GDPR: Apenas 51% das empresas priorizou segurança, diz pesquisa

A GDPR (General Data Protection Regulation), uma das maiores leis de proteção de dados da Europa, entrou em vigor em 25 de maio. A partir de agora, qQualquer organização que manipule dados de cidadãos da UE, principalmente as que têm sede na Europa, podem enfrentar pesadas multas de até € 20 milhões (24,7 milhões de dólares) ou 4% do faturamento anual global por não conformidade. No entanto, a conscientização continua irregular.

Pesquisa feita pela Trend Micro revelou que as empresas ainda não investiram nas áreas certas antes da regulamentação, demonstrando a necessidade – preocupante – de estarem mais alinhadas à GDPR. O levantamento, feito com mais de 1 mil executivos de TI ao redor do mundo, apenas 51% disseram ter aumentado os investimentos em segurança e compliance.

Isso ocorre mesmo com um quarto dos entrevistados terem reportado falta de proteção suficiente de segurança em TI (25%) e falta de uma segurança de dados eficiente (24%), como os maiores desafios para os esforços de conformidade.

Menos de um terço (31%) investiu em criptografia, apesar da menção frequente no GDPR. A prevenção de perda de dados (33%) e tecnologias avançadas projetadas para detectar intrusos de rede (34%) também foram amplamente ignoradas.

Além dos investimentos em ferramentas de segurança é fundamental investir na conscientização dos colaboradores de uma empresa.

Igualmente preocupante, apenas 37% das organizações globais disseram que investiram em programas de conscientização dos funcionários.

Parte disso pode se dar pela falta de fundos: um quarto dos entrevistados (25%) afirmou que os recursos limitados são o maior desafio para o cumprimento das normas.

As preocupações não terminam aí. Existem novas regras em relação às notificações de violação no GDPR que declaram que os indivíduos devem ser notificados dentro de 72 horas se uma violação resultar em um alto risco aos seus direitos e liberdades. No entanto, um quinto (21%) dos entrevistados disseram ter um processo formal para notificar apenas a autoridade de proteção de dados, enquanto 6% disseram não ter nenhum processo em vigor, e 11% nem sequer sabiam se tinham ou não um processo.

Direitos e obrigações

O GDPR é uma extensa legislação destinada a melhorar os direitos do consumidor em relação às organizações que detêm suas informações pessoais.

Como resultado, coloca novas obrigações estritas para estas empresas, muitas das quais giram em torno da segurança e proteção de dados. O regulamento não determina exatamente quais tecnologias as empresas devem implementar – exceto no caso de ferramentas de criptografia – mas exige a implementação de “medidas técnicas e organizacionais apropriadas para garantir um nível de segurança apropriado”.

Em termos leigos, isso significa seguir as abordagens atuais de segurança de práticas recomendadas. Os resultados da pesquisa da Trend Micro, no entanto, demonstraram uma desconexão entre a lei e a realidade da maioria das companhias.

A prioridade do GDPR é incentivar uma maior responsabilidade e transparência entre as organizações que lidam com dados de clientes e funcionários. Com isso, os órgãos reguladores irão fiscalizar se as empresas estão se esforçando para aplicar o regulamento, tendo em mente os melhores interesses de seus clientes.

As descobertas da Trend Micro demonstram que ainda existe um longo caminho a ser percorrido, antes que isso se traduza na adoção generalizada das melhores práticas para proteção de dados. É importante também lembrar que a conformidade com o GDPR é muito maior do que simplesmente a aplicação da segurança de TI e exigirá o compromisso e o envolvimento das partes interessadas de toda a organização.