medida que uma enorme quantidade de informações é criada diariamente no mundo dos negócios e que transita pelas redes públicas e privadas, os marcos regulatórios surgem para ajudar as organizações de vários setores a garantir os meios adequados para o manuseio das informações. Entre os principais destes padrões regulatórios da indústria global estão o SOX (Sarbanes Oxley), HIPAA Compliance, ISO 27001, PCI, Public Services Network, Export Control Compliance, Data Protection Act (DPA), Marco Civil da Internet, entre outras, além do GDPR (General Data Protection Regulation) que entra em vigor em 2018.
Por isso é necessário ter em mente vários fatores que contribuem para se garantir a proteção dos dados e, também, deve-se colocar em prática os mecanismos e processos que podem garantir que se conheça o nível de sensibilidade de uma informação, seu grau de confidencialidade e como ela poderá transitar dentro e fora da companhia.
Podemos listar um pequeno roteiro muito interessante para que os executivos de Segurança da Informação possam levar em conta na hora de se criar um plano de atendimento aos marcos regulatórios a partir do conceito Data Classification.
Vamos a ele:
Atenção e consciência
Todos os funcionários – do alto escalão até a base da companhia – precisam ser amplamente orientados e conscientizados da importância dos padrões regulatórios e do papel fundamental que todos têm perante as regras e como podem atuar no processamento dos dados;
Inventário e responsabilidade
As empresas devem fazer um inventário de todos os dados pessoais que possuem em sua rede e fazer as seguintes perguntas:
– Por que você está com elas? Como você as conseguiu? Por que e como foi originalmente guardada? Quanto tempo você irá mantê-las? Quão seguras elas estão, tanto em termos de criptografia quanto à acessibilidade? Você já as compartilhou com terceiros e em que base você poderia fazer este compartilhamento?
Comunicação
Todos os avisos e comunicados sobre coleta e privacidade de dados atuais dentro da companhia devem ser revistos. Identifique possíveis lacunas entre o nível de coleta de dados, seu processamento e o nível de conhecimento e consciência sobre o assunto. Isso vale para clientes, funcionários e usuários de serviços. Olhe para a cadeia de logística e veja quais ações estão sendo aplicadas para combinar o bom trabalho e se elas estão processando alguns de seus dados;
Proteger o direito de privacidade
Revise os procedimentos de proteção de todos os direitos e privilégios que os indivíduos possuem, incluindo como se poderia excluir dados pessoais ou fornecer dados eletronicamente para dentro e fora da companhia. O direito de ser esquecido, por exemplo, pode entrar em conflito com outros padrões regulatórios, como, por exemplo, os registros de RH de antigos funcionários. Então, identifique quais sistemas possam ter estes dados armazenados;
Os direitos de acesso mudam
Revise e atualize os procedimentos e planeje como os pedidos dentro dos novos prazos serão tratados. As mudanças nas regras de acesso podem acontecer em uma questão de tempo muito curto (talvez de um dia para o outro) e devem monitoradas e controladas;
Compreenda a lei regulatória ao pé da letra
Isso garante que as empresas possam analisar os vários tipos de processamento de dados que realizam, identificar as suas bases legais para realizá-lo e documentá-lo;
Consentimento controlado
As empresas que utilizam o consentimento do cliente ao registrar dados pessoais devem avaliar como o consentimento é solicitado, obtido e gravado. Qualquer alteração dever acompanhada;
Dados pessoais das crianças
As organizações que processam dados de menores de idade devem assegurar que regras e sistemas estejam em vigor para verificar as idades individuais e também reunir o consentimento dos pais e responsáveis;
Alertar sobre as brechas
As empresas devem assegurar que os procedimentos adequados estejam disponíveis para detectar, relatar e investigar uma violação de dados pessoais. Assuma sempre que uma violação pode acontecer em algum momento e saiba procedimento correto para alertar a autoridade nacional dentro dos limites de tempo e da legislação;
Data Protection Impact Assessments (DPIA)
O DPIA é o processo que considera sistematicamente o impacto potencial que um projeto ou iniciativa que pode ter sobre a privacidade de indivíduos. Conhecê-lo permite que as organizações identifiquem potenciais problemas de privacidade antes deles surgirem e que elas possam criar uma maneira de mitigá-los;
Contratar agentes de proteção de dados
O importante é garantir que alguém na organização ou um consultor externo de proteção de dados se responsabilize pela conformidade a partir da proteção de dados e que possa entender a responsabilidade de dentro para fora da organização;
Capacite as equipes sobre padrões regulatórios
O regulamento inclui uma disposição “one-stop-shop” – tudo em um só lugar – para auxiliar as organizações submetidas aos padrões regulatórios globais. As organizações multinacionais terão o direito de lidar com uma autoridade de proteção de dados, ou a Autoridade Supervisora Líder (LSA) como seu único órgão regulador no país onde elas são principalmente estabelecidas;
Assim como o novo GDPR, que afeta fortemente as organizações multinacionais, os demais marcos regulatórios impulsionam as empresas a adotarem políticas de proteção dos dados de seus clientes. Como visto nesta lista comentada, os administradores da segurança de dados devem debater com seus colegas os meios de colocá-la em pratica. Certamente, as novas tecnologias disponíveis podem ajustar neste processo.
* Jaime Muñoz é diretor para América Latina da Boldon James