Nova legislação europeia tem por missão zelar dados pessoais e sensíveis de cidadãos europeus; Entretanto novas regras também influenciam empresas no Brasil.
O objetivo deste artigo é esclarecer alguns aspectos que, na minha opinião, não estão sendo devidamente valorizados quando se fala na GDPR. Os artigos focam nas penalidades, porém, escreve-se pouco sobre como as empresas podem se preparar utilizando boas práticas de governança de dados para que tais penalidades sejam evitadas.
Cito como exemplo o caso de vazamento de dados na empresa Netshoes.
Alguns pontos me chamaram atenção. A Netshoes faz as seguintes afirmações:
..."não há qualquer indício de invasão à sua estrutura tecnológica" e disse que "desde o primeiro momento em que foi noticiado o caso, todas as providências cabíveis foram tomadas".
"A empresa reforça que adota todas as medidas e melhores práticas de segurança da informação e que não negocia, nem nunca negociará, com criminosos"...
"... o incidente de segurança comprometeu dados pessoais como nome, CPF, e-mail, data de nascimento e histórico de compras".
Os trechos extraídos da notícia do vazamento demonstram claramente que o ocorrido se deu pela ausência de boas práticas de proteção de dados pessoais. Se as leis de proteção de dados vigentes no país fossem observadas através da aplicação de boas práticas de governaça de dados, o incidente não teria ocorrido. Podemos perguntar:
Como o GDPR, em conjunto com Governança de Dados, pode ajudar na mitigação de riscos?
O GDPR vem junto com a Governança de Dados para causar uma mudança na maneira como armazenamos, fornecemos e analisamos dados. Para que tal mudança ocorra, é necessário que abordemos os três principais temas da regulamentação. São eles:
1 - Transparência
- Como ser comunicado? (Artigo 12)
- O que deve ser comunicado? (Artigos 13 e 14)
- Como devemos comunicar? (Artigos 15 a 22)
- Como comunicar violação de dados? (Artigo 34)
2 - Prestação de Contas (Artigo 30)
- Categorização de dados;
- Categorização de repositórios de dados;
- Categorização de dados por assunto;
- Categorização de padrões de transformação de dados;
- Padrões de armazenamento e retenção de dados;
- Regulamentações e conformidade de dados.
3 - Governança (Artigo 29)
- Definição de princípios e políticas;
- Definição de guias de procedimentos;
- Definição de processos e procedimentos;
- Medição de qualidade das políticas, procedimentos e processos;
- Criação de Indicadores de eficácia e eficiência.
Outro ponto a ser desmitificado é o de que o Brasil não tem leis de proteção de dados. Nosso país tem leis que regulamentam a proteção de dados, e a principal delas é o Marco Civil da Internet. O que nos falta é conhecimento e disciplina para aplicar as leis vigentes sobre o tema no país.
GDPR, o que é ?
A nova legislação européia tem por missão zelar pelos dados pessoais e sensíveis de cidadãos vivos e residentes em países da Comunidade Europeia (Artigo 3º / GDPR). Entende-se por Dados Pessoais:
- Todo e qualquer dado que possa ser convertido em informação que possa identificar uma pessoa natual;
- Pessoal natural identificável é aquela identificada, direta ou indiretamente, por um conjunto de dados que possa ser convertido em um identificador. Por exemplo: Nome de logradouro mais número (numero) da residência pode identificar o morador daquela residência.
GDPR, porque adotar?
Milhões de Cidadãos estão sendo lesados financeiramente e no âmbito de sua segurança física. Empresas perdem clientes e credibilidade devido a:
- Vazamento de Dados;
- Uso de dados pessoais sem consentimento;
- Direito ao esquecimento;
- Engenharia social.
GDPR, a quais empresas se aplica?
Devem estar em conformidade com a GDPR:
- Empresas que comercializam bens e serviços com membros da UE;
- Empresas sediadas ou com filiais em países membros da UE;
- Empresas de e-commerce que coletam, armazenam, processam e utilizam dados pessoas de cidadãos residentes na UE;
- Empresas de Mídia Social que armazenam dados de cidadãos residentes na UE.
Fonte: Sergio Aparecido Oliveira da Silva, diretor de Eventos & Alianças Estratégicas da DAMA Brasil para IDG Now.
Nenhum comentário:
Postar um comentário