Como aplicar o Regulamento Geral de Proteção de Dados
Em tempos onde os dados estão evidentes como nunca estiverem, e a informação é, mais do que nunca, um produto do interesse das grandes empresas e corporações, o limite entre o que é privado e o que pode ser utilizado publicamente deve ser estabelecido.
No dia 25 de maio entrou em vigor na Europa o Regulamento Geral de Proteção de Dados, também conhecido pela sua sigla em inglês “GDPR”. Mesmo com a aplicação do regulamento, as empresas ainda não estão cientes com os detalhes de aplicação do novo código, que garante a segurança dos dados e determina a responsabilidade por protegê-los e preservá-los.
De acordo com um artigo publicado no portal Profissional & Negócios, há 10 principais tópicos sobre o assunto que apontam também os detalhes quanto a sua aplicação no dia a dia corporativo. Confira:
1 – Nomear um responsável pela implementação do GDPR
Como de costume nas grandes organizações, um dos primeiros passos é criar um Comitê de Segurança da Informação que deve propor um regulamento interno para o uso das informações dos colaboradores. Além disso, ele deve definir uma pessoa para desempenhar o papel de encarregado de proteger os dados(DPO – Data Protection Officer) que deve acompanhar todo o processo de implementação do GDPR na empresa.
2 – Preparar a regulamentação interna
É do escopo das pessoas do Comitê se inteirarem sobre o GDPR e se aliar à uma empresa/pessoa externa que tem expertise no assunto para poder preparar um assessment com todos os detalhes e minúcias do código que devem ser cumpridos para garantir a segurança interna dos dados.
3 – Consultar as medidas para reduzir a exposição ao risco
Para te ajudar à mergulhar no tema, você deve consultar a ISO27001, que estabelece requisitos mandatórios para planejar, implementar, monitorar, analisar e aperfeiçoar o Sistema de Segurança da Informação, os tipos de medidas a serem estabelecidas são: físicas (barreiras e controle de segurança no Data Center da organização), organizacionais (políticas, normas e códigos de conduta) ou técnicas (softwares e ferramentas que removem, modificam ou substituem as características individuais por representações codificadas).
4 – Fique atento ao prazo para reportar um incidente
As empresas tem o prazo de no máximo 72 horas para reportar alguma ocorrência de violação. Mas para quem reportar? Os comitês devem entrar em contato com a sua Comissão Nacional de Proteção de Dados, no caso do Brasil quem cuida é a Comissão de Proteção dos Dados Pessoais do Ministério Público do Distrito Federal e Territórios (MPDFT).
5 – Assegurar o cumprimento pelos fornecedores e terceiros
As empresas precisam garantir que os fornecedores, terceiros e as empresas parceiras – essas últimas quando responsáveis pelos dados (Data Processors) – estão em conformidade com a regulamentação.
6 – Autorização de uso de imagem
Assim como uma autorização de uso de imagem, as empresas devem comprovar, de forma escrita ou oral, o consentimento das pessoas, clientes ou usuários, antes de processar os dados.
7 – Direito a revisão ou esquecimento
Todo e qualquer indivíduo tem o direito de pedir a alteração de dados pessoais incompletos, ou a exclusão dos seus dados dos sistemas da empresa. Esse pedido pode ser feito através de qualquer meio e a empresa, além de ter que garantir que todos os sistemas sejam integrados a ponto de os mesmos dados serem utilizados em todas as plataformas internas.
8 – Adoção da privacidade desde a concepção
O conceito Privacy by Design corresponde a uma forma de abordagem à proteção da privacidade desde a concepção de produtos e sistemas pelas organizações, incorporada diretamente às estruturas tecnológicas desenvolvidas, aos modelos de negócio e às infraestruturas físicas por eles utilizadas. Ou seja, os conceitos que envolvem a privacidade e a proteção dos dados estão dentro de cada processo ou produto feito pela empresa, quando o código está inserido no dia a dia da corporação a ponto da organização respirar os conceitos de privacidade.
9 – Multas pelo não cumprimento
As multas pelo não cumprimento podem chegar a até 4% das receitas anuais ou 20 milhões de euros.
10 – A importância de uma orientação especializada
Além do desafio de manter o negócio, as empresas agora têm que cuidar com os dados pessoais de cada cliente, funcionário e usuário de seus sistemas. Entretanto, o que faz com que as empresas continuem sem implementar o novo código no seu dia a dia, é a falta de conhecimento sobre o assunto e sobre o projeto.
Para isso, no time dos Palestrantes Exclusivos Insperiência temos o Rodrigo Azevedo. Rodrigo é advogado e o único doutor certificado em proteção de dados pelo EIPA no Brasil, e fala sobre direito digital e propriedade intelectual, sendo uma opção para as empresas para auxiliar na compreensão desse assunto que tem gerado grande incertezas nas corporações, e que promete fazer com que as pessoas se preocupem cada vez mais com a segurança dos seus dados.
Para saber mais sobre o Rodrigo clique aqui e solicite um orçamento!