Autor: Longinus Timochenco
A governança da segurança da informação é um fator primordial não só para preservar os dados, mas envolve diretamente responsabilidades legais, gestão, qualidade, preservação das informações no ambiente organizacional, continuidade do negócio e, também, nossa vida pessoal.
Com a implementação do GDPR na Europa, é importante esclarecer alguns aspectos ainda pouco explorados. Embora muitos artigos foquem nas penalidades, pouco se fala sobre como as empresas podem se preparar utilizando boas práticas de governança de dados, de forma que as penalidades sejam evitadas. Precisamos difundir muito mais os reais benefícios, afinal não podemos mais atuar nos ambientes digitais sem os devidos cuidados, controles e garantias de privacidade para as instituições e pessoas físicas.
A GDPR é o início da uniformização, higienização de dados, padronização da Educação Digital, tema fundamental para a continuidade do crescimento e evolução digital.
Mas em que consiste o General Data Protection Regulation, GDPR? É uma regulamentação de proteção de dados, que tem por objetivo proteger todos os cidadãos da União Europeia de violações de privacidade em um mundo cada vez mais conectado, interligado e com um volume de dados crescente a cada ano.
Essa regulamentação é a mudança mais importante relacionada à privacidade de dados nos últimos 20 anos, uma vez que a última diretiva relacionada ao assunto foi estabelecida em 24 de outubro de 1995 pelo Parlamento Europeu com o nome de Diretiva 95/46/CE.
Apesar do princípio fundamental de privacidade dos dados dos cidadãos da União Europeia ser preservado por meio dessa diretiva, foram consideradas diversas mudanças, considerando penalidades perante as organizações que não respeitaram as novas regras.
A GDPR foi aprovada em 14 de abril de 2016 pelo Parlamento da União Europeia, sendo que começam hoje as penalidades a todos os estados membros da UE (Alemanha, Áustria, Bélgica, Bulgária, Chipre, Croácia, Dinamarca, Eslováquia, Eslovênia, Espanha, Estônia, Finlândia, França, Grécia, Hungria, Irlanda, Itália, Letônia, Lituânia, Luxemburgo, Malta, Holanda, Polônia, Portugal).
O escopo da regulamentação aplica-se tanto ao controlador dos dados quanto aos processadores. O controlador é qualquer organização que coleta dados e o processador é qualquer organização que processe os dados em nome do controlador.
O que são os dados pessoais, de acordo com a GDPR?
Segundo a regulamentação GDPR, dados pessoais são informações relacionadas a uma pessoa que possam ser usadas para identificá-la – direta ou indiretamente. Pode ser um nome, foto, endereço de e-mail, dados bancários, postagem em sites de redes sociais, informações médicas, dados de GPS, cookies ou até mesmo um simples endereço IP do computador.
A regulamentação GDPR informa que as organizações que processam e controlam dados de pessoas residentes da União Europeia só poderão utilizá-los com o consentimento do mesmo. Além disso, o consentimento deverá ser pedido de forma inteligível, facilmente acessível, usando linguagem clara e simples. Usuários menores de 16 anos só poderão ter seus dados processados com o consentimento dos pais ou responsáveis. Já crianças menores de 13 anos não poderão ter seus dados processados e controlados.
Assim, o usuário é o real proprietário de seus dados pessoais e terá o direito de ter o conhecimento sobre as informações por ele concedidas ao controlador dos dados: quais dados estão sendo processados, quem está processando as informações e qual finalidade. O controlador dos dados deverá disponibilizar uma cópia, de forma gratuita, em formato eletrônico, caso o usuário solicite.
O usuário também terá o direito de realizar a portabilidade dos dados de uma controladora para outra, ou até mesmo ter um “backup” dos seus dados. O direito ao esquecimento também é um ponto importante da GDPR, uma vez que o usuário terá o direito de solicitar ao controlador que apague seus dados pessoais e interrompa a disseminação dos mesmos.
Qualquer violação de dados pessoais que resulte em risco para os direitos e liberdades dos indivíduos residentes da União Europeia deverá ser notificada pelo controlador dos dados em um prazo de até 72 horas, após ter tomado conhecimento da violação.
Qualquer pessoa que tenha sofrido danos por processamento ilegal de seus dados terá direito a receber uma indenização, desde que esteja inserido nos parâmetros da regulamentação da GDPR.
12 principais desafios das organizações
A organização ICO.ORG.UK considera 12 desafios das organizações referentes ao GDPR.
Treinamento
As organizações deverão garantir que as pessoas mais estratégicas da organização tenham ciência das mudanças provocadas pelo GDPR, além da consciência do possível impacto financeiro para a organização em caso de descumprimento da regulamentação.
Informações Armazenadas
As organizações deverão documentar quais são os dados dos usuários armazenados, como eles serão armazenados, como é realizada a cadeia de tratamento das informações por meio da organização, dando a possibilidade ao usuário de apagar, transferir ou cancelar a custódia dos dados, a qualquer momento, tendo a possibilidade dessas ações serem auditadas.
Direitos Individuais
A cobertura de todos os direitos individuais dos usuários deverá ser garantida pelas corporações. O cidadão terá direito de solicitar que as empresas deletem, transfiram e apaguem seus dados eletronicamente. Em caso de descumprimento desses direitos, o usuário terá aporte jurídico baseado na regulamentação GDPR.
Requisições de Acesso
As organizações deverão atualizar os procedimentos internos de forma a lidar com as requisições dos usuários, garantindo a proteção e privacidade dos dados dentro de um acordo de nível de serviço.
Base Legal para processamento de dados
As organizações deverão identificar as bases jurídicas para justificar o processamento dentro do GDPR.
Consentimento
As organizações deverão revisar o gerenciamento de concessões das informações dos usuários e atualizar os consensos, caso esses não estejam dentro das regras de compliance da GDPR.
Menores de Idade
As organizações deverão organizar seus sistemas e processos internos de forma a validar a verificação etária de todos os usuários, garantir o consentimento dos pais ou responsáveis, em caso de crianças menores de 16 anos.
Vazamento de dados
A organizações deverão se certificar de que detenham os procedimentos internos corretos para detectar, denunciar, reportar e investigar violações de dados pessoais dos usuários.
Proteção por Design e Protection Impact Assessment [Pia´s]
As organizações deverão estar familiarizadas com os PIA´s de forma a realizá-los nas situações de novos projetos, sistemas, equipamentos e qualquer alteração que envolva dados pessoais, tornando essa necessidade obrigatória para garantir compliance com a GDPR.
Data Protection Officers [DPO]
As organizações terão que nomear um DPO que irá assumir a responsabilidade pela área de proteção e privacidade dos dados da organização. O desafio do DPO irá desde o treinamento da organização até a remodelagem de processos, produtos, serviços e equipamentos, para que estejam de acordo com as normas da GDPR.
Extensão Internacional
Se a organização opera em mais de um país membro da União Europeia, essa deverá determinar qual autoridade (DPA) irá supervisionar a proteção de dados, além de detectar quais países fora da UE manipulam dados de usuários residentes no continente europeu para torná-los aderentes às regras da regulamentação GDPR.
Comunicados de Privacidade
A política de notificação de privacidade das organizações deverá ser revista. Será necessário um plano referente às mudanças de notificações de concessão dos dados do usuário, que terá o controle de quais dados estão sendo utilizados.
O Brasil
O País ainda não possui uma legislação do tipo GDPR, porém está em andamento no Congresso Nacional um projeto de legislação de Proteção de Dados Pessoais, inspirado na GDPR e que será um grande avanço para todos nós. Pensando no mercado, no negócio das nossas organizações que vendem produtos e realizam serviços para todos os países, seguir a GDPR é uma decisão estratégica de negócio.
Se a sua organização ainda não tiver controles adequados para atender à nova lei, minha sugestão é que ela deva se programar e definir etapas. A primeira delas é implementar ou aprimorar o processo organizacional de segurança da informação.
Com base no exposto acima, qualquer empresa brasileira poderá estar sujeita à jurisdição prescrita pela regulação, caso ofereça seus serviços e produtos diretamente para o mercado de membros da União Europeia. Recomendamos, neste caso, um estudo mais profundo sobre as regras, limites e obrigações impostas pela norma, em face do dever de conformidade.
Longinus Timochenco é diretor de Cyber Defense da Stefanini Rafael na América Latina.