Fazer login no IT Mídia Redefinir senha
Bem-vindo de volta,
Digite seu e-mail e clique em enviar
Ainda não tem uma conta? Cadastre-se
Salvar em Nova pasta de favoritos

+

Criar pasta
Salvar Escolher Pasta
10 coisas que sua empresa precisa saber sobre GDPR e privacidade dos dados
Home > Tendências

10 coisas que sua empresa precisa saber sobre GDPR e privacidade dos dados

A partir do dia 25 de maio, por influência do novo regulamento europeu, o nível de exigência para a proteção de dados pessoais será maior em todo o mundo. Todos serão afetados, ainda que indiretamente

Gabriel Camargo *

20/05/2018 às 9h13

GDPR5_1027326802.jpg
Foto:

A evolução sem precedentes da Internet e o aumento constante na geração
de dados proporcionam um grande desafio sobre proteção e privacidade das
informações pessoais, exigindo a aplicação de medidas de segurança
sólidas e forte conscientização por parte das
empresas. No dia 25 de maio, entra em vigor na Europa o Regulamento
Geral de Proteção de Dados, mais conhecido pela sigla em inglês “GDPR”,
documento que coloca o ônus de responsabilidade do tratamento dos dados
pessoais nas organizações públicas e privadas,
considerando obrigações que podem acarretar em multas altíssimas para
as organizações em caso de não cumprimento.

O agravante nisso tudo é que poucas são as instituições preparadas com
medidas de segurança confiáveis. Uma pesquisa realizada pela SAS,
especializada em análise de mercado, com 340 executivos de pequenas,
médias e grandes empresas, apontou que apenas 45% das
organizações possuem um processo estruturado para cumprir o GDPR, das
quais dois terços acham que esse processo levará a uma conformidade
bem-sucedida.

Diante deste cenário, conheça os principais tópicos relacionados à
privacidade de dados do GDPR, assim como um olhar pratico quanto a sua
aplicação nas organizações.

1 – Nomeação de um Data Protection Officer
Uma das primeiras etapas é o estabelecimento de um Comitê de Segurança
da Informação, que deve ser implantado nas corporações com vistas a
propor normas e procedimentos internos de segurança da informação e
comunicações, bem como assessorar as implementações
das mesmas, além de outras competências relativas ao tema.

Deve ser designada dentro da organização e nesse mesmo comitê um
encarregado de proteção de dados (DPO – Data Protection Officer), que
desempenhará um papel relevante no período de transição para o
cumprimento do novo regulamento e no período inicial da aplicação
do GDPR, com levantamento dos requisitos, passando pela implementação
das medidas técnicas de segurança, a implementação das Políticas e das
campanhas de conscientização.

2 – Avaliação de impacto dos riscos a privacidade
Com a formação do comitê, o primeiro passo é saber quais medidas
precisam ser tomadas pela organização a fim de aproximá-la ao
cumprimento total da regulamentação. Tanto o DPO quanto uma empresa
qualificada externa poderá rodar um
assessment, que apresentará todas as lacunas da organização, que
devem ser corrigidos por meio de implementação de medidas técnicas ou
plano de conscientização quanto ao uso correto dos dados.

3 – Medidas para reduzir a exposição ao risco
De acordo com a ISO27001, que estabelece requisitos mandatórios para
planejar, implementar, monitorar, analisar e aperfeiçoar o Sistema de
Segurança da Informação, os tipos de medidas a serem estabelecidas são:
físicas (barreiras e controle de segurança no
Data Center da organização), organizacionais (Políticas, Normas e
Códigos de Conduta) ou técnicas (softwares e ferramentas que removem,
modificam ou substituem as características individuais por
representações codificadas).

4 – Prazo para reportar um incidente
As organizações devem reportar à Comissão Nacional de Proteção de Dados
(CNPD) eventuais ocorrências de violação dos dados imediatamente após o
seu conhecimento, no prazo máximo de 72 horas.

5 – Assegurar o cumprimento pelos subcontratantes
As organizações responsáveis pelos dados precisam assegurar que os
Subcontratantes (Data Processors) estão em conformidade com a
regulamentação. Muitas empresas contratam fornecedores de Contact Center
e Marketing Digital, que contam com provedores de SMS,
E-mail, ERPs, CRMs para lidar com os dados dos clientes. O GDPR será
diretamente aplicável aos subcontratantes, que passam a estar sujeitos a
obrigações mais detalhadas e poderão ficar obrigados ao pagamento de
indenização em caso de ocorrência de prejuízos.
A atenção deve ser redobrada com fornecedores e parceiros de empresas
que lidam com cidadãos europeus, que não podem ser armazenados ou
processados fora da União Europeia.

6 – Obtenção de consentimento
A organização deve comprovar, de forma escrita ou oral, o consentimento
das pessoas, clientes ou usuários, antes de processar os dados. No
exemplo do Contact Center, o script do operador pode ser alterado
solicitando confirmação do titular para que os dados
sejam processados. Também pode-se criar um portal para que o cliente
confirme e altere seus dados.

7 – Direito ao Esquecimento
O indivíduo tem o direito de pedir a alteração e/ou correção de dados
pessoais incompletos através de qualquer meio. As organizações deverão
implementar uma integração entre todos os sistemas e processos de forma a
assegurar que os dados atualizados num sistema
serão automaticamente atualizados em todos os sistemas dessa entidade. O
usuário também tem o direito de apagar permanentemente qualquer dado
pessoal, incluindo a retirada de consentimento, informações processadas
de forma ilegal ou que deixarem de ser necessárias
para a finalidade do serviço.

8 – Adoção da privacidade desde a concepção
O conceito Privacy by Design corresponde a uma forma de abordagem
à proteção da privacidade desde a concepção de produtos e sistemas
pelas organizações, incorporada diretamente às estruturas tecnológicas
desenvolvidas, aos modelos de negócio e às infraestruturas
físicas por eles utilizadas. Ou seja, a privacidade é incorporada à
própria arquitetura dos sistemas e processos desenvolvidos, de modo a
garantir, pela infraestrutura do serviço prestado, condições para que o
usuário seja capaz de preservar e gerenciar sua
privacidade, a coleta e tratamento de seus dados pessoais.

GDPR

9 – Multas pelo não cumprimento
As multas pelo não cumprimento podem chegar a até 4% das receitas anuais ou 20 milhões de euros.

10 – Busque um parceiro especializado
As organizações agora possuem novos desafios. Além de manter o negócio, é
preciso se preocupar cada vez mais com os dados pessoais dos seus
clientes e usuários. Um dos grandes motivos pela baixa aderência de
muitas empresas quanto as regulamentações vigentes
é a falta de conhecimento e aplicação das medidas corretivas
eficientes. A busca por um parceiro especializado pode encurtar o
caminho e reduzir os riscos pelo incumprimento da regulamentação.

 

(*) Gabriel Camargo é CEO da Deep Center

Vai um cookie?

A CIO usa cookies para personalizar conteúdo e anúncios, para melhorar sua experiência em nosso site. Ao continuar, você aceitará o uso. Para mais detalhes veja nossa Política de Privacidade.

Este anúncio desaparecerá em:

Fechar anúncio

15