Estratégia

10 etapas essenciais para implantar o GDPR

A evolução sem precedentes da Internet e o aumento constante na geração de dados proporcionam um grande desafio sobre proteção e privacidade das informações pessoais, o que exige a aplicação de medidas de segurança sólidas e uma forte conscientização por parte das empresas. No dia 25 de maio, entrou em vigor na Europa o Regulamento Geral de Proteção de Dados. Conhecido pela sigla em inglês “GDPR”, o documento coloca o ônus de responsabilidade do tratamento dos dados pessoais nas organizações públicas ou privadas e considera obrigações que podem acarretar em multas altíssimas para as organizações em caso de não cumprimento.

O agravante nisso tudo é que poucas são as instituições preparadas com medidas de segurança confiáveis. Uma pesquisa realizada pela SAS, especializada em análise de mercado, com 340 executivos de pequenas, médias e grandes empresas, apontou que apenas 45% das organizações tem um processo estruturado para cumprir o GDPR, das quais dois terços acham que esse processo levará a uma conformidade bem-sucedida.

Diante deste cenário, conheça os principais tópicos relacionados à privacidade de dados do GDPR, assim como um olhar pratico quanto a sua aplicação no ambiente corporativo.

1 – Nomeação de um Data Protection Officer

Uma das primeiras etapas é o estabelecimento de um Comitê de Segurança da Informação que deve ser implantado nas corporações com vistas a propor normas e procedimentos internos de segurança da informação e comunicações, bem como assessorar as implementações das mesmas, além de outras competências relativas ao tema.

Este comitê também deve designar um encarregado de proteção de dados (DPO – Data Protection Officer) responsável por desempenhar um papel relevante no período de transição para o cumprimento do novo regulamento. No período inicial da aplicação do GDPR é imprescindível levantar requisitos de implantação das medidas técnicas de segurança, políticas e de campanhas de conscientização.

2 – Avaliação de impacto dos riscos a privacidade

Com a formação do Comitê, o primeiro passo é saber quais medidas precisam ser tomadas pela organização a fim de aproximá-la ao cumprimento total da regulamentação. Tanto o DPO quanto uma empresa qualificada externa poderá rodar um assessment que apresentará todas as lacunas da empresa a serem corrigidas por meio de implementação de medidas técnicas ou plano de conscientização quanto ao uso correto dos dados.

3 – Medidas para reduzir a exposição ao risco

De acordo com a ISO27001, que estabelece requisitos mandatórios para planejar, implementar, monitorar, analisar e aperfeiçoar o Sistema de Segurança da Informação, os tipos de medidas a serem estabelecidas são: físicas (barreiras e controle de segurança no Data Center da organização), organizacionais (políticas, normas e códigos de conduta) ou técnicas (softwares e ferramentas que removem, modificam ou substituem as características individuais por representações codificadas).

4 – Prazo para reportar um incidente

As companhias precisam reportar à Comissão Nacional de Proteção de Dados (CNPD) eventuais ocorrências de violação de informações de forma imediata após o seu conhecimento, no prazo máximo de 72 horas.

5 – Assegurar o cumprimento pelos subcontratantes

As organizações responsáveis pelos dados precisam assegurar que os subcontratantes (Data Processors) estão em conformidade com a regulamentação. Muitas empresas contratam fornecedores de Contact Center e Marketing Digital que apresentam provedores de SMS, E-mail, ERPs, CRMs para lidar com as informações dos clientes. O GDPR será diretamente aplicável aos subcontratantes que passam a estar sujeitos a obrigações mais detalhadas e poderão ficar obrigados ao pagamento de indenização em caso de ocorrência de prejuízos. A atenção deve ser redobrada com fornecedores e parceiros de empresas que lidam com cidadãos europeus, que não podem ser armazenados ou processados fora da União Européia.

6 – Obtenção de consentimento

A organização deve comprovar, de forma escrita ou oral, o consentimento das pessoas, clientes ou usuários, antes de processar os dados. No exemplo do Contact Center, o script do operador pode ser alterado solicitando confirmação do titular para que os dados sejam processados. Também pode-se criar um portal para que o cliente confirme e altere seus dados.

7 – Direito a serem esquecidos

A pessoa tem o direito de pedir a alteração e/ou correção de dados pessoais incompletos através de qualquer meio. As organizações deverão implementar uma integração entre todos os sistemas e processos de forma a assegurar que os dados atualizados em um sistema serão automaticamente atualizados em todos os sistemas dessa entidade. O usuário também tem o direito de apagar permanentemente qualquer dado pessoal, incluindo a retirada de consentimento, informações processadas de forma ilegal ou que deixarem de ser necessárias para a finalidade do serviço.

8 – Adoção da privacidade desde a concepção

O conceito Privacy by Design corresponde a uma forma de abordagem à proteção da privacidade desde a concepção de produtos e sistemas pelas organizações, incorporada diretamente às estruturas tecnológicas desenvolvidas, aos modelos de negócio e às infraestruturas físicas por eles utilizadas. Ou seja, a privacidade é implantada à própria arquitetura dos sistemas e processos desenvolvidos, de modo a garantir condições para que o usuário seja capaz de preservar e gerenciar sua privacidade, a coleta e tratamento das informações pessoais.

9 – Multas pelo não cumprimento

As multas pelo não cumprimento podem chegar a até 4% das receitas anuais ou 20 milhões de euros.

10 – Busque um parceiro especializado

As corporações agora tem novos desafios: além de manter o negócio, é preciso se preocupar cada vez mais com os dados pessoais dos clientes e usuários. Um dos grandes motivos pela baixa aderência de muitas empresas quanto as regulamentações vigentes é a falta de conhecimento e aplicação das medidas corretivas eficientes. A busca por um parceiro especializado pode encurtar o caminho e reduzir os riscos pelo não cumprimento da regulamentação.

Por Gabriel Camargo, CEO da Deep Center – Empresa de gestão da informação

Comentários

comentários

TOP
Web Analytics