2018-06-19T19:56:45+01:0009/04/2018|Tags: , |

GDPR

By Chris Mermigas, Senior Corporate Counsel, US Region

O General Data Protection Regulation (GDPR) vai passar a valer em breve. Mas quantos funcionários ou membros executivos da sua organização sabem o que é o GDPR e por que deviam se importar com ele? É problema da TI? É problema do Jurídico? De Vendas? De quem é? A data prevista é de 25 de maio, e está quase chegando. Por isso, a hora é agora para as organizações garantirem que sabem tudo de que precisam para estar em conformidade com o GDPR.

A quem se aplica?
O GDPR é uma regulamentação da União Europeia que estabelece direitos e proteções para os dados pessoais de cidadãos da UE. Ele se aplica a todos que lidam ou possuem dados pessoais desses cidadãos ou mesmo monitoram seu comportamento.

O que está coberto por essa regulamentação?
Dados Pessoais são quaisquer informações relacionadas a alguma pessoa na UE que possa ser usada para identificá-la, de forma direta ou indireta. Isso inclui, entre outros: nome, número de conta bancária, fotografias, endereço de e-mail e endereços IP (“Dados Pessoais”). Não importa de esses dados foram gerados por um usuário que inseriu suas informações ou fornecidas por um terceiro.

Quando ele começará a ser aplicado?
Embora, a regulamentação já esteja em vigor desde 2016, ela começará a ser aplicada a partir de 25 de maio de 2018.

Onde ele será aplicado?
O GDPR tem um alcance global e se aplica aos dados pessoais de cidadãos da UE que se originem na UE, independentemente do local físico onde esses dados estejam localizados.

Como agir em conformidade com ele?
As obrigações quanto ao GDPR dependem se sua organização for controladora de dados ou processadora de dados.
• Uma controladora de dados é uma entidade que determina o propósito e os meios de processamento dos dados pessoais.
• Uma processadora de dados é uma entidade que processa dados pessoais em nome de uma controladora de dados.
Em termos gerais, nos dois casos, a organização é obrigada a manter seguros os dados pessoais. Isso significa garantir que todos os dados pessoais: (1) sejam criptografados (mesmo quando em transmissão), (2) sejam coletados somente para necessidades operacionais e (3) estabeleçam uma estrutura de “privacidade por design”. Esse conceito promove a privacidade e a segurança dos dados do começo ao fim do processo de design do banco de dados e das redes. Além disso, as controladoras de dados precisarão verificar se as processadoras estão em conformidade com a regulamentação.

Por que isso nos importa?
Empresas que violem o GDPR podem pagar multas de até EUR 20 milhões ou 4% da receita bruta anual, o que for maior.

Para garantir o sucesso e a conformidade com o GDPR, precisamos do trabalho de toda a empresa: Jurídico, Marketing, Vendas, Recursos Humanos, TI e Finanças. Todos juntos em um plano de ataque cuidadosamente planejado.

Depois que você obtiver a atenção do líder da sua organização, cada setor precisa verificar como identificar, categorizar e administrar os dados pessoais. Em um mundo perfeito, os dados pessoais seriam separados de acordo com a cidadania do indivíduo e o local onde o dado é coletado.

Mas os dados pessoais vivem em diferentes sistemas dentro de sua organização e também são compartilhados com terceiros. Sistemas que você não imaginou podem conter dados pessoais regulados pelo GDPR, como sistemas de RH e os drives compartilhados da rede da sua organização. Essa exploração de por onde circulam os dados em sua empresa pode parecer impossível de fazer, mas, se você não souber onde os dados regulamentados pelo GDPR estão localizados, é melhor tratar todos os dados pessoais e sistemas como passíveis de regulamentação pelo GDPR. Isso não significa que todos os dados em todos os sistemas precisam estar em conformidade com o GDPR, só que os sistemas que possam conter dados pessoais de cidadãos da UE originados na UE precisam ser analisados e estar em conformidade com o GDPR. Essa abordagem transfere o tempo que a organização dedicaria a identificar os cidadãos da UE em cada sistema para estabelecer fluxos de dados e garantir a segurança dos dados pessoais em todos os sistemas GDPR. Uma vez que a organização tenha identificado seus sistemas e dados, é hora de desenvolver uma avaliação dinâmica e um plano de implementação.

Etapa 1: Definir um responsável pela proteção de dados/conscientizar os funcionários

Um Responsável pela Proteção de Dados (DPO, na sigla em inglês) é necessário para todas as controladoras e processadoras de dados em qualquer caso em que:
• O processamento for realizado por uma autoridade ou instituição pública, exceto no caso de tribunais exercendo atividades judiciais
• As atividades principais consistirem em operações de processamento que exijam monitoramento sistemático e regular de sujeitos de dados em uma larga escala
• As atividades principais consistirem no processamento de dados pessoais ou privados

O DPO precisa ter “conhecimento de especialista das leis e práticas de proteção de dados”, precisa se reportar aos níveis mais altos de gerência e não ter nenhuma outra tarefa que possa representar um conflito de interesses. As organizações podem indicar um ou mais DPOs, posto que cada um seja acessível.

Inicialmente, o DPO garantirá que os tomadores de decisão e os principais membros da organização estejam cientes de que a lei está mudando e que prevejam o impacto e os riscos em potencial do GDPR. O DPO deverá trabalhar com o RH e o Marketing em uma campanha de conscientização.

ETAPA 2: Análise de fluxo de dados

Todas as controladoras de dados, processadoras ou subprocessadoras devem conduzir uma auditoria de fluxo de dados para documentar e compreender de onde vêm os dados, como eles foram coletados, onde foram armazenados, com quem e como são compartilhados ou acessados. Essa análise de fluxo de dados identificará todas as fontes de dados, todos os tipos de relações entre os dados e que tipo de segurança esses dados têm, tanto parados quanto em trânsito.

A auditoria de fluxo de dados também deve incluir um ciclo de vida dos dados, da coleta, passando pelo salvamento, uso, transferência, processamento e armazenamento/arquivamento, até a exclusão. Isso é necessário para a cadeira de evidências e precisa seguir as exigências de retenção de registros contratuais da sua organização.

ETAPA 3: Análise da gap/análise de risco

Quando todos os fluxos de dados estiverem completos, uma análise de gap entre o status atual da conformidade com a proteção de dados e as obrigações derivadas da GDPR precisa ser realizada. A análise de gap determinará quais sistemas precisarão estar em conformidade com o GDPR, que tipo de segurança é necessária nesses sistemas e organizará os recursos da empresa de acordo.

As priorizações (sem nenhuma ordem específica) da implementação precisam ser determinadas com a análise de cada sistema que contenha dados pessoais regidos pela GDPR:
1. Risco a operação.
2. Custo de implementação.
3. Cronograma de implementação.
4. Risco jurídico e regulatório.
5. Contato potencial com dados pessoais de cidadãos da UE que foram originados na UE.
6. Direitos dos indivíduos cujos dados pessoais estão no sistema.

ETAPA 4: Construa um plano de implementação e um time de implementação

Se as etapas 1 a 3 determinarem que a organização precisa implementar medidas de segurança para a GDPR, o DPO precisa usar a informação coletada nos passos 1 a 3 para criar um plano de implementação e uma equipe de compliance específicos para a sua organização.

Um plano de implementação de sucesso precisa atingir os seguintes objetivos:
1. Reforçar o direito dos indivíduos aos seus dados pessoais
2. Reforçar as exigências de TI e segurança física
3. Reforçar as exigências de governança
4. Reforçar exigências contratuais com clientes, consultores e prestadores

ETAPA 5: Implementação do GDPR

Além de organizar a equipe de compliance e começar o plano de implementação, a organização precisa implementar:
1. Um sistema de gerenciamento de proteção de dados, que incluirá:
a. Uma estrutura de proteção de dados
b. Conceitos, políticas e procedimentos operacionais padrão
c. Treinamento para os funcionários a respeito de suas obrigações e responsabilidades com relação ao GDPR
d. Documentação para demonstrar a conformidade com as exigências do GDPR
2. Um sistema/estratégia de gerenciamento de contratos
3. Um sistema/estratégia de gerenciamento de prestadores

ETAPA 6: Avaliação do impacto da proteção de dados

Em termos contínuos, o DPO, sozinho ou em conjunto com um consultor externo, deverá conduzir avaliações de impacto de proteção de dados (DPIA) que analisarão os mecanismos de segurança e governança. Os DPIAs são pensados para reduzir o risco e garantir a proteção dos dados pessoais e demonstrar conformidade com o GDPR.

Além de concluir o DPIAs, o DPO informará possíveis gaps e riscos que descobrir. Ele também deve usar essas descobertas para compilar uma análise para o gerente sênior.

Após essa análise, ele deverá auxiliar na implementação do que foi proposto.

ETAPA 7: Mantenha a conformidade

O DPO deverá continuar a administrar a conformidade:
1. Criando e atualizando as políticas ao longo da evolução do GDPR
2. Mantendo controles para implementar essas políticas
3. Fazer auditorias e monitoramentos para garantir que os controles estejam operando de forma eficaz ao longo do tempo e
4. Oferecer governança de documentação e comunicar os resultados da auditoria.

O GDPR não é algo que possa ser subestimado, mas também não precisa ser temido. Veja como uma oportunidade para as empresas com informações fortes se manterem seguras e evoluírem e para que outras melhorem. É a hora de quebrar as barreiras dentro da organização e criar parcerias com os clientes e prestadores. A conformidade com o GDPR exige um trabalho de equipe, desde o menor prestador de serviço até o maior cliente. Todos os dados pessoais do GDPR precisam estar seguros. O objetivo é criar e manter um escudo de segurança para alcançar a conformidade com o GDPR.