Recursos/White Papers

Gestão

Tudo o que você precisa saber sobre GDPR e seus impactos

Lembre-se, principalmente, que não é possível comprar ou terceirizar seu caminho para a conformidade com o regulamento europeu

Da Redação, com Dan Swinhoe (IDG Connect)

Publicada em 25 de maio de 2018 às 11h34

Chegou o dia! O Regulamento Geral de Proteção de Dados da União Europeia - aka GDPR - entra em vigor hoje, 25 de maio de 2018. E, francamente, se você não fez nada para estar em conformidade, talvez se veja em apuros. Especialmente porque. mas do que uma mudança legal e tecnológica, o GDPR é uma mudança de mentalidade. Mesmo que a sua empresa não tenha negócios diretos com a União Europeia, a onda de compliance espalhada pelo mundo a partir de hoje deve mudar o grau de exigência das pessoas em relação à proteção de seus próprios dados, já que o GDPR dissemina novos padrões de privacidade.

"O regulamento europeu exigirá que todas as empresas passem a adotar o privacy by design desde a concepção até o desenvolvimento da solução tecnológica que suporta a economia digital. O cuidado com a privacidade e a proteção de dados passa a ser o padrão. Também será exigido que as empresas documentem todas as operações de tratamento de dados. Podemos esperar a criação de mecanismos de cooperação para a governança das informações e o combate às fraudes", comenta o advogado e chair da IAPP de Portugal,  João Ferreira Pinto.

A perspectiva é que, a partir da aplicação da GDPR, novas soluções jurídicas sejam exigidas e que sejam revisadas condições contratuais, especialmente junto a fornecedores e subcontratados. Também se estima que venham a ser implantadas rotinas de auditoria interna nas empresas e até de certificação por entidades especializadas. Essas novas práticas tendem a tornar os relacionamentos entre empresas e usuários mais transparentes e seguros.

Aplicação imediata
Vale ressaltar que o GDPR é a consolidação de uma série de regras sobre segurança e privacidade que a União Europeia já vinha aplicando nos últimos 10 anos. Foi aprovado em 2016. Portanto, todas as empresas tiveram tempo de sobra para se adaptar.

“Muitas empresas continuam achando que vão ganhar um período de carência para se adaptar. Elas tiveram dois anos para fazer algo ”, diz Sheila FitzPatrick , diretora global de privacidade de dados da NetApp.

Embora perseguir todas as empresas por multas de milhões de dólares não seja a intenção do regulamento, a ameaça de uma fatura igual a 4% da receita global é muito real, e uma ameaça que deve ser motivo de temor para os infratores.  As  autoridades de proteção de dados não querem atingir todas as empresas com uma multa maciça. Eles simplesmente querem que as organizações mostrem vontade. Além disso, sanções menores, como o bloqueio de IPs, pode trazer muitos transtornos. E o arranhão na imagem das empresas que não observem as novas regras pode ser irrecuperável.

“Eles querem que você mostre progresso, eles querem que você mostre que está fazendo alguma coisa. Talvez você não tenha feito tudo; talvez você não tenha descoberto o direito de apagar ou o direito de ser esquecido, mas você não pode apenas sentar e dizer: "é impossível", comenta Sheila.

"Você tem que ser capaz de fazer algo, pelo menos mostrar um roteiro e dizer: 'aqui está nossa política, aqui estão os dados que coletamos, aqui estão nossos acordos contratuais, aqui estão nossos processos e procedimentos, aqui é onde nossos dados são armazenados' desde que você tenha um plano para continuar a cumprir ou manter a conformidade, isso será importante ”.

A aderência ao GDPR é uma caminho árduo e constante... É um processo. O importante é que as empresas estejam a cada dia mais preparadas para cumprir  as determinações do regulamento.

"O mundo não vai acabar no dia 25 de maio. É hora de manter a calma e proteger os dados de sua empresa”, afirma João Ferreira Pinto.

E esteja avisado, apesar do que alguns andam espelhando por aí, você não pode comprar ou terceirizar seu caminho para a conformidade com o GDPR.

Como acontece com qualquer grande evento de tecnologia, tenha cuidado com o marketing dos fornecedores. Da mesma forma que nos últimos anos as empresas foram culpadas por Cloudwashing e AI Snake Oil, o GDPR está sendo usado como um buzzword para vender produtos.

“Há muitas percepções errôneas sobre isso, e há muitas empresas que transformaram isso em um Y2K”, diz Sheila. “Eles entraram na onda olhando para a GDPR como um gerador de receita e eles estão tentando vender ferramentas e tecnologia para resolver um problema de conformidade legal e isso é extremamente enganoso".

"Não é um checklist para conformidade com o GDPR", explica João Rocha, executivo de Cibersecurity da IBM Brasil.

Mas não é apenas na tecnologia magicamente compatível que as empresas estão sendo enganadas.

A maioria das empresas no campo da tecnologia está agora falando sobre o GDPR, mas poucas realmente têm a substância para apoiá-lo, argumenta Sheila.

“Empresas que nada sabem sobre privacidade são, de repente, especialistas em GDPR. Eles têm GDPR em seu site, todo mundo é um especialista em seu cartão de visita. Você nunca foi um oficial de privacidade, você nunca foi um advogado de privacidade, como você sabe? Se você não tem o conhecimento, o que você está vendendo a seus clientes? É o Y2K novamente; estão vendendo esses serviços baseados em vapourware” , completa a executiva.

“Algumas empresas estão oferecendo até DPO como Serviço. Você não pode simplesmente ler sobre o GDPR e se tornar um especialista, você deve ter vivido no campo da privacidade”, diz Sheila.

DPO: difícil de encontrar, qualificar e terceirizar
De acordo com o regulamento, o DPO será uma função obrigatória tanto para a administração pública quanto para as empresas que trabalham com grande quantidade de dados ou dados considerados sensíveis.  Seu perfil profissional continua sendo objeto de acalorados debates na União Europeia.  Não é bem um título, uma certificação. É alguém que precisa combinar qualificações para poder discutir tanto os requisitos legais como tecnológicos. Precis ter conhecimentos jurídicos de proteção de dados pessoais e conhecimento técnico para saber se a proteção está sendo aplicada da forma adequada.

Uma parte importante do GDPR é que muitas empresas precisarão contratar um DPO responsável por garantir a conformidade com a legislação, atuando como o administrador dos esforços de privacidade de uma empresa e como ponto de contato para as autoridades de proteção de dados. É, portanto, uma função muito específica, muito relevante e, em alguns casos, até obrigatória.

"Estima-se que a demanda não atendida por DOPs chegue hoje  a 78 mil profissionais só na União Europeia", diz   João Ferreira Pinto.

“A expertise é muito pequena. Você ficaria surpreso com quantas grandes empresas não têm agentes de privacidade ”, diz Sheila.  “Mas há muita responsabilidade em ser um DPO e, por isso, acho que é o que muita gente só agora está começando a perceber.

Portanto, cabe ao DPO informar  as obrigações e os deveres dos responsáveis pelo tratamento de dados e verificar o cumprimento do GDPR dentro da sua organização.

Mas, na opinião de João Ferreira Pinto é um erro achar que o DPO será o único responsabilizado na organização por descumprimentos ao regulamento. "O DPO é o elo de contato com as autoridades de controle. Quem vai estar na linha de frente. Mas não é ele que vai resolver sozinho todos os problemas de proteção de dados da organização. Se a empresa cumpre ou não o GDPR é um problema organizacional. Portanto o DPO não pode ser pessoalmente responsável pelo não cumprimento do regulamento", explica.

Para um grande número de DPOs a única maneira de aprender a função será trabalhando nela, já que os poucos programas de certificação disponíveis não valem o esforço.

“Existem empresas que afirmam fornecer certificação para os responsáveis ​​pela proteção de dados. O problema é que as autoridades de proteção de dados da UE não identificaram nenhum programa de certificação que considerem adequado. ”

Privacidade ≠ segurança

A recente série de violações de dados levou a que a segurança evoluísse de uma reflexão tardia para um papel-chave nas empresas interessadas em evitar as manchetes por seus fracassos. Embora a segurança possa lentamente se tornar um importante papel de liderança, a privacidade ainda é uma reflexão tardia. O GDPR forçará isso a mudar.

“A privacidade nunca foi uma prioridade, mas a segurança sim. E as empresas pensam que, se garantirem os dados, cumprirão suas obrigações sob as leis de privacidade, e isso é absolutamente um equívoco. Segurança não é privacidade. Eles são parceiros de várias maneiras, mas são fundamentalmente diferentes, se você não tiver lidado com o lado da privacidade, bloquear esses dados não ajudará”, diz Sheila. “O GDPR é, antes de mais nada, um problema de conformidade legal e, se você não criar sua estrutura de conformidade legal primeiro e tiver esse programa em vigor, as melhores ferramentas ou tecnologias do mundo não o ajudarão. Você tem que lidar com a privacidade antes de lidar com a segurança, e uma vez que você lida com a privacidade, é quando você começa a ver como podemos bloquear esses dados”, completa.

Portanto,simplesmente criptografar dados ou comprar uma ferramenta de mapeamento de dados não é suficiente.

Sheila compara o cumprimento do GDPR à construção de uma casa.  “O andar térreo é esse programa de privacidade. Onde estão todas as suas políticas de privacidade de dados, seus procedimentos, seus acordos contratuais, seus opt-ins, seus opt-outs. É a infraestrutura em torno da coleta de dados pessoais. Mostra quais dados você coleta e tem permissão legal para manter. O que você tem permissão de fazer com esses dados, quem pode ter acesso a eles, quanto tempo você pode mantê-los, etc", explica.

“A peça fundamental é a peça mais importante. Se você não acertar, o resto não vai importar. Depois de conseguir aquela peça fundamental, o resto vai se encaixar.

Efeito internacional do GDPR

Há muitos equívocos em torno de GDPR: que não importará o pós-Brexit, que não afeta as empresas fora da UE, que a UE não pode multar uma empresa se seu QG estiver fora do grupo.

"Todos os países do mundo que tiverem qualquer tipo de acesso a dados pessoais de um residente da UE serão afetados pelo GDPR”, afirma Sheila.

São poucos os países que a UE listou como já tendo uma proteção adequada de dados pessoais - Andorra, Argentina, Canadá, Ilhas Faroé, Guernsey, Israel, Ilha de Man, Jersey, Nova Zelândia, Suíça e Uruguai. E eles correm o risco de perder esse status se houver pouco esforço para ser compliance com o GDPR. Risco esse que vem acompanhado também do risco de perderem o investimento de empresas europeias.

Por isso, mesmo que as empresas estejam fingindo ignorância, os governos não estão.

O Reino Unido confirmou que, mesmo depois do Brexit, as suas próprias leis de proteção de dados serão muito semelhantes, se não idênticas às da UE. Outras nações estão adotando uma abordagem semelhante.

“O comissário de Privacidade australiano já declarou que eles irão alterar os atuais princípios de privacidade australianos para atender aos requisitos do GDPR porque eles estão tentando atrair muitos negócios europeus para a Austrália. Cingapura já está trabalhando para redigir uma lei que aprimora seu ato de proteção de dados para espelhar o GDPR. O Japão implementou o deles em maio deste ano, um espelho direto do GDPR. Estamos vendo um efeito cascata em todo o mundo ”.

GDPR

E o Brasil?
Embora muita gente no Brasil ainda se pergunte se precisamos nos inspirar no GDPR para de fato garantir que os dados dos brasileiros estejam protegidos e que a economia brasileira esteja de acordo com as melhores práticas de proteção de dados, ainda assim sentiremos os efeitos do regulamento.

"Não há como imaginar que a legislação estrangeira não vá afetar aos brasileiros. Muitos usuários de aplicativos já receberam avisos sobre a GDPR e sobre as novas políticas de uso e novos termos de privacidade. Apesar disso, provavelmente, ignoram o que isso quer dizer", comenta Flávia Lubieska N. Kischelewski, do escritório Prolik Advogados, em artigo recente.

Segundo Flávia, no âmbito dos precedentes jurisprudenciais já se encontram decisões que se baseiam em conceitos da GDPR. Os Ministérios Públicos estaduais e federais também se revelam atentos à regulamentação e à importância da proteção dos dados pessoais.

E embora ainda não exista uma legislação específica correspondente ao regulamento europeu (dois PLs seguem em debate no Congresso), existem outras leis setoriais que tratam de dados pessoais e também preveem severas punições aos infratores,  como o Marco Civil da Internet, da Lei de Acesso à Informação, da Lei de Cadastro Positivo e do Código de Defesa do Consumidor.

Portanto, as práticas e políticas das empresas devem ser repensadas e revistas, se necessário for. Prevaricação é o maior inimigo.

O que fazer?
Tomado como um todo, o problema de conformidade com o GDPR pode ser um pouco assustador, mas dividi-lo em partes e atribuir prioridades a elas é uma boa forma de fazer a bola rolar.

Comece com a compreensão de quão grande é o problema, e uma avaliação sobre onde estão as informações protegidas pelo GDPR.

Que tipos de dados de privacidade o GDPR protege?

– Informações básicas de identidade, como nome, endereço e números de ID

– Dados da Web, como localização, endereço IP, dados de cookies e etiquetas RFID

– Saúde e dados genéticos

– Dados biométricos

– Dados raciais ou étnicos

– Opiniões políticas

– Orientação sexual

Pergunte-se onde está a maior ameaça: email, web, laptops? Escolha um para começar e trabalhe com as várias etapas para garantir que os dados estejam seguros em todos os pontos. Então siga em frente.

Veja as ferramentas que você tem hoje e o que pode estar faltando. Observe os fluxos de dados e dados dentro e fora da organização.

Uma vez que haja um entendimento sobre o tamanho do problema, coloque o plano em prática para proteger a organização e observe como a governança contínua será alcançada com o mínimo de interrupção dos negócios.

"O tempo para a ação é agora - não amanhã ou no dia seguinte. Se você ainda não começou, comece. Não é tarde demais. Ouça os funcionários, eles sabem o que realmente está acontecendo e terão ideias sobre como tornar as informações, a empresa e eles próprios mais seguros", comenta Guy Bunker, SVP de produtos da Clearswif.

Preocupe-se também em montar um programa de conscientização. Muito do GDPR diz respeito a pessoas e processos, em vez de tecnologia. Então envolva o RH. A conformidade é para toda a empresa, não apenas para a TI, e todo o negócio pode ajudar a aumentar a conformidade.



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui