Por @carlosborella
A regulamentação europeia de proteção de dados pessoais denominada (GPDR – Regulamento Geral de Proteção de Dados), foi aprovada em abril de 2016, e exigida a partir de maio de 2018.
A aplicabilidade do GDPR ainda traz algumas dúvidas e as empresas em muitas situações podem já possuir os controles necessários para atender os seus requisitos de conformidade, mas algumas atividades básicas precisam ser endereçadas de modo a direcionar a organização.
Aqui citamos algumas ações que podem auxiliar em um primeiro momento:
- Conscientização: identificar responsáveis pelo negócio e pessoas chaves, de modo a conscientiza-los em relação aos possíveis impactos gerados pelo GDPR (recomenda-se a realização de fóruns, workshops, etc., de modo a esclarecer o que é o GDPR);
- Informações Armazenadas/ Processadas: criar um inventario de informações pessoais armazenadas e processadas, com mapeamento de entrada e saída (compartilhamento);
- Política e direitos a Privacidade: revisar a atual política de privacidade, de modo a atender os requisitos do GDPR e mapear internamente onde há o armazenamento e/ ou processamento de informações pessoais, bem como o formato destas;
- Resposta a solicitações por informação: criar/ atualizar o plano e formato, de modo a atender o prazo e os tipos de solicitações que poderão ser realizados, por órgãos competentes e/ ou clientes;
- Bases legais: identificar e documentar quais bases legais suportam suas atividades para atendimento ao GDPR e, posteriormente, atualizar sua política/ aviso de privacidade;
- Consentimento: avaliar se os avisos de consentimento para registro de informações atendem aos requisitos do GDPR. Em particular, ter atenção a obtenção de autorização dos responsáveis, quando se tratar de menores de idade;
- Resposta a incidentes: revisar e garantir a existência de meios de detecção, reporte e investigação, quando da ocorrência de um incidente que envolva a quebra de confidencialidade;
- DPO (Data Protection Officer): designar um responsável pela proteção de dados, definindo onde essa nova função se encaixará na organização e nos procedimentos de governança.
Dicas de Self-Assessment Tools
De modo a auxiliar as empresas, alguns órgãos internacionais, como o ISACA estão disponibilizando em sua plataforma, uma ferramenta que permite uma avaliação inicial (ou self-assessment) dos controles exigidos pelo GDPR.
Maiores informações podem ser obtidas em:
https://gdprassessment.isaca.org/
Além disso, outras ferramentas de self-assessment podem ser encontradas e utilizadas, de modo a permitir que sua organização saiba onde está e onde quer chegar, em relação a conformidade ao GDPR.
Maiores informações podem ser obtidas em:
Por fim, o ICO (Information Commissioner’s Office) é um organismo independente criado para defender os direitos de informação, do Reino Unido, disponibiliza uma ferramenta de self-assessment segregada por função exercida por sua companhia no processamento de dados pessoais.
Maiores informações podem ser obtidas em:
https://ico.org.uk/for-organisations/resources-and-support/data-protection-self-assessment/
*Carlos Borella é Information Security Manager da [SAFEWAY]
Quer saber mais sobre Assessment para o GPDR?
Fale conosco: [email protected]
Sobre a [SAFEWAY]
A [SAFEWAY] é uma empresa amplamente reconhecida como provedora de soluções premium em Segurança da Informação e CyberSecurity. De seu extenso portfólio, destacam-se diversas soluções, entre elas as baseadas nas plataformas:
● Archer da RSA Security, considerada pelos institutos Gartner e Forrester e pelo próprio mercado, a mais completa solução de integração de processos de Governança, Gestão de Riscos, Compliance e Gestão de Continuidade de Negócios;
● [SAFEWAY] Security Tower, suportada pelo IBM Qradar (tecnologia Watson), sob medida para cada organização em suas necessidades de gestão de segurança e cyberdefesa.
● E outras, envolvendo tecnologias Imperva, Thales, Tripwire e WatchGuard Technologies.