Gestão > Privacidade, Segurança de Dados

Sua empresa está pronta para o GDPR?

Fiscalização e emissão de multas na nova regulação europeia, cujo valor mínimo é de 10 milhões de euros, se inicia nesta sexta-feira. Saiba todos os detalhes

21 de Maio de 2018 - 08h08

Reta final para adequação de empresas às exigências do GDPR (General Data Protection Regulation), a nova regulação de dados da União Europeia. Empresas que coletam dados sobre cidadãos em países do continente europeu precisarão cumprir novas regras rígidas para proteger dados e o prazo para adequação se encerra nesta sexta-feira, dia 25 de maio. O GDPR, na verdade, entrou em vigência em 2016, porém a fiscalização e emissão de multas, cujo valor mínimo é de 10 milhões de euros, se inicia nesta semana, conforme esclarece Patrícia Peck, advogada especialista em direito digital.

O GDPR deve estabelecer um novo padrão para os direitos do consumidor em relação a seus dados, mas as organizações ainda serão desafiadas à medida que implementam novos sistemas e processos. Mais do que uma nova ferramenta, trata-se de uma nova prática dentro de organizações, como define Paulo Bonucci, vice-presidente da Cipher na América Latina.

No entanto, o GDPR deixa algumas dúvidas em sua interpretação. Ele diz que as empresas devem fornecer um nível “razoável” de proteção para dados pessoais, mas não define o que constitui “razoável”. Isso dá margem ao GDPR para avaliar as multas por violações de dados e não compliance como um todo.

Quais empresas e que tipos de dados o GDPR atinge?

Qualquer empresa que armazene ou processe informações pessoais sobre cidadãos da União Europeia deve cumprir o GDPR, mesmo que não tenha presença comercial na região. Com isso, empresas de outros países, como o Brasil, que possuem negócios - e que armazenem dados - na Europa, também devem estar em conformidade com a nova regulação.

O GDPR considera dados como informações básicas de identidade (nome, endereço e número de documentos), dados da web (localização endereço IP, cookies e etiquetas RFID), saúde, dados biométricos, dados raciais ou étnicos, opiniões políticas e orientação sexual.

O que acontece se a empresa não estiver em conformidade com o GDPR?

Vai doer no bolso. Em caso de não conformidade, o GDPR prevê multas altas de até € 20 milhões ou 4% do faturamento anual global - o que for maior.

A grande questão não respondida é como as penalidades serão avaliadas. Por exemplo, como as multas serão diferentes para uma violação que tenha um impacto mínimo sobre os indivíduos em relação a uma em que os dados expostos resultem em danos reais? O consenso é que os reguladores agirão rapidamente em algumas empresas que não estão em conformidade logo no início para enviar uma mensagem. Com isso, as organizações podem fazer uma avaliação melhor do que esperar no caso de uma descoberta de não conformidade.

3 pontos chaves do GDPR

A Cipher lista três itens chaves do GDPR e pontos de atenção para cada um deles.

Governança de dados

O GDPR pretende harmonizar as leis de dados em toda a Europa. E o controle destes dados, seu uso e segurança é um dos aspectos primordiais da nova legislação.

Três pontos precisam de atenção:

· Notificação de falhas: Qualquer falha relativa aos dados administrados por uma organização deve ser comunicada dentro de 72 horas a qualquer pessoa afetada e aos reguladores dos dados.

· Privacidade no escopo: Com esta disposição, as empresas devem considerar a natureza da privacidade de dados no escopo de qualquer projeto.

· Gerenciamento de Fornecedores: Fornecedores terceiros também enfrentarão as regras GDPR. Toda instância que lide com os dados deve manter registros detalhados de qualquer atividade de processamento.

Gestão de dados

O gerenciamento de dados diz respeito a forma como tratar das atividades de processamento.

· Exclusão de dados: a partir do GDPR, os europeus têm o direito de solicitar a exclusão de seus dados pessoais dos registros de uma determinada organização.

· Processamento de dados: As organizações devem manter registros internos de todas as atividades de processamento de dados. As informações registradas precisarão incluir o nome e os detalhes da organização, os fins do processamento de dados, a descrição de categorias de indivíduos e dados pessoais, os destinatários, os detalhes das transferências de dados e os cronogramas de retenção de dados.

· Transferências de dados: sob o GDPR, as empresas serão proibidas de transferir dados para um país terceiro que não possui leis adequadas de proteção. A Comissão Europeia avalia os países com leis de proteção de dados “satisfatórias” e mantém uma lista de “países aprovados”.

· Administrador de proteção de dados: Qualquer empresa que processa mais de 5000 registros em um período de 12 meses precisa alocar um responsável pela gestão dos dados (DPO – Data Protection Officer). Um DPO pode atender a uma empresa ou um grupo de empresas e será responsável por monitorar a conformidade com as regras do GPDR e realizar avaliações de proteção de dados, bem como treinar pessoal em políticas globais.

Transparência de dados

Para estar em acordo com a transparência de dados, os seguintes pontos precisam de atenção:

· Consentimento: As organizações que processam dados pessoais devem ser comprovar que tem autorização para usar aqueles dados. Qualquer pessoa tem o direito de suspender o seu consentimento a qualquer momento. Por isso, a empresa deve facilitar o processo.

· Portabilidade de dados: Sob o GDPR, todo solicitante tem o direito obter uma cópia dos seus dados registrados por um provedor de serviços e mover, copiar ou transferir dados facilmente para um novo prestador sem obstáculos à usabilidade.

· Políticas de privacidade: As empresas devem divulgar aos envolvidos informações caso seus dados sejam processados. Os direitos dos clientes devem ser facilmente interpretáveis e acessíveis.

Preparação para o GDPR

De acordo com a pesquisa da PwC, 68% das empresas norte-americanas esperam gastar de US$ 1 milhão a US$ 10 milhões para atender aos requisitos do GDPR. Outros 9% esperam gastar mais de US $ 10 milhões.

Se a sua organização não estiver em conformidade até o prazo de 25 de maio, ela não estará sozinha. As estimativas variam, mas o consenso é que cerca de metade das empresas que devem estar em conformidade não atenderão a todos os requisitos, segundo pesquisa da Solix Technologies.

Quem tem aproveitado o cenário até certo ponto desesperador para organizações são empresas de segurança da informação, sobretudo com foco em soluções para governança. Uma delas é a Nasdaq BWise, empresa norte-americana fornecedora de software para Governança, Risco e Compliance (GRC). A empresa desenvolve uma plataforma para que bancos e indústrias de diferentes setores possam conseguir gerenciar o cumprimento de normas de seus segmentos. Segundo o VP Howard Zev, a solução focada em GDPR registra o maior crescimento da companhia.

"O GDPR impacta globalmente e o maior problema é para empresas multinacionais com investimentos offshore. Não é só uma regulação europeia, é global e um problema que todas as regiões estão enfrentando", afirmou.

Mas, se para as companhias a GDPR tem sido um grande desafio, do lado de desenvolvimento de soluções o cenário é diferente. Zev comenta que o maior desafio não foi construir a solução em si, em sua grande maioria já pronta e disponibilizada na nuvem, mas sim configurar os relatórios da melhor forma para os clientes.

"GDPR tem sido uma jornada para nós. Começamos a pensar no começo de 2017 e a primeira coisa foi entender a regulação, para começarmos a formar grupos de trabalho e conversarmos com clientes e parceiros e entendermos o que construiríamos", explica.

Ele diz que, por já trabalhar com soluções para compliance por muitos anos, a empresa já tinha conhecimento de diversos requerimentos. "O que precisávamos era entender o que facilitaria para os clientes em dashboards e relatórios", diz. O processo durou alguns meses a Nasdq lançou a solução focada em GDPR em outubro do ano passado.

"Sem querer diminuir, mas para nós é apenas mais uma regulação que empresas precisam cumprir. O processo é similar a outras regulações. Foi tudo uma questão de configurar formulários e quais reports seriam ideias e descobrir o que caberia melhor para nossos clientes", completou.

A empresa de soluções, serviços e consultoria completa em segurança da informação Cipher também viu um crescimento na demanda de sua unidade de GRC. Segundo Bonucci, 90% do resultado da Europa vem de plataformas e serviços focados em GDPR.

Apesar do aumento da procura, o executivo acredita que muitas empresas não conseguirão se adequar por conta do curto tempo.

Impactos em TI

Para Mendel Szlej, ex-CIO e agora advisor, será necessário às áreas de TI encaixarem a GDPR em seus roadmaps de projeto, bem como discutir o tema com as áreas de negócio que também serão diretamente impactadas. Surgirá uma nova figura nas estruturas organizacionais, o Data Protection Office, que terá algumas de suas atribuições ditadas por lei e será um grande vigilante de proteção aos dados pessoais. Ele poderá reportar diretamente ao CEO ou estar alocado em áreas como TI ou Risco, porém necessitará de autonomia para reportar rapidamente à alta direção, e responder a fiscalização.