GDPR: O que sua organização precisa saber em 10 etapas

May 24, 2018

A partir do dia 25 de maio, por influência do novo regulamento europeu, o nível de exigência para a proteção de dados pessoais será maior em todo o mundo. Todos serão afetados, ainda que indiretamente

 

A evolução sem precedentes da Internet e o aumento constante na geração de dados proporcionam um grande desafio sobre proteção e privacidade das informações pessoais, exigindo a aplicação de medidas de segurança sólidas e forte conscientização por parte das empresas. No dia 25 de maio, entra em vigor na Europa o Regulamento Geral de Proteção de Dados, mais conhecido pela sigla em inglês “GDPR”, documento que coloca o ônus de responsabilidade do tratamento dos dados pessoais nas organizações públicas e privadas, considerando obrigações que podem acarretar em multas altíssimas para as organizações em caso de não cumprimento.

 

O agravante nisso tudo é que poucas são as instituições preparadas com medidas de segurança confiáveis. Uma pesquisa realizada pela SAS, especializada em análise de mercado, com 340 executivos de pequenas, médias e grandes empresas, apontou que apenas 45% das organizações possuem um processo estruturado para cumprir o GDPR, das quais dois terços acham que esse processo levará a uma conformidade bem-sucedida.

 

Diante deste cenário, conheça os principais tópicos relacionados à privacidade de dados do GDPR, assim como um olhar pratico quanto a sua aplicação nas organizações.

 

1 – Nomeação de um Data Protection Officer
Uma das primeiras etapas é o estabelecimento de um Comitê de Segurança da Informação, que deve ser implantado nas corporações com vistas a propor normas e procedimentos internos de segurança da informação e comunicações, bem como assessorar as implementações das mesmas, além de outras competências relativas ao tema.

 

Deve ser designada dentro da organização e nesse mesmo comitê um encarregado de proteção de dados (DPO – Data Protection Officer), que desempenhará um papel relevante no período de transição para o cumprimento do novo regulamento e no período inicial da aplicação do GDPR, com levantamento dos requisitos, passando pela implementação das medidas técnicas de segurança, a implementação das Políticas e das campanhas de conscientização.

 

2 – Avaliação de impacto dos riscos a privacidade
Com a formação do comitê, o primeiro passo é saber quais medidas precisam ser tomadas pela organização a fim de aproximá-la ao cumprimento total da regulamentação. Tanto o DPO quanto uma empresa qualificada externa poderá rodar um assessment, que apresentará todas as lacunas da organização, que devem ser corrigidos por meio de implementação de medidas técnicas ou plano de conscientização quanto ao uso correto dos dados.

 

3 – Medidas para reduzir a exposição ao risco
De acordo com a ISO27001, que estabelece requisitos mandatórios para planejar, implementar, monitorar, analisar e aperfeiçoar o Sistema de Segurança da Informação, os tipos de medidas a serem estabelecidas são: físicas (barreiras e controle de segurança no Data Center da organização), organizacionais (Políticas, Normas e Códigos de Conduta) ou técnicas (softwares e ferramentas que removem, modificam ou substituem as características individuais por representações codificadas).

 

4 – Prazo para reportar um incidente
As organizações devem reportar à Comissão Nacional de Proteção de Dados (CNPD) eventuais ocorrências de violação dos dados imediatamente após o seu conhecimento, no prazo máximo de 72 horas.

 

5 – Assegurar o cumprimento pelos subcontratantes
As organizações responsáve