Home > Notícias

4 etapas que a sua empresa precisa para conduzir uma GDPR adequada

Organizações devem realizar auditorias regulares de conformidade. Aqui estão os passos que os especialistas dizem que você deve tomar


Bob Violino, da CSO (EUA)

28/05/2019 às 9h00

Foto: Shutterstock

Para muitas organizações, a preparação para o Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês) da União Europeia (UE) tem sido um esforço demorado. Infelizmente, o trabalho ainda não acabou. Agora que a GDPR está em vigor, as empresas precisarão realizar auditorias internas regulares para avaliar seus níveis de conformidade. A capacidade de documentar essas auditorias será vital no caso de uma violação ou reclamação, porque mostrar que um esforço de boa fé foi feito poderia ajudar a evitar uma grande penalidade.

“As auditorias são muito importantes, pois a responsabilidade é um dos princípios do GDPR, e as organizações devem monitorar seu programa de privacidade e conformidade como parte de estar em conformidade”, diz Greg Sparrow, vice-presidente sênior e gerente geral da firma de consultoria em gerenciamento de riscos CompliancePoint.

“Além disso, as auditorias garantirão que as organizações possam detectar problemas ou erros em seus programas e, assim, demonstrar a devida diligência aos reguladores se as violações ocorrerem ou se forem questionadas”, disse Sparrow. “A conformidade não é um programa ‘configure e esqueça’. Espera-se que as empresas cumpram o regulamento e tenham um monitoramento regular para garantir que permaneçam em conformidade”.

Por que você deve realizar uma auditoria GDPR

Muitas organizações afetadas pela GDPR ainda não estão em conformidade. Em particular, as pequenas empresas têm se esforçado para cumprir. Um relatório divulgado pela GDPR.eu em maio mostrou uma desconexão com a percepção dos líderes de pequenas empresas europeias de serem compatíveis com GDPR e seu nível real em atender aos principais requisitos.

Cerca de 86% dos 720 entrevistados disseram que eram completamente ou na maior parte compatíveis. No entanto, apenas 44% estavam confiantes de que comunicam claramente as suas atividades de processamento de dados aos titulares dos dados e 44% não estavam confiantes de que obtinham sempre o consentimento para reunir ou estabelecer uma base legal para usar dados pessoais. Esses são os principais requisitos do GDPR.

Também em maio, o Conselho Europeu para Proteção de Dados (EDPB) informou que recebeu cerca de 65.000 notificações de violação de dados sob o GDPR e emitiu US$ 63 milhões em multas. Esse mesmo relatório também observou que o volume de notificações está sobrecarregando os recursos dos reguladores. Embora o relatório não mencione auditorias, é lógico que as organizações que relatam uma violação e que não realizaram uma auditoria sobre sua conformidade com o GDPR receberiam mais atenção do que as que fizeram.

É importante conduzir auditorias GDPR “para verificar se os processos estão em vigor para lidar com as tarefas necessárias, incluindo o direito ao esquecimento e a portabilidade de dados, e para que os funcionários de proteção de dados [DPOs] e a equipe saibam o que fazer no caso de uma violação”, acrescenta Gary Southwell, gerente geral da Divisão de Segurança Cibernética da empresa de tecnologia de segurança CSPi.

“A verificação completa dos processos por meio de uma auditoria fornece medidas que podem ser usadas para melhoria de processos”, afirma Southwell. “Mas também fornece um elemento-chave de conformidade – provando que sua empresa tem tais processos em local e em operação – antes que os problemas ocorram como a lei prevê. Especificamente, também pode ajudar a melhorar a prontidão geral da resposta investigativa, algo que todas as empresas devem fazer para minimizar o risco de perda de dados”.

As auditorias da GDPR provavelmente envolverão pessoas de fora da segurança, incluindo governança de dados, recursos de TI, jurídicos e recursos humanos. Claramente, grande parte do foco será em programas de segurança cibernética. Aqui estão os principais passos de uma auditoria GDPR, de acordo com especialistas do setor.

1. Criar um plano de auditoria GDPR

O primeiro passo é ter um plano detalhado e um conjunto de processos escritos, acionáveis e atribuíveis que atendam aos requisitos da lei passo a passo, diz Southwell. “Para quem é novo na criação de tais planos, a ISO [International Standards Organization] fornece modelos para seus processos”, diz Southwell. “Embora não seja específico para os requisitos do GDPR, o [ISO] fornece um modelo de como criar planos adequados, detalhando quem faz o quê, como e quando”.

Como parte dessa fase inicial, as empresas precisam avaliar quais dados residentes na UE eles coletam, onde estão armazenados e como e onde são processados. “A auditoria deve garantir que esses dados sejam identificados corretamente”, diz Southwell. “Uma vez identificadas, as ações de conformidade podem ser especificadas”.

Por exemplo, quem está mudando o rastreamento desses dados para remover ou transferir esses dados a pedido de residentes da UE? “Como você garante que tal pedido seja legítimo?”, diz Southwell. “Como você garante que os dados sejam adequadamente executados?”. Se os dados precisarem ser removidos, é necessário que haja um processo para garantir que todos os repositórios, incluindo backups de dados, tenham sido atualizados e contabilizados adequadamente”.

O plano deve incluir uma maneira de identificar quais detalhes do residente da UE foram expostos e se esses registros foram protegidos por criptografia. “Se assim for, os passos para a notificação são drasticamente diferentes”, diz Southwell. “A auditoria deve mostrar como cada caso é tratado. A melhor prática também forneceria uma trilha de auditoria forense completa que está em vigor para ajudar a esclarecer dúvidas e comprovar a conformidade”.

Ao criar um plano de auditoria para GDPR, lembre-se de que as empresas precisam estar cientes dos dados que possuem em todo o seu ciclo de vida. “Infelizmente, o GRPR é um regulamento vago que nos deixa com muitas questões abertas, o que aumenta a complexidade da conformidade”, diz Fouad Khalil, chefe de conformidade do provedor de serviços de segurança SecurityScorecard, Inc. “Com isso dito, é minha recomendação de que as organizações implementem um plano de auditoria em torno do ciclo de vida dos dados pessoais”. Isso inclui a classificação de dados pessoais e o gerenciamento do risco de dados, segurança e cadeia de suprimentos.

2. Procurar por lacunas de conformidade com o GDPR e relatar as descobertas

Revise seu programa de conformidade atual sob o GDPR. Isso inclui registros de processamento, o processo de solicitação de acesso do titular dos dados, controles técnicos e de segurança, princípios de privacidade e mecanismos de transferência de dados, diz Sparrow.

“O GDPR afeta a maioria dos departamentos dentro de uma organização”, diz Sparrow. “A fase de descoberta da auditoria consistirá em entrevistas e documentação/revisão de políticas com qualquer departamento que processe dados pessoais ou seja responsável pela governança, operações ou controles técnicos relativos a dados pessoais”.

Isso determinará a capacidade da organização de se alinhar às regras GDPR. As sessões de descoberta devem incluir a eficácia da organização em atender aos requisitos, diz Sparrow, incluindo:

  • Pedidos de acesso ao assunto
  • Princípios de privacidade
  • Controles técnicos e de segurança
  • Aplicabilidade do DPO
  • Transferências de dados fora da UE para países sem decisão de adequação
  • Supervisão e contratos do processador
  • Resposta à violação de dados e notificação a uma autoridade de supervisão e a titulares de dados
  • Metodologia de avaliação do impacto na privacidade
  • Demonstração de proteção de dados por design e padrão
  • Monitoramento contínuo do programa de conformidade
  • Uma vez concluída a fase de descoberta, os auditores precisam delinear o processo atual e as áreas que estão desalinhadas.
  • Isso envolve produzir um relatório que mostre a capacidade da organização de se alinhar às regras GDPR.
  • O relatório pode ser extenso, com resultados exaustivos e recomendações sobre mudanças que precisam ser feitas, diz Sparrow. Ou pode ser tão simples quanto uma classificação “alinhada” ou “não alinhada”, com o entendimento de que qualquer coisa na categoria “não alinhada” precisa ser corrigida.

3. Priorizar e corrigir lacunas na conformidade com o GDPR

Em seguida, a equipe de auditoria precisa priorizar áreas que estão fora de conformidade, com base no nível de risco das áreas específicas. “Adote uma abordagem baseada em risco ao trabalhar para a remediação”, diz Sparrow. “Por exemplo, os reguladores comentaram em conferências que seu foco será em violações e na capacidade de uma organização de facilitar solicitações legítimas de acesso ao assunto. Se a sua empresa estiver deficiente nesta área, recomendamos corrigi-la imediatamente”.

Fatores que devem ser considerados na determinação do risco incluem a probabilidade de ocorrência, o nível de desalinhamento com a regulamentação e o impacto nos negócios se a violação ocorrer. A iniciar com as áreas de maior risco, comece corrigindo as lacunas de conformidade com o GDPR encontradas na fase de descoberta.

Dado o amplo alcance do regulamento e os vários requisitos, é improvável que as lacunas sejam corrigidas por um indivíduo ou equipe, diz Sparrow. “Forneça tarefas para os proprietários adequados responsáveis pela remediação e prazos realistas”, diz ele.

É vital entender que alguns itens de remediação levarão mais tempo do que outros. Por exemplo, correções e atualizações técnicas podem exigir realocação de orçamento e aumento de pessoal, ou os direitos dos titulares de dados podem exigir desenvolvimento de treinamento para os membros da equipe responsáveis pelo tratamento front-end de solicitações do usuário final.

4. Testar os esforços de correção

Agora que a equipe de auditoria investiu o tempo e os recursos para encontrar e remediar as lacunas de conformidade, é vital garantir que os processos e sistemas da organização atendam aos requisitos GDPR.

Teste e teste novamente os controles que a organização implementou, para garantir que as lacunas sejam fechadas e corrigir quaisquer problemas que possam surgir. “Agora que as lacunas foram fechadas, faça uma auditoria para garantir que os requisitos foram atendidos”, diz Sparrow.

Lembre-se de que este é um processo contínuo. “Realize auditorias regularmente para garantir que o programa de privacidade e conformidade esteja operando conforme o esperado”, diz Sparrow. “Realizar auditorias e testes contínuos da estrutura de conformidade e privacidade para garantir que tudo esteja em ordem. A responsabilidade é um princípio do GDPR e as organizações devem implementar um programa contínuo de monitoramento e fiscalização para testar a eficácia do programa de privacidade no atendimento dos requisitos do GDPR. Os elementos do GDPR e da privacidade de dados “precisam ser incorporados às análises regulares de risco”, diz Mischa Danaceau, CSO do provedor de serviços de segurança gerenciados InteliSecure.

“Existem aspectos da lei que podem não se aplicar a todas as empresas, incluindo a nomeação de um DPO ou a manutenção de registros das atividades de processamento”, diz Danaceau. “Para isso, a própria auditoria pode ajudar as empresas a entender melhor os requisitos”.

Benefícios do bônus de auto-auditorias da GDPR

Realizar uma auditoria GDPR leva tempo, dinheiro e outros recursos. No entanto, o retorno desse investimento pode ser maior do que simplesmente reduzir o risco de uma multa. “Os pontos positivos de se sair bem em uma auditoria própria superam em muito os custos e o esforço necessários para realizar a auditoria”, afirma John Timmerman, evangelista global do setor na Teradata.

Por exemplo, Timmerman vê a auto-auditoria como uma forma de demonstrar a defesa do cliente. “Toda organização de marketing afetada pela GDPR deve liderar a forma como está protegendo seus clientes e defendendo-os em seu nome. É surpreendente como muitas organizações veem o GDPR como um ditado em vez de uma oportunidade”, diz ele.

“Os líderes do mercado serão sinceros e diretos sobre tudo o que estão fazendo para serem administradores fiéis das informações dos clientes e liderarão mostrando, a eles especificamente, como e por que esses dados são usados para oferecer melhores ofertas e melhor serviço”.

 

Tags
Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail