Home > Tendências

3 erros de privacidade de dados que sua empresa pode estar cometendo

Sem envolver realmente toda a organização neste tópico e abordá-lo como um esforço crítico e contínuo, o risco de uma violação acontecer está presente

Christopher Kuhn *

08/10/2018 às 7h53

GDPR5_1027326802.jpg
Foto:

No início deste ano, a proteção e a privacidade dos dados foram temas importantes, à medida que o Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês), surgia no horizonte. Como uma empresa com sede na Alemanha e subsidiária do Brasil, que é diretamente afetada pela regulamentação, continuamos a ver suas ramificações e a constante luta das empresas ao tentar cumprir as promessas de privacidade de dados. Tanto internamente quando permanecemos em conformidade com o regulamento, quanto externamente no trabalho com nossos clientes, observamos várias maneiras pelas quais as diretrizes e atividades de privacidade de dados afetam todas as unidades de negócios - e onde todos nós precisamos fazer algumas melhorias.

Independentemente de sua empresa ser diretamente afetada pelo GDPR, lembre-se desses três erros comuns de privacidade de dados:

Erro 1: Não educar as demais áreas de negócio sobre privacidade de dados
É muito comum pensar em "dados" e emparelhá-los imediatamente com a TI. A TI gerencia a maneira pela qual os dados são transportados por toda a organização e pelo mundo. Eles são responsáveis por colocar as ferramentas e a estrutura no local para identificar ameaças e responder conforme necessário. Então, certamente, grande parte da responsabilidade pela privacidade de dados recai sobre os ombros de suas equipes de ITSM (Information Security Management System) e segurança da informação.

Mas é um grande erro transferir essa responsabilidade para sua organização de TI e esperar que ela seja tratada. Por quê? Dois motivos: tanto o orçamento quanto a cultura corporativa desempenham papéis-chave no sucesso dos esforços de privacidade de dados. E ambos exigem o suporte das outras áreas de negócio.

Todos os envolvidos no processo orçamentário precisam estar cientes das necessidades e requisitos do GDPR e de outras regulamentações aplicáveis. Do monitoramento e processamento de dados, para auditar a proteção e a remoção de dados, todos os aspectos da proteção do negócio precisam ser tratados e orçamentados. Com muita frequência, vejo empresas frustrarem os serviços relacionados a dados apenas por estarem confusas na hora de demonstrar conformidade.

Também é importante que você crie uma cultura de conscientização de dados. De cima para baixo, as pessoas precisam entender como seus dispositivos se conectam aos dados de outras pessoas e as implicações que podem ter quando esses dispositivos são perdidos, roubados ou hackeados. Treinamento e educação continuada são fundamentais aqui. (E não se esqueça de vincular isso ao comentário sobre orçamento acima!)

"As pessoas precisam entender como seus dispositivos se conectam aos dados de outras pessoas e as implicações que podem ter quando esses dispositivos são perdidos, roubados ou hackeados."

Erro 2: Não investigar fornecedores
Uma das coisas que vemos, especialmente com empresas de pequeno e médio porte, é que elas estão cientes de várias regulamentações, mas não entendem exatamente as responsabilidades de longo alcance que elas têm quando se trata de trabalhar com fornecedores. É importante entender como seus parceiros de dados estão processando e controlando os dados também. Falando especificamente do GDPR, sua empresa pode estar em risco se seu fornecedor maltratar os dados de um cliente.

Em termos práticos, isso significa que, para todos os fornecedores, você deve verificar:

- Quais processos estão em vigor para lidar com violações de segurança e notificar os clientes sobre a situação?

- Quais práticas de criptografia estão em vigor?

- De que maneira os dados do cliente são anonimizados?

- Eles trabalham com outras partes para armazenar ou processar dados de clientes? Quais etapas foram tomadas para verificar a conformidade de seus próprios parceiros?

- Quais são os procedimentos para a exclusão de dados?

- Com que frequência as práticas de segurança são auditadas e como elas verificam isso?

- O que acontece com os dados quando seu contrato expira?

"Trata-se de demonstrar respeito aos nossos clientes tratando seus dados com cuidado e protegendo a confiança que depositaram em nós."

GDPR

Erro 3: Pensar que o cumprimento do GDPR é o objetivo final
Multas iminentes e pesadelos de relações públicas são o que nós, como líderes, procuramos evitar; por isso é muito fácil se envolver na tentativa de alcançar conformidade com o GDPR ou com qualquer outro regulamento do setor. Como alguém que já passou pelo processo, sei que há uma pilha de papéis para preparar e discussões para alcançar esse marco.

É tentador, quando tudo está assinado e selado, parar de pensar em privacidade e proteção de dados para que você possa voltar a outras iniciativas. Mas, como líderes, precisamos ter em mente que o objetivo não é simplesmente conseguir uma estrela de ouro para a conformidade. Trata-se de demonstrar respeito aos nossos clientes tratando seus dados com cuidado e protegendo a confiança que eles depositaram em nós. Trata-se de garantir que haja uma ação contínua dentro da organização para analisar o que está acontecendo regularmente, para que isso seja lógico e faça sentido em termos de privacidade e proteção de dados.

Eu não acredito que qualquer empresa queira ser conhecida por maltratar os dados de seus clientes. Mas, sem envolver realmente toda a organização neste tópico e abordá-lo como um esforço crítico e contínuo, o risco de algo acontecer está presente. Então, tome cuidado com estas três lições.

 

(*) Christopher Kuhn é o COO da OTRS

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail