Boas práticas para que sua empresa atue em conformidade com o GDPR

O Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês) é uma nova regra de tratamento de gestão de dados pessoais estabelecida pela União Europeia e entrará em vigor a partir de 25 de maio de 2018. Aprovado em abril de 2016, o GDPR devolve o poder aos indivíduos sob como seus próprios dados são processados, com implicações para qualquer organização global que gerencie informações pessoais de cidadãos da União Europeia.

Um aspecto preocupante do ponto de vista das empresas são as auditorias e as multas que podem ser aplicadas àquelas que não se adequarem à nova regra. A penalidade por violações graves pode chegar a até EUR 20 milhões ou 4% da receita global anual de uma empresa. O maior desafio no cumprimento do GDPR é o fato de que os dados pessoais podem ser localizados em qualquer lugar.

Basta pensar em quantas cópias podem ser feitas dos dados de alguém e as mesmas se espalharem por toda uma organização. Se um indivíduo solicita a uma empresa elimine seus dados pessoais, como encontra-los? Como a companhia irá garantir a conformidade com o GDPR em todas as suas fontes de dados não estruturadas? Laptops, dispositivos móveis e outros pontos finais? No e-mail ou em nuvens pessoais? Servidores de arquivos e sistemas de gerenciamento de conteúdo com centenas ou milhares de usuários autorizados? Aplicativos de inteligência e análise de negócios?

A ilustração abaixo faz referência à ideia da velocidade com a qual os dados se espalham em uma empresa e em quantos ambientes eles podem ser encontrados.

Para adequar-se ao GDPR, as organizações, provavelmente, precisarão fazer mudanças fundamentais na forma como olham a coleta, armazenamento e gerenciamento de dados. Isso demanda tempo e exige que medidas sejam tomadas imediatamente, de modo que esteja pronta para o cumprimento da lei quando a mesma entrar em vigor. Para atender às exigências do GDPR e não ter problemas ao atuar na União Europeia, é preciso:

1. Identificar a presença de dados pessoais em todos os locais de dados;
2. Automatizar o tratamento especial de informações com políticas de dados padrão, como, por exemplo, controle de acesso, segurança, criptografia e retenção;
3. Apoiar a exportação e o apagamento de dados pessoais de todas as fontes de dados;
4. Detectar e excluir cópias desnecessárias de dados pessoais;
5. Manter uma cadeia de custódia auditável sobre os dados pessoais de um indivíduo;
6. Compreender o risco de vazamento de dados e acelerar a análise de violação dos mesmos.

O GDPR especifica as funções, processos e tecnologias que as organizações devem possuir a fim de garantir que os dados pessoais dos residentes da União Europeia sejam seguros, acessíveis e usados de forma adequada e com consentimento. Seus artigos e princípios estabelecem uma série de obrigações, as quais as empresas precisarão atender, incluindo:

• Proteção de dados: Proteja os dados pessoais contra o uso indevido em todas as fases do seu ciclo de vida;
• Minimização de dados: Colete e mantenha o menor número possível de dados pessoais;
• Direito de ser esquecido: Apague todos os dados pessoais de um indivíduo mediante solicitação;
• Transferência de dados e portabilidade: Mova os dados pessoais de um indivíduo para outro fornecedor, mediante solicitação;
• Consentimento de gerenciamento: Defina os casos de uso específico ao obter o consentimento, mantendo a prova do mesmo e excluindo os dados quando o caso de uso tiver se encerrado;
• Notificação de violação de 72 horas: Determine a extensão de uma violação e notifique os usuários afetados;
• Integridade e disponibilidade: Restaure o acesso a dados pessoais rapidamente após uma interrupção ou falha;
• Responsabilidade: Registre e forneça trilhas de auditoria para todos os consentimentos de dados, pedidos e ações corretivas.

Para que todo esse processo ocorra em conformidade, ou seja, de maneira efetiva e correta, é necessário dispor de um software de detecção de intrusão, o qual permite às organizações reconhecer ameaças, como o ransomware, por exemplo, que tem por objetivo expor os dados do cliente pessoal ao público, caso o resgate não seja pago. Ao estar ciente das ameaças em curso, as empresas são capazes de proteger as informações de identificação pessoal.

*Bruno Lobo é Country Manager da Commvault Brasil