Home > Gestão

4 principais etapas de uma auditoria de conformidade com o GDPR

A responsabilidade é um princípio do GDPR, e as organizações devem implementar um programa contínuo de monitoramento e fiscalização para testar a eficácia do programa de privacidade

Bob Violino, CIO/EUA

26/07/2018 às 8h57

GDPR_1018157691.jpg
Foto:

Para muitas organizações, a preparação para o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia (UE ) tem sido um esforço demorado. Infelizmente, o trabalho não acabou. Agora que o GDPR está em vigor, as empresas precisam realizar auditorias internas regulares para avaliar seus níveis de conformidade. A capacidade de documentar essas auditorias é  vital no caso de uma violação ou reclamação, porque mostrar que um esforço de boa fé foi feito pode ajudar a evitar uma grande penalidade.

"As auditorias são muito importantes, pois a responsabilidade é um dos princípios do GDPR, e as organizações devem monitorar seu programa de privacidade e conformidade", diz Greg Sparrow, vice-presidente sênior e gerente geral da CompliancePoint.

"Além disso, as auditorias garantirão que as organizações possam detectar problemas ou erros em seus programas e, assim, demonstrar a devida diligência aos reguladores se as violações ocorrerem ou se forem questionadas", disse Sparrow. “A conformidade não é um programa 'configure e esqueça'. Espera-se que as empresas cumpram o regulamento e tenham um monitoramento regular para garantir que permaneçam em conformidade. ”

É importante conduzir auditorias GDPR “para verificar se os processos estão em vigor para lidar com as tarefas necessárias, incluindo o direito ao esquecimento e a portabilidade de dados, e para que os funcionários de proteção de dados [DPOs] e a equipe saibam o que fazer no caso de uma brecha de segurança”, acrescenta Gary Southwell, gerente geral da Divisão de Segurança Cibernética da CSPi.

“A verificação completa dos processos por meio de uma auditoria fornece medidas que podem ser usadas para melhoria do processo”, afirma Southwell. “Mas também fornece um elemento-chave de conformidade - provando que a sua empresa tem tais processos em funcionamento - antes que os problemas ocorram. Especificamente, também pode ajudar a melhorar a prontidão geral da resposta investigativa, algo que todas as empresas devem fazer para minimizar o risco de perda de dados ”.

Provavelmente, as auditorias GDPR envolverão pessoas fora da segurança, incluindo governança de dados, recursos de TI, do setor  jurídico e do RH. Claramente, grande parte do foco será em programas de segurança cibernética.

Aqui estão os principais passos de uma auditoria GDPR, de acordo com especialistas do setor.

1. Crie um plano de auditoria GDPR
O primeiro passo é ter um plano detalhado e um conjunto de processos escritos, acionáveis ​​e atribuíveis que passem pelos requisitos da lei, passo a passo, diz Southwell. “Para quem é novo na criação de tais planos, a ISO [International Standards Organization] fornece alguns modelos ”, diz Southwell. “Embora não seja específico para os requisitos do GDPR, a ISO fornece um modelo de como criar planos adequados, detalhando quem faz o quê, como e quando.”

Como parte dessa fase inicial, as empresas precisam avaliar quais dados de residentes na UE elas coletam, onde são armazenados e como e onde são processados. "A auditoria deve garantir que esses dados sejam identificados corretamente", diz Southwell. “Uma vez identificados, as ações de conformidade podem ser especificadas.”

Por exemplo, quem é responsável pelo rastreamento de tais dados para remoção ou transferência a pedido de residentes da UE? "Como você garante que tal pedido é legítimo?", Diz Southwell. "Como você garante que os dados estão sendo adequadamente tratados?" Se os dados precisarem ser removidos, é necessário que haja um processo para garantir que todos os repositórios, incluindo os backups de dados, tenham sido atualizados e contabilizados adequadamente."

O plano deve incluir uma maneira de identificar quais detalhes do residente da UE foram expostos e se esses registros foram protegidos por criptografia. "Se assim for, os passos para a notificação são dramaticamente diferentes", diz Southwell. “A auditoria deve mostrar como cada caso é tratado. A melhor prática também forneceria uma trilha de auditoria forense completa para ajudar a esclarecer dúvidas e comprovar a conformidade. ”

Ao criar um plano de auditoria para GDPR, lembre-se de que as empresas precisam estar cientes dos dados que possuem em todo o seu ciclo de vida. “Infelizmente, o GRPR é um regulamento vago que nos deixa com muitas questões abertas, o que aumenta a complexidade de conformidade”, diz Fouad Khalil, chefe de conformidade no provedor de serviços de segurança SecurityScorecard, Inc. “Dito isso, recomendo que as organizações implementem um plano de auditoria em torno do ciclo de vida dos dados pessoais. ”Isso inclui a classificação de dados pessoais e o gerenciamento do risco de dados, segurança e cadeia de suprimentos.

2. Procure por lacunas de conformidade com o GDPR e relate os resultados
Revise seu programa de conformidade atual sob o GDPR. Isso inclui registros de processamento, o processo de solicitação de acesso ao responsável pelos dados, controles técnicos e de segurança, princípios de privacidade e mecanismos de transferência de dados, diz Sparrow.

"O GDPR afeta a maioria dos departamentos dentro de uma organização", diz Sparrow. “A fase de descoberta da auditoria consistirá em entrevistas e documentação/revisão de políticas com qualquer departamento que processe dados pessoais ou seja responsável pela governança, operações ou controles técnicos relativos a dados pessoais.”

Isso determinará a capacidade da organização de alinhar-se às regras do GDPR. As sessões de pesquisa devem incluir a eficácia da organização em atender aos requisitos, diz Sparrow, incluindo:

- Solicitações de acesso

- Princípios de privacidade

- Controles técnicos e de segurança

- Aplicabilidade do DPO

- Transferências de dados para fora da UE para países sem decisão de adequação

- Supervisão e contratos do processador

- Resposta à violação de dados e notificação a uma autoridade de supervisão e a titulares de dados

- Metodologia de avaliação do impacto na privacidade

- Demonstração de proteção de dados por design e padrão

- Monitoramento contínuo do programa de conformidade

Quando a fase de pesquisa estiver concluída, os auditores precisam delinear o processo atual e as áreas que estão desalinhadas. Isso envolve produzir um relatório que mostre a capacidade da organização de alinhar-se às regras do GDPR.

O relatório pode ser extenso, com resultados exaustivos e recomendações sobre mudanças que precisam ser feitas, diz Sparrow. Ou pode ser tão simples quanto uma classificação “alinhada” ou “não alinhada”, com o entendimento de que qualquer coisa na categoria “não alinhada” precisa ser corrigida.

3. Priorize e corrija lacunas na conformidade com o GDPR
Em seguida, a equipe de auditoria precisa priorizar áreas que estão fora de conformidade, com base no nível de risco das áreas específicas. "Tome uma abordagem baseada em risco quando se trabalha para remediação", diz Sparrow. “Por exemplo, os reguladores comentaram em conferências que seu foco será em violações e na capacidade de uma organização de facilitar solicitações legítimas de acesso. Se a sua empresa estiver falhando nessa área, recomendamos corrigi-la imediatamente. ”

Fatores que devem ser considerados na determinação do risco incluem a probabilidade de ocorrência, o nível de desalinhamento com a regulamentação e o impacto nos negócios se a violação ocorrer. Começando com as áreas de maior risco, corrija as lacunas de conformidade com o GDPR encontradas na fase de pesquisa.

Dado o amplo alcance do regulamento e os vários requisitos, é improvável que as lacunas sejam corrigidas por um indivíduo ou equipe, diz Sparrow. "Distribua tarefas para os proprietários adequados responsáveis ​​pela remediação e prazos realistas", diz ele.

É vital entender que alguns itens de remediação levarão mais tempo do que outros. Por exemplo, correções e atualizações técnicas podem exigir realocação de orçamento e aumento de equipe, ou os direitos dos titulares de dados podem exigir desenvolvimento de treinamento para os membros da equipe responsáveis ​​pelo tratamento de solicitações de usuário final. 

4. Teste os esforços de correção
Agora que a equipe de auditoria investiu tempo e recursos na busca e correção de lacunas de conformidade, é vital garantir que os processos e sistemas da organização atendam aos requisitos do GDPR.

Teste, e teste novamente, os controles que a organização implementou para garantir que as lacunas sejam fechadas e corrija quaisquer problemas que possam surgir. "Agora que as lacunas foram fechadas, audite para garantir que os requisitos foram atendidos", diz Sparrow.

Lembre-se de que este é um processo contínuo. “Realize auditorias regularmente para garantir que o programa de privacidade e conformidade esteja operando conforme o esperado”, diz Sparrow. “Realize auditorias e testes contínuos da estrutura de conformidade e privacidade para garantir que tudo esteja em ordem. A responsabilidade é um princípio do GDPR, e as organizações devem implementar um programa contínuo de monitoramento e fiscalização para testar a eficácia do programa de privacidade no atendimento dos requisitos do GDPR.

Os elementos do GDPR e da privacidade de dados “precisam ser incorporados às análises regulares de risco”, diz Mischa Danaceau, CSO do provedor de serviços de segurança gerenciados InteliSecure.

“Existem aspectos da lei que podem não se aplicar a todas as empresas, incluindo a nomeação de um DPO ou a manutenção de registros das atividades de processamento”, diz Danaceau. “Para isso, a auditoria em si pode ajudar as empresas a entender melhor os requisitos.”

GDPR

Benefícios de bônus de auto-auditorias do GDPR
Realizar uma auditoria GDPR leva tempo, dinheiro e outros recursos. No entanto, o retorno desse investimento pode ser maior do que simplesmente reduzir o risco de uma multa. “Os pontos positivos de se sair bem em uma auditoria própria superam em muito os custos e o esforço necessários para realizar a auditoria”, afirma John Timmerman, evangelista global do setor na Teradata.

Além disso, é sabido que a Lei Geral de Proteção de dados recém aprovada pelo congresso brasileiro é inspirada no GDPR, seguindo muitos dos seus dispositivos.  Sua entrada em vigor está marcada para 18 meses após a sanção presidencial, que deve acontecer nos próximos dias. Portanto, uma adequação ao GDPR é uma boa preparação para uma adequação à LGPD.

Timmerman também vê a auto auditoria como uma maneira de demonstrar a defesa do cliente. “Toda organização de marketing afetada pela GDPR (e, futuramente, pela LGPD) deve estar considerando o quão bem está protegendo seus clientes. É surpreendente o número de organizações que vêem o GDPR como uma obrigação e não como uma oportunidade ”, diz ele. "Os líderes do mercado serão honestos e diretos sobre tudo o que estão fazendo para serem administradores fiéis das informações dos clientes e liderarão mostrando aos clientes especificamente como e por que esses dados são usados ​​para oferecer melhores ofertas e melhores serviços."

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail