<img height="1" width="1" src="https://www.facebook.com/tr?id=1902477713099717&amp;ev=PageView &amp;noscript=1">
Tempo de leitura 2min
24 mai 2018

GDPR em vigor - dicas para adequação

Com a GDPR entrando em vigor amanhã, cabe às empresas que processam, manipulam ou armazenam dados de cidadãos ou residentes da União Europeia, submeter-se às regras de compliance disposta no GDPR. Mas, aliada a esta necessidade, cabe uma dose a mais de atenção, visto que os dados obtidos circulam rapidamente dentro das empresas e a probabilidade de se perderem no meio do caminho é imensa.

Será que sua empresa está adequada?

Para atender ao GDPR, provavelmente sua empresa deve ter feito mudanças radicais na forma com que coletam, armazenam e gerenciam os dados recebidos. Se sua empresa ainda não se adequou, abaixo seguem algumas dicas.

De pronto temos o DPO (Data Protection Officer) que é uma figura que surge a partir da adequação à norma. Trata-se de uma pessoa cuja atribuição é garantir (num contexto de olvidar esforços, aconselhar e instruir) a conformidade da empresa com o GDPR, supervisionando e instruindo acerca das obrigações descritas no regulamento.

Esta pessoa será o elo entre a norma e a efetiva implementação e, dentre suas inúmeras atribuições, estão:

  • Criação de uma política de tratamento de dados.
  • Criação de comunicados internos conscientizando a todos sobre a privacidade dos dados obtidos.
  • Elaboração de um plano que vise procedimentos que garantam a efetiva proteção dos dados que estão em posse e isto inclui a manipulação e a manutenção adequado dos dados recebidos, garantindo o correto armazenamento e sua rastreabilidade.

Ou seja, ele será o responsável por “assegurar” o cumprimento da norma, que será refletida nas documentações elaboradas.

Vale lembrar que a obrigatoriedade descrita no GDPR, no que concerne a ter um DPO, está atrelada a três situações específicas. No entanto, não impede que as demais empresas o tenham (pelo contrário, tê-lo será um diferencial):

  1. quando o tratamento dos dados for efetuado por uma autoridade ou entidade pública (com exceção dos tribunais);
  2. quando as principais atividades de tratamento do responsável ou do subcontratante consistir na monitorização regular e sistemática dos titulares dos dados em grande escala (como por exemplo, os grandes operadores de dados na internet, motores de busca, redes sociais), ou;
  • quando as principais atividades do responsável ou do subcontratante consistirem no tratamento em grande escala de dados pessoais sensíveis e dados relativos a condenações penais e contra ordenações (são exemplos desta categoria os hospitais, as instituições financeiras e as seguradoras).

Além disso, sua empresa terá que dispor de:

  1. Uma equipe de privacidade interna: esta equipe abrangerá desde o time de TI até a equipe de legal, compliance, RH, compras e etc;
  2. Uma política de classificação dos dados: esta etapa é fundamental para que sua empresa possa entender quais dados estão sendo recebidos, qual o propósito de sua utilização, onde estão sendo armazenados e para onde estão sendo enviados, pois com esses dados em mãos sua empresa poderá traçar uma política de segurança adequada, além de ser fundamental para corrigir a política existente.

Todos os dados devem ser rastreados. Portanto, uma busca nos possíveis locais por onde eles passarão será fundamental, devendo tal busca iniciar a partir porta de entrada desses dados até o seu repouso absoluto.

  1. Proteção dos Dados: este é de fato o “coração” do GDPR. Nesta etapa sua empresa deverá envidar todos os esforços para que haja uma POLÍTICA DE SEGURANÇA adequada, de modo que sejam mitigadas quaisquer violações, devendo:
  2. Automatizar o tratamento especial de informações com políticas de dados padrão como, por exemplo, controle de acesso, segurança, criptografia e retenção.
  3. Possibilitar a transferência e a eliminação de dados pessoais de todas as fontes de dados.
  4. Constatar e excluir reproduções de dados pessoais prescindíveis.
  5. Manter uma tutela de tais dados, de modo a possibilitar que estes sejam auditáveis (fornecendo rotas de auditoria para todos os consentimentos de dados, pedidos e ações corretivas e etc).

Estar ciente sobre as possíveis ameaças, sobretudo num contexto de vazamento de dados, e atuar de forma rápida e precisa, será capital para sua empresa, pois detectar um intrusão, como um ransomware por exemplo, poderá ditar a continuidade da operação de sua empresa, ou o prejuízo que esta terá em virtude de tal vazamento, tanto num contexto de pagamento de multa, quanto num contexto de perda de negócio.

Arcon Serviços Gerenciados de Segurança

 

NEC Report LGPD

Nova call-to-action

Assine aqui!