Em maio de 2018, uma lei de privacidade europeia, a General Data Protection Regulation (GDPR) ou Regulação Geral de Proteção de Dados, está prevista para entrar em vigor. O GDPR impõe novas regras a empresas, agências governamentais, instituições sem fins lucrativos e demais organizações que oferecem bens e serviços a pessoas localizadas na União Europeia (UE) ou que coletam e analisam dados associados aos residentes da UE. A GDPR é aplicável independentemente de onde você esteja localizado, ou seja, vale para todos.
Ultimamente temos presenciado o grande boom dos dados. Frases como “data is the new oil” ou “data is the new bacon” têm sido muito utilizadas para demonstrar a importância dos dados. Seja para aplicações de inteligência artificial, conhecimento sobre os usuários ou até mesmo no que tange questões de segurança, o uso e a preocupação com os dados deve estar presente em todos os lugares.
Indo ao encontro deste novo mind setting, a União Europeia, aprovou em 14 de abril de 2016, o GDPR (General Data Protection Regulamentation). Esta regulamentação é composta por 11 capítulos e 99 artigos que contemplam o modo como os dados devem ser tratados.
Transparência, informação e acesso, controle e processamento, segurança, consistência e confidencialidade são alguns dos itens inclusos neste documento.
A quem se aplica?
Apesar de ser um documento criado pela União Europeia, ele não é restrito apenas ao seu território. Como sabemos, os dados desconhecem limites territoriais, principalmente quando falamos em nuvem. Vide o exemplo do WhatsApp que precisou ser divido em duas empresas para se adequar a GDRP.
Todas as empresas que realizam transações comerciais e oferecem produtos e serviços à União Europeia devem seguir esta regulamentação. Estas regras também se aplicam a companhias que coletam e analisam dados relacionados a cidadãos da UE. Para tal, as empresas têm até o dia 25 de maio de 2018 para atenderem os requisitos do GDPR.
O GDPR garante:
- Direitos de privacidade pessoal aprimorados;
- Aumento da obrigação de proteger os dados;
- Obrigatoriedade em reportar violações;
- Penas significativas por não cumprimento.
Quais são as principais mudanças para endereçar os pré-requisitos do GDPR?
Privacidade – Os indivíduos têm direito a:
- Acessar seus dados pessoais
- Corrigir erros em seus dados pessoais
- Apagar seus dados pessoais
- Opor-ser ao processamento de seus dados pessoais
- Exportar seus dados pessoais
Controles e notificações – As empresas precisarão:
- Proteger os dados pessoais usando os recursos de segurança adequados
- Notificar as autoridades em casos de violações de dados pessoais
- Obter consentimentos apropriados para o processamento de dados
- Manter registros detalhando o processamento de dados
Políticas transparentes – As empresas são obrigadas a:
- Informar claramente sobre a coleta de dados
- Descrever as finalidades e os propósitos para coleta de dados e casos de uso
- Definir políticas de retenção e de exclusão de dados
TI e treinamento – As organizações precisarão:
- Capacitar sua equipe de privacidade e seus funcionários
- Fazer auditoria e atualizar as políticas de coleta e retenção de dados
- Contratar um gestor de proteção de dados (se necessário)
- Criar e gerenciar contratos com fornecedores que também atendam a estas regras
O que isto significa para o TI?
Os requisitos regulamentares da GDPR expandem-se para além da segurança típica e do foco no risco para incluir novos requisitos, tais como documentação de processamento de dados, consentimento para uso dos dados e relatórios de conformidade.
Os profissionais de tecnologia devem trabalhar mais próximos das áreas jurídicas e de compliance para ajudar a analisar e identificar processos que precisam ser alterados para melhor atender aos requisitos do GDPR.
Os sistemas e os processos terão de ser redirecionados para melhor suportar o apagamento de dados, os pedidos de portabilidade e a documentação de processamento de dados.
E para os desenvolvedores?
Para os desenvolvedores, o GDPR aumenta a complexidade de criação de designs funcionais e técnicos de sistemas de TI e de aplicativos de negócios.
Será necessária uma documentação completa para mostrar como os programas estão reunindo, processando, armazenando e protegendo dados. Os desenvolvedores deverão ser capazes de demonstrar que o software foi desenvolvido sem falhas ou vulnerabilidades de softwares geralmente conhecidas e que possam ser evitadas.
A Microsoft e o GDPR
A Microsoft acredita que o GDPR é um passo importante para esclarecer e habilitar direitos individuais de privacidade.
Como se preparar para o GDPR?
Descubra – Identifique quais dados pessoais você possui e onde eles residem
Estão na mira: Qualquer informação que o ajude a identificar uma pessoa, como por exemplo: nome, endereço de e-mail, postagens de mídia social, localização, dados bancários, endereço de IP. Será necessário identificar onde os dados pessoais são coletados e armazenados – e-mails, documentos, bases de dados, mídias removíveis, arquivos de log, backups, etc.
Exemplos de soluções Microsoft para endereçar estas demandas:
- Microsoft Azure – Microsoft Azure Data Catalog
- Enterprise Mobility + Security (EMS) – Microsoft Cloud App Security
- Dynamics 365 – Audit Data & User Activity, Reporting & Analytics
- Office 365 – Data Loss Prevention, Advanced Data Governance, Office 365 eDiscovery
- SQL Server and Azure SQL Database – SQL Query Language
- Windows & Windows Server – Windows Search
Gerencie – Saiba como os dados pessoais são utilizados e acessados dentro de sua organização
Gestão de dados: Defina políticas, funções e responsabilidades para a gestão e uso de dados pessoais, desde o armazenamento, arquivamento, recuperação, contenção e descarte. Os dados deverão ser organizados e rotulados para garantir o correto manuseio. Devem ser considerados fatores como tipo de dados, sensibilidade, contexto e uso, propriedade, administradores e usuários.
Exemplos de soluções Microsoft para endereçar estas demandas:
- Microsoft Azure – Azure Active Directory, Azure Information Protection, Azure Role-Based Access Control (RBAC)
- Enterprise Mobility + Security (EMS) – Azure Information Protection
- Dynamics 365 – Security Concepts
- Office 365 – Advanced Data Governance, Journaling
- Windows & Windows Server – Microsoft Data Classification Toolkit?
Proteja – Estabeleça controles de segurança para prevenir, detectar e responder a vulnerabilidades e violações de dados
Prevenção de ataques de dados – proteja seus dados, seja através da proteção física do datacenter, criptografia, segurança de rede, segurança de armazenamento e de computação de dados, gestão de identidade e controle de acessos. Detecte e responda a violações com o monitoramento e detecção de invasões no sistema.
Exemplos de soluções Microsoft para endereçar estas demandas:
- Microsoft Azure – Azure Key Vault, Azure Security Center, Azure Storage Services Encryption
- Enterprise Mobility + Security (EMS) – Azure Active Directory Premium, Microsoft Intune
- Office 365 – Advanced Threat Protection, Threat Intelligence
- SQL Server and Azure SQL Database – Transparent Data Encryption, Always Encrypted
- Windows & Windows Server – Windows Defender Advanced Threat Protection, Windows Hello, Device Guard
Reporte – Mantenha a documentação necessária, gerencie solicitações de dados e notificações de vazamentos
Manutenção de registros – a partir de agora, as empresas terão de registrar os propósitos de processamento de dados, dados pessoais classificados, quem são os terceiros com acesso a estes dados, quais são as medidas de segurança organizacionais e técnicas e qual o tempo de retenção destes dados. Para isto, as empresas farão uso de recursos para reportar toda a documentação de serviços em nuvem, registros de auditoria, notificações de violação de políticas, solicitações de manipulação de dados, relatórios de governança e revisões de conformidade de políticas.
Exemplos de soluções Microsoft para endereçar estas demandas:
- Microsoft Trust Center – Service Trust Portal
- Microsoft Azure – Azure Auditing & Logging, Azure Data Lake, Azure Monitor
- Enterprise Mobility + Security (EMS) – Azure Information Protection
- Dynamics 365 – Reporting & Analytics
- Office 365 – Service Assurance, Office 365 Audit Logs, Customer Lockbox
- Windows & Windows Server – Windows Defender Advanced Threat Protection
Saiba mais
Com o GDPR, é fundamental reconhecer que o cumprimento das normas é uma responsabilidade compartilhada por todos na organização. Lembrando que se não cumprir as regras do GDPR, sua empresa poderá receber multas de até € 20 milhões ou 4% de seu faturamento anual de receita.
Se você tem interesse em conhecer as regras do GDPR e está preocupado se sua aplicação está em conformidade com elas ou simplesmente quer conhecer as soluções da Microsoft, acesse estes links e descubra como a Microsoft pode lhe ajudar.
- Choosing the Right Platform to Accelerate your GDPR Journey
- Simplify your Approach to Information Governance with GDPR
- Accelerate your GDPR Journey
- 3 Steps to Accelerate GDPR Compliance in your Organization
- Azure and the GDPR: What you need to know to become compliant
- Azure and the GDPR: Technical deep dive on implementing GDPR requirements in Azure
- GDPR Compliance in the Cloud: How Azure Can Help
Fonte/Reprodução: Microsoft Tech
Comentários