Artigos

GDPR – Qual o nível de aderência de minha organização? Dicas de ferramentas e self-assessments

Por 4 de junho de 2018 Sem comentários

Por @carlosborella

A regulamentação europeia de proteção de dados pessoais denominada (GPDR – Regulamento Geral de Proteção de Dados), foi aprovada em abril de 2016, e exigida a partir de maio de 2018.

A aplicabilidade do GDPR ainda traz algumas dúvidas e as empresas em muitas situações podem já possuir os controles necessários para atender os seus requisitos de conformidade, mas algumas atividades básicas precisam ser endereçadas de modo a direcionar a organização.

Aqui citamos algumas ações que podem auxiliar em um primeiro momento:

  • Conscientização: identificar responsáveis pelo negócio e pessoas chaves, de modo a conscientiza-los em relação aos possíveis impactos gerados pelo GDPR (recomenda-se a realização de fóruns, workshops, etc., de modo a esclarecer o que é o GDPR);
  • Informações Armazenadas/ Processadas: criar um inventario de informações pessoais armazenadas e processadas, com mapeamento de entrada e saída (compartilhamento);
  • Política e direitos a Privacidade: revisar a atual política de privacidade, de modo a atender os requisitos do GDPR e mapear internamente onde há o armazenamento e/ ou processamento de informações pessoais, bem como o formato destas;
  • Resposta a solicitações por informação: criar/ atualizar o plano e formato, de modo a atender o prazo e os tipos de solicitações que poderão ser realizados, por órgãos competentes e/ ou clientes;
  • Bases legais: identificar e documentar quais bases legais suportam suas atividades para atendimento ao GDPR e, posteriormente, atualizar sua política/ aviso de privacidade;
  • Consentimento: avaliar se os avisos de consentimento para registro de informações atendem aos requisitos do GDPR. Em particular, ter atenção a obtenção de autorização dos responsáveis, quando se tratar de menores de idade;
  • Resposta a incidentes: revisar e garantir a existência de meios de detecção, reporte e investigação, quando da ocorrência de um incidente que envolva a quebra de confidencialidade;
  • DPO (Data Protection Officer): designar um responsável pela proteção de dados, definindo onde essa nova função se encaixará na organização e nos procedimentos de governança.

 

Dicas de Self-Assessment Tools

De modo a auxiliar as empresas, alguns órgãos internacionais, como o ISACA estão disponibilizando em sua plataforma, uma ferramenta que permite uma avaliação inicial (ou self-assessment) dos controles exigidos pelo GDPR.

Maiores informações podem ser obtidas em:

https://gdprassessment.isaca.org/

Além disso, outras ferramentas de self-assessment podem ser encontradas e utilizadas, de modo a permitir que sua organização saiba onde está e onde quer chegar, em relação a conformidade ao GDPR.

Maiores informações podem ser obtidas em:

https://gdprchecklist.io/

Por fim, o ICO (Information Commissioner’s Office) é um organismo independente criado para defender os direitos de informação, do Reino Unido, disponibiliza uma ferramenta de self-assessment segregada por função exercida por sua companhia no processamento de dados pessoais.

Maiores informações podem ser obtidas em:

https://ico.org.uk/for-organisations/resources-and-support/data-protection-self-assessment/

*Carlos Borella é Information Security Manager da [SAFEWAY]

 

Quer saber mais sobre Assessment para o GPDR?

Fale conosco: [email protected]

 

Sobre a [SAFEWAY]

[SAFEWAY] é uma empresa amplamente reconhecida como provedora de soluções premium em Segurança da Informação e CyberSecurity. De seu extenso portfólio, destacam-se diversas soluções, entre elas as baseadas nas plataformas:

● Archer da RSA Security, considerada pelos institutos Gartner e Forrester e pelo próprio mercado, a mais completa solução de integração de processos de Governança, Gestão de Riscos, Compliance e Gestão de Continuidade de Negócios;

● [SAFEWAY] Security Tower, suportada pelo IBM Qradar (tecnologia Watson), sob medida para cada organização em suas necessidades de gestão de segurança e cyberdefesa.

● E outras, envolvendo tecnologias ImpervaThalesTripwire e WatchGuard Technologies.

Deixe uma resposta