A entrada em
vigor do Regulamento Geral de Proteção de Dados (RGPD) está à porta e as
empresas têm que preparar-se para estarem em conformidade com a nova lei, sob
pena de sofrerem pesadas multas.
O Regulamento
Geral de Proteção de Dados (RGPD) entra em vigor a 25 de Maio de 2018, com o
intuito de tornar as leis da União Europeia (UE) mais homogéneas, em termos do
tratamento e processamento de dados dos cidadãos. Mas as novas normas
repercutem-se em todo o mundo, já que mesmo as empresas de fora da UE terão que
respeitar o RGPD, desde que lidem com dados de cidadãos europeus.
Um dos pontos
essenciais do novo Regulamento é o reforço da segurança e da privacidade dos
dados pessoais dos cidadãos que estejam em posse das empresas. As novas normas
determinam medidas rigorosas quanto à origem, armazenamento, tratamento e
acesso a esse tipo de informação. Muitas empresas terão, assim, que
reposicionar toda a sua estrutura de Tecnologias de Informação (TI), no sentido
de implementarem arquiteturas de segurança
informática e de
tratamento de dados muito mais eficientes.
E se os
gestores estão já a fazer contas à vida ao investimento que será necessário
fazer, convém contabilizar, nesse cálculo, as duras sanções previstas para quem
não estiver em conformidade com o RGPD. Quem não cumprir as normas fundamentais
arrisca multas que podem chegar aos 20 milhões de euros, no caso das grandes
empresas. Mas mesmo as mais pequenas têm que se preparar para a nova Lei, já
que o RGPD prevê a responsabilização por danos provocados devido ao
incumprimento, nomeadamente quando dados de cidadãos sejam “violados”.
Reportar falhas
de segurança num prazo de 72 horas
Um dos pontos
relevantes do RGPD é o facto de obrigar as empresas e organizações a reportarem
falhas de segurança num prazo de 72 horas, após as terem detetado. Isto
significa muito pouco tempo para recolher toda a informação necessária,
nomeadamente a extensão da falha e o tipo e a quantidade de dados afetados.
Reforça-se, desta forma, a importância de manter total transparência e
visibilidade de processos, em toda a infraestrutura de TI, desde a cloud
a endpoints, passando pelo software-as-a-service.
Neste ponto,
surge também realçada a necessidade de implementar sistemas Data Loss
Prevention e de Cifra
eficientes, de modo a detetar e/ou impedir falhas e acidentes atempadamente. A
deteção precoce é fundamental e pode até evitar a necessidade de reportar
falhas, se estas forem sinalizadas numa fase inicial, antes que quaisquer dados
sejam comprometidos. Estamos a falar, portanto, de poupar tempo e dinheiro.
Além do report
do incidente, é preciso definir procedimentos de atuação detalhados para conter
o problema e resolvê-lo, bem como seguir medidas preventivas para melhorar a
segurança informática. Tudo isto requer das empresas um tempo de resposta muito
eficiente perante ameaças e, logo, infraestruturas de TI resilientes e com alta
disponibilidade.
Começar com um
"cadastro limpo"
Na preparação
para a entrada em vigor do RGPD, as empresas devem começar por averiguar e
detalhar os dados pessoais dos clientes que estão em sua posse, determinando a
sua procedência, onde estão armazenados e para que fins são usados. Importa,
particularmente, perceber se alguns desses dados terão já sido
"violados" e procurar detetar as falhas de segurança que podem ter
levado a isso. E urge resolver eventuais problemas de modo a começar a era do
RGPD com um "cadastro limpo".
As empresas
devem detalhar já todos os processos de conformidade com o RGPD, nomeadamente
para definir e testar antecipadamente a forma como vai ser aplicado o
Regulamento. Estes passos serão fundamentais para poder cumprir as novas
exigências, especialmente quanto aos novos direitos dos cidadãos de cujos dados
as empresas sejam "guardiãs". Entre esses estão o direito ao
"esquecimento" - quando um cidadão solicitar, a sua informação tem
que ser removida ou apagada da base de dados no prazo de um mês - e o direito
de portabilidade - o titular de dados pode solicitar que estes sejam
transferidos de uma entidade para uma terceira, sem pagar nada por isso.
"Privacy
by Design"
Outro ponto fundamental
do RGPD é o consentimento dos titulares dos dados. Muitas empresas serão
obrigadas a reverem as suas políticas de privacidade, já que o RGPD exige que o
consentimento do titular dos dados seja definido claramente, de forma oral ou
escrita, para o fim concreto a que esses dados se destinam. As transmissões de
dados de clientes entre empresas terão que respeitar a mesma regra, exigindo o
consentimento explícito da pessoa envolvida.
As empresas
terão, igualmente, que garantir que "por defeito" só serão tratados e
armazenados os dados pessoais estritamente necessários para as operações
consentidas. É a chamada "Privacy by Default" ou "Data
Minimization".
A filosofia
empresarial deve, deste modo, mover-se pelo conceito da "Privacy by
Design", com toda a engrenagem de armazenamento e tratamento de dados
pessoais a ser desenhada em total transparência e clareza. Assim se garantirá
que não há falhas na conformidade com o RGPD e se conseguirá testemunhar a accountability
da empresa, ou seja, a prova de cumprimento das normas.
Encarregado de
Proteção de Dados
As entidades ou
organismos públicos, bem como as empresas que lidam com dados pessoais
considerados sensíveis ou em grande escala, têm que nomear um Encarregado de Proteção
de Dados (Data Protection Officer). Mas esta medida também deve ser
aplicada nas demais empresas, para garantir que todos os esforços são cumpridos
no sentido da conformidade com o RGPD.
O que é
essencial é que as organizações estejam absolutamente cientes da sua realidade
interna e do que devem fazer para cumprir a lei. Começar por uma auditoria
de segurança e procurar
profissionais conhecedores das condições legais determinadas pelo RGPD e, em
particular, dos aspetos técnicos a considerar para as implementar, é o melhor
caminho.
