GDPR: cinco áreas importantes!

60% das empresas com negócios na Europa acreditam que vão ser multadas no decorrer do GDPR –  General Data Protection Regulation (Regulamento Europeu Geral de Proteção de Dados – em português). Os dados foram revelados por um estudo da Ovum, realizado em Dezembro de 2015, a 366 Empresas globais de TI. Dados que parecem assustadores, tanto mais que falta menos de um ano para que o novo Regulamento entre em vigor e que as multam começam nos 20 milhões de euros e vão até 4% do volume de negócios anual da empresa infractora.

O novo Regulamento trás grandes novidades em termos de protecção de dados dos indivíduos. Estes têm mais poder para aceder, controlar e mandar apagar os seus dados pessoais, havendo, agora, uma responsabilização por parte das empresas detentoras dessa informação. Sendo que essa responsabilidade passa a incluir entidades terceiras.

Com tão pouco tempo disponível é tempo de abandonar o debate e começar a agir. E ter a noção, alerta João Oliveira, Principal Business Solutions Manager – Information Management CoE, no SAS Institute, de que quando o regulamento fala em “indivíduos” estes incluem também os funcionários – e não apenas os clientes. Ou seja, a sua informação também tem de ser protegida.

Para que tudo funcione é preciso que as empresas trabalhem em cinco áreas (que podem funcionar de forma sequencial):

  1. ter uma politica de acesso aos dados
  2. identificar onde estão os vários atributos e os dados
  3. ter uma política de governação (saber se há atributos sensíveis, qual o seu grau de risco…)
  4. protecção
  5. auditoria internas de avaliação

Mais do que simplesmente ter uma política de controlo de acessos, de governação e de protecção de dados o novo Regulamento obriga a que as empresas repensem toda a sua estratégia. E primeiro que tudo há que olhar para o que há “dentro de casa” e fazer uma avaliação da situação. Sendo que, segundo informações disponibilizadas por João Oliveira na conferência – O novo Regulamento da UE para a Protecção de Dados (GDPR), que decorreu em Lisboa no passado dia 15 de Março, cerca de 52% de todos os dados armazenados são “dark data” (segundo informação da Veritas). Ou seja, as empresas não sabem o que são ou para que servem. Pior ainda. De toda a informação que não é dark data 33% é redundante, obsoleta ou trivial. E aqui a redundância é o termo mais perigoso. Porque quanto maior a taxa de redundância maior o grau de risco envolvido. E não são apenas os documentos digitais formais que têm de ser protegidos. Imagine a quantidade de informação (pessoal) que circula através de emails ou de ficheiros Word/Excel?

O cenário parece ser dantesco, mas há formas de o ultrapassar ou mitigar. Há certos princípios que têm de ser adoptados e seguidos à risca.

Imagine uma empresa que compra uma base de dados ou que faz um outsourcing de determinado serviço. Antes de mais tem de ter a certeza de que a entidade contratada também cumpre o GDPR (senão arrisca-se a pagar, à partida os tais 20 milhões de euros). Se antes era fácil “passar a batata quente” para outra organização agora isso já não vai ser possível. O GDPR estende a responsabilidade. Todos os intervenientes têm de estar a cumprir a lei. Basta um deles não o fazer para serem todos penalizados.

E há ainda outros cuidados a ter. Como o de cumprir os prazos estabelecidos. Quando um cliente requer a portabilidade dos seus dados a empresa tem 30 dias para o fazer. Ou seja, tem esse prazo para identificar os dados do requerente (todos eles) e efectuar a operação desejada. No caso de uma quebra de segurança entre o conhecimento do incidente a comunicação do mesmo (às entidades competentes e aos indivíduos envolvidos) pode decorrer apenas 72 horas. E isso inclui empresas com as quais tenha negócios.

Ou seja, as obrigações são complexas e obrigam a muito mais do que uma simples análise interna. O GDPR vai obrigar a um repensar dos fluxos operacionais e das relações comerciais entre empresas.
Está preparado para isso?

Saiba mais sobre o GDPR Aqui.

2 thoughts on “GDPR: cinco áreas importantes!

  1. Pingback: GDPR: responsabilização é a nova "palavra de ordem" - Business Analytics Portugal

  2. Pingback: #SASCHAT – GDPR e a Privacidade dos dados - Business Analytics Portugal

Deixar uma resposta