Quase um terço das organizações ainda não está preparado para o GDPR

Quase um terço das organizações ainda não está preparado para o GDPR. À medida que o Reino Unido e outros estados implementam o GDPR da UE, muitas organizações admitem que ainda não estão totalmente em conformidade, mas a maioria afirma poder responder aos pedidos de acesso aos dados.

Cerca de 28% das organizações não se sentem totalmente em conformidade com o Regulamento Geral de Proteção de Dados da UE (GDPR), revelou pesquisa da Imperva.

O Reino Unido foi um dos primeiros países a introduzir a legislação de proteção de dados alinhada com GDPR, portante é provável que qualquer organização que não seja totalmente compatível com GDPR também não esteja totalmente em conformidade com a Lei de Proteção de Dados do Reino Unido – “UK Data Protection Act 2018”

Quase um quinto dos entrevistados não estão confiantes de que passariam em sua primeira auditoria do GDPR, De acordo com a pesquisa realizada pela empresa de segurança Imperva realizada entre os participantes da Infosecurity Europe em Londres, quase duas semanas depois do prazo de 25 de maio dados pela GDPR.

Menos da metade disseram estar muito confiantes de que passariam na auditoria e pouco mais de um terço disseram que estavam um pouco confiantes.

O prazo chegou e se foi, mas o estudo mostra que muitas organizações não têm certeza de que alcançaram a conformidade com o GDPR“, disse Terry Ray, diretor de tecnologia da Imperva.

Qualquer empresa que tenha colocado o GDPR em dia no último minuto, agora percebe que a conformidade não pode ser feita da noite para o dia. Não me surpreende que muitas organizações se sintam inseguras sobre a ideia de uma auditoria GDPR. A verdade é que muitos falharão “.

Para avaliar a capacidade das organizações de responder a pedidos de titulares de dados que exercem direitos de dados pessoais no âmbito do GDPR, a pesquisa perguntou se os entrevistados sabiam onde todos os dados pessoais residem em seus sistemas.

Enquanto mais de um terço dos entrevistados disseram que sabiam a localização dos dados, mais da metade disseram que precisariam de mais três meses para colocar a casa em ordem.

Por outro lado, quase 90% disseram que poderiam facilmente responder às solicitações de indivíduos que pedem para divulgar as informações que detêm sobre eles, com 57% dizendo que sua organização já havia recebido tal pedido.

No entanto, a notificação de violação de dados é outra área importante que precisa de atenção, de acordo com Stewart Room, líder em proteção de dados da PwC no Reino Unido.

O primeiro mês após o prazo do GDPR revelou a extensão das organizações que não estão adequadamente preparadas para a divulgação de violações de dados, com algumas organizações sem procedimentos e processos, disse Stewart Room a Computer Weekly.

Apesar de ter um período de carência de dois anos até 25 de maio de 2018 para se preparar para o GDPR, muitas organizações disseram não ter amadurecido seus processos de notificação de violação de dados durante esse período.

O Stats não surpreende

Tony Richards, CISO do grupo Falanx Group, disse que as descobertas da pesquisa não surpreenderam em relação ao status das empresas em relação ao cumprimento do GDPR.

As organizações parecem bastante polarizadas no GDPR, com muitas empresas, especialmente PMEs (pequenas e médias empresas), ou ignorando-as, ou comprando alguns pacotes básicos de políticas propagadas por ‘especialistas em GDPR’ e pensando que estão cobertasPor outro lado, você tem organizações que usam consultores qualificados ou investem internamente para garantir que estejam em conformidade.”

Eu acho que se resume a saber se a organização, culturalmente, é centrada no cliente e, portanto, eles vêem valor na proteção da privacidade de seus clientes, ou se eles vêem isso como um problema de ‘compliance’ com um mínimo a ser feito, e é tudo.

Além do Reino Unido, outros pioneiros a consagrar os princípios do GDPR na legislação nacional de proteção de dados incluem França, Espanha, Romênia e Hungria, de acordo com um relatório da Privacy Laws & Business (PL&B).

A lei de proteção de dados da França, foi adotada em 20 de junho e publicada em 21 de Junho, a proposta legislativa da Roménia para a Implementação do GDDR foi adotado em 27 de junho e entrou em vigor em 31 de julho e em 17 de Julho, o Parlamento da Hungria aprovou uma legislação nacional que complementa o GDPR. Foi agora publicado e entrará em vigor em um mês.

Regulação urgente

Na Espanha, no entanto, devido a uma mudança de governo, a nova lei de proteção de dados ainda está em espera. Na primeira semana de agosto, o governo aprovou um regulamento urgente que nomeia a autoridade nacional de proteção de dados da Espanha (Data Protection Authority – DPA) como sua representante no Conselho Europeu de Proteção de Dados.

O regulamento também prevê um regime transitório para os procedimentos de execução atualmente em curso e os acordos de processamento de dados atualmente em vigor.

A Comissão Européia (European Commission – EC) começou a enviar cartas de advertência para os países membros que estão caminhando muito devagar para a implementação do GDPR, de acordo com o PL&B.

Em última análise, a EC pode encaminhar os Estados membros para o Tribunal de Justiça da UE, solicitando que as sanções financeiras sejam aplicadas, disse o relatório.

 

fonte: Computer Wekly

 

Veja também:

Sobre mindsecblog 1767 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!