Dia internacional da Proteção de Dados e as obrigações impostas pelo GDPR da União Europeia às empresas brasileiras

O Dia Internacional da Proteção de Dados, comemorado em 28 de janeiro, é um bom momento para reforçar com todos os colaboradores o papel de cada um no processo continuo de segurança da informação. No final de 2017, a Dell Technologies elencou oito previsões para este ano, a partir das lideranças das empresas que integram o grupo – entre as quais estão a RSA, Dell, Dell EMC, Pivotal, VMware, SecureWorks e Virtustream – e incluiu os desafios de segurança como um dos pontos que merecem maior atenção por parte das empresas, devido ao uso de sistemas altamente interconectados.

Empresas que operam ou fazem negócios com os países da União Europeia também terão que se adequar ao “Regulamento Geral de Proteção de Dados” ou GDPR (General Data Protection Regulation), e às mudanças que este importante regulamento – que entra em vigor a partir de maio de 2018 – irá gerar.

Não são somente as empresas da União Europeia que estão submetidas às exigências do GDPR. Quem tem uma empresa no Brasil, ou em qualquer outro lugar do mundo, que armazene ou gerencie informação de identificação pessoal – como nomes, endereços de e-mail, entre outros – também será obrigado a cumprir com tais normas. Caso não o faça, estará sujeito a penalidades.

O GDPR autoriza aplicação de multas de até 20 milhões de euros, ou 4% do total das vendas mundiais de uma empresa, independentemente de seu tamanho. Esses números, além de impactantes, podem causar danos irreparáveis à reputação do negócio.

E como estar em conformidade com a lei? Não é tão simples e tampouco barato. O GDPR parte do princípio que os dados relacionados especificamente a uma pessoa pertencem a esta pessoa, e não à organização que os criou, que retém ou os processa.

Para as organizações, isso significa obter uma permissão explícita para reter a informação pessoal de alguém, limitando seu uso ao contexto em que outorgou a permissão. O proprietário dos dados deve ter a possibilidade de revisar, corrigir, exportar e eliminar este dados quando desejar. A empresa deve, ainda, garantir que sejam mantidos salvos e protegidos do uso indevido por parte de seus empregados e terceiros.

Em termos gerais, o GDPR requer uma revisão completa de processos de gerenciamento de dados. Implica em localizar cada lugar onde se recompila e armazena os dados pessoais e os processos envolvidos. Será necessário, assim, desenhar um sistema para que todos os processos comerciais futuros cumpram com os requisitos do mapa de privacidade do GDPR.

Estas atividades afetarão praticamente todas as áreas da organização, exigindo muita atenção e recursos, à medida em que a data limite, maio de 2018, se aproxima. Outro item também importante do GDPR que deve ser abordado é o requisito de proteção de dados.

Está claro que a proteção de dados, e não a privacidade dos dados, é o que representa o “DP” no GDPR. Isso porque, independentemente de que seus processos de gerenciamento da informação pessoal estarem bem implementados, no caso de perda em uma violação de dados, nada mais importará. O GDPR entende dessa forma e, em consequência, estabeleceu tais requisitos.

A maior mudança, em relação à proteção de dados é um novo requisito de divulgação de violação de dados. A maioria das empresas deverá nomear um Oficial de Proteção de Dados (DPO), cuja função será supervisionar a implementação dos processos de gerenciamento de dados, além de interagir com o regime regulatório da UE. No caso de uma violação de dados, o DPO deverá comunicar formalmente dentro de 72 horas ou ter uma boa explicação para não ter reportado o incidente ao GDPR.

As penalidades mais severas são para as violações recorrentes ou nos casos em que a proteção de dados do usuário for insuficiente. O valor máximo da multa para quem infringir as regras pela primeira vez será de 10 a 20 milhões de euros, ou de 2% a 4% da receita.

Diante desses requisitos e dos riscos que assumem, as empresas devem repensar suas estratégias e revisar as ferramentas de detecção e respostas às ameaças. Embora seja sempre um bom negócio proteger-se contra a crescente sofisticação e impacto do cenário de ameaças em constante mudança, o GDPR transforma significativamente a equação de risco.

Diante de tantos desafios, as empresas precisam buscar parceiros de segurança e de tecnologias para oferecer uma abordagem continua e moderna de segurança, que permita gerenciar aplicações de negócios descentralizadas, para garantir as exigências impostas pela transformação digital dos negócios, e que, ao mesmo tempo, garanta o cumprimento de suas responsabilidades de proteção de dados do GDPR.  Ao se preparar para o GDPR, um processo de proteção de dados de classe mundial é a base.

A sugestão é, sem dúvida, aproveitar o Dia Internacional da Proteção de Dados para esclarecer sobre a importância de uma estratégia de cibersegurança, definir e implementar um programa de proteção de dados com base em uma estratégia focada em sua empresa, como ação prioritária para 2018.

* Marcos Nehme é diretor da Divisão Técnica na América Latina da RSA