Gdpr começa hoje! o que você precisa saber

A partir de hoje, 25 de maio de 2018, a legislação do Regulamento Geral de Proteção de Dados (GDPR) da União Europeia (UE) se tornará efetivamente lei global quando se trata de questões sobre como os dados pessoais devem ser tratados pelas empresas. Embora você possa pensar que uma lei de proteção de dados ratificada na Europa se aplicaria apenas aos europeus, você estaria errado. Isso ocorre porque o GDPR protege todos os cidadãos da UE, independentemente de onde eles morem e com quem estão fazendo negócios, o que significa que as empresas americanas com clientes da UE estão diretamente sujeitas aos requisitos do GDPR e, pior, às multas. Pior, porque, de acordo com um relatório recente da Crowd Research Partners, apenas 7% das empresas estão no caminho de cumprir o GDPR no prazo de hoje.

E, embora existam medidas que você pode tomar ainda hoje para manter sua empresa pelo menos um pouco segura para o GDPR, alcançar a conformidade total não é um projeto leve. Os processos de coleta de dados devem ser relevantes para a forma como os dados serão usados ​​pela empresa (por exemplo, dados de compras do consumidor, mas não dados de histórico médico para empresas de comércio eletrônico). As empresas devem estar dispostas e capazes de explicar exatamente quais dados foram coletados e por quê. As práticas de segurança devem demonstrar uma capacidade clara de proteção contra perda, dano e destruição, e os dados não devem ser mantidos por mais tempo do que o necessário. Qualquer empresa que não cumpra com o regulamento estará sujeita a uma perda de 4% de suas receitas anuais.

"Este não é um conjunto de regras e regulamentos", disse Ankur Laroia, líder de soluções estratégicas do fornecedor de sistemas de gerenciamento de informações Alfresco. Laroia defende que várias questões nos estatutos do regulamento dificultam a conformidade das empresas. Por exemplo, alguns problemas incluem regras abstratas escritas sobre o motivo pelo qual os dados estão sendo coletados, os requisitos de extração excessiva dos dados do cliente quando solicitados e a necessidade de algumas empresas reformularem totalmente os procedimentos de segurança apenas com o objetivo de garantir a conformidade. Ainda assim, Laroia não acha que a UE esteja brincando.

"A UE vai atrás de criminosos", prevê ele. "Se isso fosse promulgado, a Equifax teria tido muitos problemas".

O RGPD, embora se concentre principalmente nos cidadãos da UE, também apresenta um cenário de pesadelo para os empresários americanos., detalharemos o que os americanos precisam saber para começar a jornada em direção à conformidade com o GDPR.

1. As empresas americanas precisarão cumprir

Se sua livraria mãe e pai nunca enviou um pacote para fora da sua cidade, provavelmente você não precisará se preocupar com o GDPR. No entanto, se você tiver pelo menos um cliente da UE, precisará iniciar o processo de se tornar imediatamente compatível com o GDPR. De acordo com os estatutos, os dados do cidadão da UE devem ser protegidos e você deve fornecer ao cidadão os dados, se ele ou ela solicitar. Mais importante, pode ser necessário limpar esses dados dos seus sistemas se e quando o cidadão fizer a solicitação. Se não o fizer e o cão de guarda do GDPR descobrir, perderá 4% de sua receita anual.

"Embora seja uma diretiva da UE, ela afeta qualquer empresa do mundo que tenha residentes na UE como clientes", disse Pete Lindstrom, vice-presidente de pesquisa de segurança da IDC. "Se você tiver campos de endereço e eles forem europeus, provavelmente serão considerados europeus".

Não há distinção entre uma empresa sediada na UE ou em uma cidade como Skokie, Illinois. Em vez disso, a lei concentra-se em informações de identificação pessoal (PII) e onde reside a pessoa associada aos dados. Qualquer pessoa que possua qualquer tipo de dados de PII em um cliente europeu deverá cumprir.

Mesmo que sua empresa tenha alguns clientes na UE, é altamente improvável que sua livraria local seja auditada pelos vigilantes do GDPR. Mas grandes empresas, como Facebook e Yahoo, não poderão reivindicar lealdade americana como forma de contornar o GDPR.

"Se você é mãe e pai e tem uma brecha, é legalmente responsável", disse Laroia. "É difícil dizer se eles realmente vão atrás de você… cada estado membro da UE terá um escritório de conformidade. Esse escritório começará a pedir o esquema de conformidade de todos. Eles criarão um inventário de empresas que fazem negócios em suas regiões geográficas. Eles vão verificar os caras maiores e começar a fazer perguntas."

As empresas americanas que não cumprem não devem esperar que o governo dos EUA os proteja quando os estados da UE apoiados pelo GDPR tentam coletar essa receita perdida. "O governo dos EUA é obrigado a garantir que esses julgamentos sejam cumpridos", disse Laroia. "Se eles são cumpridos ainda está para ser visto, mas o governo da UE terá que lutar."

2. 25 de maio significa 25 de maio

Embora o regulamento entre em vigor hoje, 25 de maio de 2018, a lei foi ratificada pelo Parlamento da UE em 14 de abril de 2016. Isso significa que, no que diz respeito à UE, as empresas tiveram tempo de sobra para implementar práticas compatíveis com o RGPD.. Portanto, se sua empresa for atingida por um ataque cibernético maciço amanhã e um monte de dados que você coletou sobre clientes, visitantes de sites e até parceiros entrarem na nefasta dark web, não será possível reivindicar "tempo insuficiente" como um desculpa para divulgar dados de cidadãos da UE.

"Os estatutos entraram em vigor", disse Laroia. "Você pode ser solicitado a mostrar sua jornada para a conformidade. Você já fez o inventário? Qual é o seu protocolo para um cidadão da UE perguntar sobre seus dados? Essas empresas podem ser solicitadas por essas informações agora mesmo. Elas serão multadas no próximo ano se eles não podem demonstrar conformidade após maio ".

3. Não espere uma extensão

Ao contrário da maioria das batalhas legais que temos nos EUA (por exemplo, neutralidade da rede), ninguém na UE interveio em 24 de maio de 2018 para desafiar o GDPR e, assim, adiar indefinidamente o regulamento. Os europeus queriam isso e agora eles conseguiram.

"Essa é a beleza da maneira como os regulamentos foram estabelecidos", disse Laroia. "Como eles deram às empresas um ano para agir de maneira correta, não houve nenhum desafio do ponto de vista do litígio. Se veríamos isso, isso já teria acontecido. Alguém pode fazer isso depois de ser processado? Tenho certeza de que eles tentarão, mas nesse momento os olharão mal."

4. O que você precisará fazer para cumprir

Conforme exigido pelo regulamento, você precisará colocar alguém encarregado de gerenciar o processo de conformidade. Essa pessoa, a quem a lei do GDPR chama de "DPO" (Oficial de Proteção de Dados), será a pessoa responsável por orientar a equipe de supervisão do GDPR pelas maneiras pelas quais sua empresa está protegendo seus dados. Essa pessoa também será responsável por reunir as diferentes linhas de negócios da sua empresa para produzir uma metodologia para obter e manter a conformidade com o GDPR.

Em poucas palavras, as funções do DPO serão divididas em quatro categorias principais:

• Primeiro, eles precisam estar familiarizados o suficiente com os detalhes do GDPR para atuar como a pessoa de referência, não apenas no processo inicial de conformidade, mas também em todas as perguntas sobre manipulação de dados relacionadas ao GDPR no futuro, e certamente o suficiente para que possam responder às perguntas de ambos os seniores. executivos e operadores de TI que lidam com dados no local.
• Segundo, eles precisam ser capazes de monitorar todos os processos de manipulação de dados em andamento na sua organização e avaliar sua eficácia em relação à segurança dos dados pessoais.
• Terceiro, eles precisam ter recursos de auditoria e monitoramento em qualquer área da sua empresa que possa ser impactada pelo GDPR e avaliá-los regularmente quanto à conformidade.
• E, por último, eles precisam entrar em contato com as autoridades do GDPR do seu setor, cooperar com elas e atuar como uma pessoa de referência para quaisquer solicitações provenientes dessa autoridade.

Tudo isso se resume a um indivíduo que entende fluxos de dados e medidas e tecnologias de proteção de dados, bem como não apenas o conhecimento dos detalhes da legislação do RGPD, mas também o conhecimento da legislação da UE relacionada e relevante, como a Diretiva de Privacidade Eletrônica. A provável falta dessas habilidades criou uma oportunidade de campo verde para consultorias de negócios e TI, mas, se você deseja desenvolver esse talento internamente, uma boa aposta é procurar recursos de aprendizado on-line europeus de língua inglesa, muitos dos quais desenvolveram o material didático do GDPR DPO para esse fim. Além disso, existem organizações multinacionais do setor, como a Associação Internacional de Profissionais de Privacidade (IAPP), que oferecem cursos e certificações de treinamento em GDPR.

Em uma nota mais técnica, para manter a conformidade, você precisará empregar pelo menos um método de criptografia para servidores físicos, NAS (armazenamento conectado à rede), discos e unidades e acesso à rede. Você precisará verificar as identidades dos funcionários e instituir a autenticação multifator (MFA) ao acessar as PII e para transações que incluam dados de PII. Você precisará eliminar as práticas que acessam ou processam dados para fins não autorizados, monitoram e verificam constantemente os dados para garantir a relevância e limpam completa e irreversivelmente os dados do cliente quando solicitado. As organizações deverão realizar avaliações completas de riscos e trabalhar com parceiros, especialmente aqueles conectados por meio de interfaces de programação de aplicativos (APIs), para garantir a conformidade contínua.

Por fim, se os dados da sua organização forem violados, será necessário notificar imediatamente o supervisor associado do GDPR para descrever a violação e suas conseqüências na íntegra. E você precisará comunicar as ramificações da violação aos clientes afetados.

5. Clientes nos EUA

Laroia disse que, em última análise, é um bom senso comercial proteger e ser um bom administrador das informações dos clientes. "É preciso analisar isso do ponto de vista do cliente final", disse Laroia. "Eles são a razão pela qual essas empresas estão nos negócios. Sim, embora seja doloroso para os negócios, as empresas não investiram em tecnologia ou acompanharam o ritmo da inovação".

Infelizmente, regulamentos americanos similares não estão nos livros. As empresas que fazem negócios em Nova York sob os Requisitos de segurança cibernética do Departamento de Serviços Financeiros de Nova York são cobertas até um certo ponto. Este regulamento exige que as empresas com sede em Nova York implementem e mantenham uma política ou políticas escritas, aprovadas por um Diretor Sênior ou pelo conselho de administração da Entidade Coberta (ou um comitê apropriado) ou órgão equivalente. Estabelece as políticas e procedimentos da Entidade Coberta para a proteção de seus Sistemas de Informação e Informações Não Públicas armazenadas nesses Sistemas de Informação, de acordo com a lei escrita.

Outros estados, como o Colorado, discutiram a implementação de regulamentos semelhantes. No entanto, nenhuma lei federal dos EUA existe. Mas Laroia está otimista, os EUA serão os próximos. "Os americanos não têm esses direitos", disse ele. "Mas dê cinco anos."