GDPR: O que sua organização precisa saber em 10 etapas
A partir do dia 25 de maio, por influência do novo regulamento europeu, o nível de exigência para a proteção de dados pessoais será maior em todo o mundo. Todos serão afetados, ainda que indiretamente
A evolução sem precedentes da Internet e o aumento constante na geração de dados proporcionam um grande desafio sobre proteção e privacidade das informações pessoais, exigindo a aplicação de medidas de segurança sólidas e forte conscientização por parte das empresas. No dia 25 de maio, entra em vigor na Europa o Regulamento Geral de Proteção de Dados, mais conhecido pela sigla em inglês “GDPR”, documento que coloca o ônus de responsabilidade do tratamento dos dados pessoais nas organizações públicas e privadas, considerando obrigações que podem acarretar em multas altíssimas para as organizações em caso de não cumprimento.
O agravante nisso tudo é que poucas são as instituições preparadas com medidas de segurança confiáveis. Uma pesquisa realizada pela SAS, especializada em análise de mercado, com 340 executivos de pequenas, médias e grandes empresas, apontou que apenas 45% das organizações possuem um processo estruturado para cumprir o GDPR, das quais dois terços acham que esse processo levará a uma conformidade bem-sucedida.
Diante deste cenário, conheça os principais tópicos relacionados à privacidade de dados do GDPR, assim como um olhar pratico quanto a sua aplicação nas organizações.
1 – Nomeação de um Data Protection Officer Uma das primeiras etapas é o estabelecimento de um Comitê de Segurança da Informação, que deve ser implantado nas corporações com vistas a propor normas e procedimentos internos de segurança da informação e comunicações, bem como assessorar as implementações das mesmas, além de outras competências relativas ao tema.
Deve ser designada dentro da organização e nesse mesmo comitê um encarregado de proteção de dados (DPO – Data Protection Officer), que desempenhará um papel relevante no período de transição para o cumprimento do novo regulamento e no período inicial da aplicação do GDPR, com levantamento dos requisitos, passando pela implementação das medidas técnicas de segurança, a implementação das Políticas e das campanhas de conscientização.
2 – Avaliação de impacto dos riscos a privacidade Com a formação do comitê, o primeiro passo é saber quais medidas precisam ser tomadas pela organização a fim de aproximá-la ao cumprimento total da regulamentação. Tanto o DPO quanto uma empresa qualificada externa poderá rodar um assessment, que apresentará todas as lacunas da organização, que devem ser corrigidos por meio de implementação de medidas técnicas ou plano de conscientização quanto ao uso correto dos dados.
3 – Medidas para reduzir a exposição ao risco De acordo com a ISO27001, que estabelece requisitos mandatórios para planejar, implementar, monitorar, analisar e aperfeiçoar o Sistema de Segurança da Informação, os tipos de medidas a serem estabelecidas são: físicas (barreiras e controle de segurança no Data Center da organização), organizacionais (Políticas, Normas e Códigos de Conduta) ou técnicas (softwares e ferramentas que removem, modificam ou substituem as características individuais por representações codificadas).
4 – Prazo para reportar um incidente As organizações devem reportar à Comissão Nacional de Proteção de Dados (CNPD) eventuais ocorrências de violação dos dados imediatamente após o seu conhecimento, no prazo máximo de 72 horas.
5 – Assegurar o cumprimento pelos subcontratantes As organizações responsáveis pelos dados precisam assegurar que os Subcontratantes (Data Processors) estão em conformidade com a regulamentação. Muitas empresas contratam fornecedores de Contact Center e Marketing Digital, que contam com provedores de SMS, E-mail, ERPs, CRMs para lidar com os dados dos clientes. O GDPR será diretamente aplicável aos subcontratantes, que passam a estar sujeitos a obrigações mais detalhadas e poderão ficar obrigados ao pagamento de indenização em caso de ocorrência de prejuízos. A atenção deve ser redobrada com fornecedores e parceiros de empresas que lidam com cidadãos europeus, que não podem ser armazenados ou processados fora da União Europeia.
6 – Obtenção de consentimento A organização deve comprovar, de forma escrita ou oral, o consentimento das pessoas, clientes ou usuários, antes de processar os dados. No exemplo do Contact Center, o script do operador pode ser alterado solicitando confirmação do titular para que os dados sejam processados. Também pode-se criar um portal para que o cliente confirme e altere seus dados.
7 – Direito ao Esquecimento O indivíduo tem o direito de pedir a alteração e/ou correção de dados pessoais incompletos através de qualquer meio. As organizações deverão implementar uma integração entre todos os sistemas e processos de forma a assegurar que os dados atualizados num sistema serão automaticamente atualizados em todos os sistemas dessa entidade. O usuário também tem o direito de apagar permanentemente qualquer dado pessoal, incluindo a retirada de consentimento, informações processadas de forma ilegal ou que deixarem de ser necessárias para a finalidade do serviço.
8 – Adoção da privacidade desde a concepção O conceito Privacy by Design corresponde a uma forma de abordagem à proteção da privacidade desde a concepção de produtos e sistemas pelas organizações, incorporada diretamente às estruturas tecnológicas desenvolvidas, aos modelos de negócio e às infraestruturas físicas por eles utilizadas. Ou seja, a privacidade é incorporada à própria arquitetura dos sistemas e processos desenvolvidos, de modo a garantir, pela infraestrutura do serviço prestado, condições para que o usuário seja capaz de preservar e gerenciar sua privacidade, a coleta e tratamento de seus dados pessoais.
9 – Multas pelo não cumprimento As multas pelo não cumprimento podem chegar a até 4% das receitas anuais ou 20 milhões de euros.
10 – Busque um parceiro especializado As organizações agora possuem novos desafios. Além de manter o negócio, é preciso se preocupar cada vez mais com os dados pessoais dos seus clientes e usuários. Um dos grandes motivos pela baixa aderência de muitas empresas quanto as regulamentações vigentes é a falta de conhecimento e aplicação das medidas corretivas eficientes. A busca por um parceiro especializado pode encurtar o caminho e reduzir os riscos pelo incumprimento da regulamentação.
(*) Gabriel Camargo é CEO da Deep Center