GDPR – A Nova Legislação Européia Afeta Sua Empresa?

Regulamento Geral de Proteção de Dados da União Européia  (GDPR) entrará em pleno vigor em 25 de maio de 2018 e afeta qualquer empresa, em todo o mundo, que processe ou armazene dados pessoais de residentes da UE.

As novas regras concedem às pessoas mais direitos sobre como as empresas que  lidam com suas informações de identificação pessoal (PII) e impõe multas pesadas por incumprimento e violação de dados – até 4% da receita anual da empresa. O GDPR também exige que as empresas denunciem violações de dados dentro de uma janela de 72 horas.

Mesmo que você não faça negócios com a UE, é provável que o GDPR tenha impacto nos padrões de segurança globais no futuro.

Mesmo que você não faça negócios com a UE, é provável que o GDPR tenha impacto nos padrões de segurança globais no futuro. Consequentemente, as empresas que trabalham na UE ou com dados impactados pelo GDPR estão rapidamente tentando entrar em conformidade antes do limite de tempo. Para as equipes de segurança, isso significa certificar-se de que a PII está adequadamente protegida e que os processos de relatórios adequados estão no lugar.

Para o bem ou o mal, o GDPR não define controles de proteção de dados específicos que uma organização deve seguir. Cada organização tem permissão para determinar, por si só, os controles de segurança necessários para os dados coletados, confidencialidade e risco.

O que significa “dados pessoais” para o GDPR ?

A definição de dados pessoais no âmbito do GDPR é muito ampla, muito mais do que as proteções de dados pessoais atuais ou existentes de outros países. Inclui qualquer informação relacionada a um indivíduo específico, quer este seja privado, público ou de natureza profissional. Aplica-se não apenas a nomes, endereços e informações financeiras, mas qualquer coisa que possa identificar um indivíduo (por exemplo, endereços IP, IDs de logon, identificadores biométricos, dados de localização geográfica, imagens de vídeo, histórico de fidelização de clientes, postagens de mídia social e fotos). Se for identificável para um indivíduo específico, está incluído.

O impacto do GDPR significa que você não só terá que proteger mais tipos de dados no futuro, mas gastar mais esforços na identificação de dados existentes que talvez não tenham sido considerados PII antes. V

As empresas afetadas pelo GDPR precisarão identificar, da melhor possível, informações que não foram rastreadas ou indexadas antes. Por exemplo, uma chamada de suporte ao cliente gravada pode precisar estar localizada, protegida, rastreada e reportada.

 

Como o GDPR afeta a estrutura das equipes de segurança?

O GDPR define múltiplos papéis com regras e responsabilidades para cada função.

  • Data Subject – é um indivíduo cujos dados pessoais estão sendo coletados.
  • Data controller – é a organização que coleta os dados.
  • Processor – é uma organização que processa os dados em nome de um controlador de dados.

Os controladores e processadores devem manter registros escritos de quais dados foram coletados, como ele foi apropriadamente coletado, como ele foi usado e quando ele foi descartado.

Embora ótimo para o controle e privacidade dos Data Subjects, a maioria das empresas ainda não possuem esses tipos de sistemas de rastreamento de proteção de dados.

As equipes de segurança terão que proteger os dados não somente contra ameaças tradicionais, mas fazê-lo de forma transparente, documentada e recuperável para possivelmente um grande número de data subjects, ao mesmo tempo em que mantém uma forte segurança dos dados. Todo membro da equipe de segurança terá que ser treinado na conformidade do GDPR e o que significa para as organizações existentes e para futuros controles de segurança.

Muitas das empresas participantes, privadas e públicas, devem ter um oficial de proteção de dados (DPO). O DPO é uma figura chave, não só mantendo a conformidade legal com o GDPR, mas precisa de conhecimento técnico ou pessoal para garantir os dados e a continuidade do negócio. Espera-se que o DPO trabalhe de independente à organização que o emprega.

A posição DPO pode parecer natural para um CSO, e pode ser. Os CSOs certamente estão familiarizados com os requisitos e controles técnicos de segurança do computador, bem como com a interface com o gerenciamento superior. Mas um DPO deve ter uma forte compreensão dos requisitos de privacidade e conformidade, que geralmente é melhor entendido pelos Chief Privacy Officer  (CPO) ou outros defensores da privacidade.

Autoridade nacional de proteção de dados

Cada país participante da União Européia  (também conhecido como um estado membro) possui um Data Protection Authority  (DPA). Os DPAs são responsáveis ​​por determinar a conformidade e fazer cumprir leis relevantes a nível nacional, mas devem ser muito independentes, mesmo do próprio controle governamental de sua nação.

Os DPAs foram estabelecidos ao abrigo de uma legislação anterior de proteção de dados da UE, mas significativamente fortalecidos no âmbito do GDPR. Os DPAs são essencialmente os reguladores oficiais e a polícia no esquema GDPR. O DPA ajuda a decidir sobre assuntos de direito e pode investigar as empresas por potenciais violações e manter controladores ou processadores legalmente responsáveis ​​por violações de GDPR e avaliar penalidades. Também decide se uma entidade pode transferir dados para fora da UE e, em caso afirmativo, quais proteções devem ser aplicadas. Para uma determinada organização, é provável que o seu DPO seja o principal contato para o DPA e vice-versa. Devido às responsabilidades inerentes, tanto o DPO quanto, especialmente, o DPA, provavelmente serão compostos por equipes de pessoas e não por uma única pessoa.

As brechas de dados devem ser relatadas rapidamente

As violações de dados pessoais (incluindo roubo, perda de dados, destruição ou adulteração) devem ser relatadas imediatamente, ou pelo menos dentro de 72 horas, para o Data Protection Authority  (DPA). Os indivíduos impactados devem ser notificados se um impacto adverso for esperado. No entanto, se os dados estiverem corretamente criptografados ou anonimizados, e que a proteção final não tenha sido violada, os indivíduos não precisam ser notificados.

Como preparar

É desnecessário dizer que todos as empresas que coletam, armazenam e processam dados afetados pelo GDPR já devem estar aprendendo o básico do GDPR e o que sua empresa precisa fazer para se preparar.

Equipes de pessoas dedicadas à preparação e conformidade do GDPR devem ser formadas.

A empresa provavelmente deve criar um documento personalizado que apresenta como o GDPR afeta funcionários e clientes, destacando as áreas de preocupação e melhoria.

Os funcionários mais críticos devem ser treinados no GDPR e seus conhecimentos testados.

Se sua empresa precisa ter um oficial de conformidade de dados GDPR, nomeie alguém ou contrate.

Para o âmbito nacional, Brasileiro, devemos ter em conta todas as operações que possam envolver multinacionais ou cidadãos Europeus e realizar a devida verificação de necessidade de Compliance.

fonte: CSO Online by Roger A Grimes 

por MindSec  15/08/2017
About mindsecblog 277 Articles

Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.