Recursos/White Papers

Gestão

GDPR chegou: O que vai acontecer a seguir?

Analistas da Forrester e especialistas em privacidade do setor de tecnologia explicam

Tom Macaulay, Computerworld UK

Publicada em 25 de maio de 2018 às 14h35

O GDPR finalmente está em vigor na sua totalidade, mas a história não termina na data de implementação.

A conformidade com as normas será uma jornada contínua e ainda restam dúvidas sobre como a regulamentação será aplicada.

Enza Iannopollo, analista da Forrester na equipe de Segurança e Risco, disse à Computerworld UK que as empresas precisam mudar de prontidão para cuma espécie de conformidade contínua.

"Este é apenas o começo da história", diz Iannopollo. "Presumimos que será um trabalho contínuo, mesmo para empresas que possam estar prontas hoje, porque a criação de conformidade dentro dos processos e a certeza de que isso é feito de forma contínua sempre será parcialmente um trabalho em andamento. Não esperamos para ver um estágio final de conformidade. Isso não funcionaria ".

Muitas organizações ainda não estão em conformidade. Iannopollo aconselha-os a se concentrarem em abordar suas atividades de processamento de dados de alto risco, que geralmente envolvem informações pessoais confidenciais.

Estratégias de consentimento, direitos dos titulares de dados e notificações de violações também precisarão ser priorizados, bem como quaisquer programas de análise preditiva de grande porte com informações pessoalmente identificáveis ​​e qualquer coisa envolvendo a nuvem.

Sistemas de rastreamento para conformidade com o GDPR

Os sistemas antigos precisarão ser verificados quanto à conformidade, enquanto os novos devem ter proteção de dados inserida em seu design, aconselha Nigel Hawthorn, especialista em privacidade de dados da McAfee.

"O GDPR não foi concebido para ser considerado um conjunto adicional de políticas e procedimentos que alteram a forma como os dados são tratados", explica Hawthorn. "Em vez disso, todos os novos sistemas devem ser projetados desde o início para levar em consideração as melhores práticas para a minimização de dados, e é por isso que, mesmo no dia do prazo, muitas empresas ainda não são compatíveis.

"A partir de hoje, as empresas devem notificar uma autoridade de proteção de dados de qualquer violação de dados em até 72 horas após a descoberta. Para ajudar a reduzir seus riscos, as empresas podem restringir informações confidenciais apenas a dispositivos gerenciados, usar análises comportamentais para detectar qualquer atividade incomum e  ter planos para reagir rapidamente para corrigir qualquer ameaça em caso de violação. "

Terceiros podem incorrer em novos riscos.

"Você precisa entender o risco de terceiros e o que significa vender ou compartilhar dados com terceiros", diz Iannopollo. "Você precisa entender que a forma como esses terceiros estão cumprindo o GDPR afetará sua própria conformidade, e você precisa lidar com esse risco sistematicamente".

A expansão de dados que se acumula requer uma solução de longo prazo, em vez de uma limpeza única, como explica Daniel Mintz, evangelista-chefe de dados da Looker.

"As empresas precisam de um único ponto de acesso para seus dados, permitindo que eles vejam quem acessou e o que fizeram, tudo em um local centralizado, gerenciado e seguro", diz ele.

Uma vez que isso esteja no lugar, todo o processamento de dados deve ser claramente documentado. Isso também ajudará no seu caso se você receber uma visita dos reguladores.

"Qualquer que seja o trabalho que uma organização esteja fazendo para se tornar compatível, isso precisa ser documentado", diz Iannopollo. "Esta é a base da sua evidência de estratégia de conformidade, e se um regulador fizer uma visita e quiser ver como você está cumprindo as regras, sua documentação estará apoiando evidências de que algum trabalho foi feito."

A cenoura e vara
As multas máximas para violações têm sido o foco das manchetes nos relatórios de GDPR, mas as penalidades dependerão, em última análise, da natureza da violação.  As investigações levarão tempo para serem concluídas e as organizações terão a oportunidade de responder a qualquer acusação, mas as multas virão eventualmente para infrações graves.

"Acho que vamos ver muitas ações de fiscalização", diz Iannopollo. "Acho que os reguladores vão estabelecer alguns exemplos para começar. Eles querem ser vistos como estritos com essas regras."

No entanto, ela prefere se concentrar nas oportunidades de negócios que o GDPR traz. As empresas podem tornar a proteção de dados um diferencial comercial e uma maneira de ganhar a confiança de seus clientes cada vez mais experientes em dados.

A data de implementação dá a eles uma chance de refletir sobre os benefícios do GDPR, diz Joe Garber, diretor global de marketing de produtos, gerenciamento de informações e governança da Micro Focus. 

"Hoje devemos considerar o GDPR de um ângulo diferente e explorar as oportunidades que ele trará para melhorar não apenas a privacidade e a segurança, mas também para ajudar as marcas a descobrir o valor real dos dados", sugere.

GDPR

"Para as empresas, o GDPR é uma etapa fundamental para garantir que os dados sejam gerenciados de maneira mais holística, permitindo que eles obtenham uma visão maior e mais completa das informações armazenadas. Uma vez implantados os processos corretos para organizar esses dados e implementadas as ferramentas de análise, insights úteis e precisos podem ser obtidos - um benefício para organizações e consumidores.

"As empresas poderão usar os insights dos clientes e, em última análise, expandir seus negócios de uma forma que não seria possível antes. E, como consumidor, estou ansioso pelo que o GDPR pode fazer por mim como pessoa física, protegendo meu pessoal. dados em um momento de grande desconfiança em relação ao compartilhamento e uso de dados. "



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui