Lendo recentemente um estudo realizado pela Veritas Technologies achei interessante os dados divulgados afirmando que empresas no mundo todo acreditam erroneamente estar em conformidade com a nova regulamentação de dados General Data Protection Regulation (GDPR).
Ontem coincidentemente a revista digital Security Report fez uma compilação dos dados do relatório, que descrevo aqui:
De acordo com o relatório The Veritas 2017 GDPR Report, quase um terço (31%) dos entrevistados afirmou que a sua empresa já está em conformidade com as principais exigências da nova legislação. No entanto, ao serem indagados sobre requisitos específicos da GDPR, as respostas dadas pela maioria desses entrevistados indicaram que as empresas não estão em conformidade. De fato, uma investigação mais detalhada mostrou que somente dois por cento dessas empresas parecem estar em conformidade com a nova legislação, revelando assim uma clara falta de entendimento sobre o nível de preparação para a GDPR.
Segundo as conclusões do relatório, quase metade (48%) das empresas que afirmaram estar em conformidade ainda não possuem visibilidade total em relação a incidentes de perda de dados pessoais. Além disso, 61% dessas empresas admitiram ser difícil identificar e comunicar violações de dados pessoais em até 72 horas após a descoberta do incidente – um dos requisitos obrigatórios da GDPR em relação aos riscos para os titulares dos dados. Falhas na comunicação de perda ou roubo de dados pessoais – tais como registros médicos, endereços de e-mail e senhas – à agência reguladora dentro do prazo mencionado acima constitui-se em violação deste importante requisito.
Sendo assim, o relatório sugere que as empresas que acreditam estar em conformidade com a GDPR revisem suas estratégias de conformidade. A não-observância das normas da GDPR poderá resultar em multa de até 4% da receita bruta anual global da empresa ou de €20 milhões (a quantia mais alta será aplicada).
A ameaça dos ex-funcionários
Restringir o acesso de ex-funcionários aos dados corporativos e deletar suas credenciais do sistema ajuda a combater atividades maliciosas e assim, evitar perdas financeiras e danos de reputação. No entanto, 50 % das empresas que alegam estar em conformidade afirmaram que ex-funcionários ainda podem acessar os dados internos. Estas conclusões mostram que até mesmo as empresas mais confiantes têm dificuldade em controlar o acesso de ex-funcionários e por isso, se tornam mais suscetíveis a ataques.
Desafios para aplicar “o direito ao esquecimento”
Segundo a GDPR, os residentes da UE terão o direito de solicitar a remoção dos seus dados pessoais do banco de dados de uma empresa. No entanto, a pesquisa da Veritas constatou que muitas empresas que admitiram já estar em conformidade com a legislação não conseguem buscar, encontrar e nem apagar dados pessoais em resposta a solicitações de “direito ao esquecimento”.
Um quinto (18 %) das empresas que acreditam estar preparadas para a GDPR admitiu que dados pessoais não podem ser apagados ou modificados. Outras 13 % afirmaram não ter as condições necessárias para buscar e analisar dados pessoais para a identificação de referências explícitas e implícitas sobre um determinado indivíduo. Além disso, afirmaram não serem capazes de visualizar com precisão o local de armazenamento dos seus dados, pois suas fontes e repositórios de dados não são claramente definidos.
Essas deficiências tornam qualquer empresa incompatível com a GDPR, pois as empresas devem garantir que os dados pessoais sejam utilizados somente para os propósitos para os quais foram coletados, e que os mesmos sejam delatados quando não forem mais necessários.
Desmistificando a responsabilidade da GDPR
O estudo da Veritas também constatou um mal-entendido comum entre as empresas em relação à responsabilidade dos dados armazenados nos ambientes de nuvem. Quase metade (49 %) das empresas que acreditam estar em conformidade com a GDPR é de opinião que o provedor de serviços em nuvem é inteiramente responsável pela conformidade dos dados na nuvem. No entanto, cabe ao controlador dos dados (a empresa) garantir que o processador de dados (o provedor de serviços em nuvem) ofereça as garantias necessárias em relação à GDPR. Este falso senso de proteção poderá ter repercussões sérias quando a GDPR entrar em vigor.
“A GDPR determina que empresas multinacionais levem o gerenciamento de dados a sério. No entanto, as conclusões mais recentes mostraram uma confusão em relação aos requisitos necessários para cumprir as normas obrigatórias da legislação. Conforme a data de implantação da GDPR se aproxima, esses mal-entendidos precisam ser resolvidos o mais rápido possível”, disse Mike Palmer, Vice-Presidente Executivo e Diretor de Produto da Veritas.
“Regulamentos como a GDPR exigem que as empresas saibam exatamente quais dados elas armazenam, como adotar as ações necessárias em relação a esses dados e como classificá-los de forma a aplicar essa política adequadamente. Estes são os preceitos básicos da conformidade e as conclusões divulgadas hoje devem ser utilizadas para orientar as empresas sobre esses mal-entendidos, que poderão levar ao fim das suas operações.”
A GDPR tem por objetivo melhorar a privacidade de dados e os mandatos de proteção nos países-membros da União Europeia (UE). A legislação exige que as empresas adotem as medidas de proteção e os processos adequados para o gerenciamento de dados pessoais. A GDPR entrará em vigor a partir de 25 de maio de 2018 e será aplicada a qualquer tipo de empresa – dentro e fora da UE – que ofereça produtos ou serviços a residentes da UE ou que monitore o seu comportamento.
Baixe o relatório completo por esse link.
Fonte: www.securityreport.com.br