Clique e receba as novidades quentinhas no Telegram

Em maio de 2018, uma lei de privacidade europeia, a General Data Protection Regulation (GDPR) ou Regulação Geral de Proteção de Dados, está prevista para entrar em vigor. O GDPR impõe novas regras a empresas, agências governamentais, instituições sem fins lucrativos e demais organizações que oferecem bens e serviços a pessoas localizadas na União Europeia (UE) ou que coletam e analisam dados associados aos residentes da UE. A GDPR é aplicável independentemente de onde você esteja localizado, ou seja, vale para todos.

Ultimamente temos presenciado o grande boom dos dados. Frases como “data is the new oil” ou “data is the new bacon” têm sido muito utilizadas para demonstrar a importância dos dados. Seja para aplicações de inteligência artificial, conhecimento sobre os usuários ou até mesmo no que tange questões de segurança, o uso e a preocupação com os dados deve estar presente em todos os lugares.

Indo ao encontro deste novo mind setting, a União Europeia, aprovou em 14 de abril de 2016, o GDPR (General Data Protection Regulamentation). Esta regulamentação é composta por 11 capítulos e 99 artigos que contemplam o modo como os dados devem ser tratados.

Resultado de imagem para GDPR

Pilares da GDPR

Transparência, informação e acesso, controle e processamento, segurança, consistência e confidencialidade são alguns dos itens inclusos neste documento.

A quem se aplica?

Apesar de ser um documento criado pela União Europeia, ele não é restrito apenas ao seu território. Como sabemos, os dados desconhecem limites territoriais, principalmente quando falamos em nuvem. Vide o exemplo do WhatsApp que precisou ser divido em duas empresas para se adequar a GDRP.

Todas as empresas que realizam transações comerciais e oferecem produtos e serviços à União Europeia devem seguir esta regulamentação. Estas regras também se aplicam a companhias que coletam e analisam dados relacionados a cidadãos da UE. Para tal, as empresas têm até o dia 25 de maio de 2018 para atenderem os requisitos do GDPR.

O GDPR garante:

  • Direitos de privacidade pessoal aprimorados;
  • Aumento da obrigação de proteger os dados;
  • Obrigatoriedade em reportar violações;
  • Penas significativas por não cumprimento.

Quais são as principais mudanças para endereçar os pré-requisitos do GDPR?

Privacidade – Os indivíduos têm direito a:

  • Acessar seus dados pessoais
  • Corrigir erros em seus dados pessoais
  • Apagar seus dados pessoais
  • Opor-ser ao processamento de seus dados pessoais
  • Exportar seus dados pessoais

Controles e notificações – As empresas precisarão:

  • Proteger os dados pessoais usando os recursos de segurança adequados
  • Notificar as autoridades em casos de violações de dados pessoais
  • Obter consentimentos apropriados para o processamento de dados
  • Manter registros detalhando o processamento de dados

Políticas transparentes – As empresas são obrigadas a:

  • Informar claramente sobre a coleta de dados
  • Descrever as finalidades e os propósitos para coleta de dados e casos de uso
  • Definir políticas de retenção e de exclusão de dados

TI e treinamento – As organizações precisarão:

  • Capacitar sua equipe de privacidade e seus funcionários
  • Fazer auditoria e atualizar as políticas de coleta e retenção de dados
  • Contratar um gestor de proteção de dados (se necessário)
  • Criar e gerenciar contratos com fornecedores que também atendam a estas regras

O que isto significa para o TI?

Os requisitos regulamentares da GDPR expandem-se para além da segurança típica e do foco no risco para incluir novos requisitos, tais como documentação de processamento de dados, consentimento para uso dos dados e relatórios de conformidade.

Os profissionais de tecnologia devem trabalhar mais próximos das áreas jurídicas e de compliance para ajudar a analisar e identificar processos que precisam ser alterados para melhor atender aos requisitos do GDPR.

Os sistemas e os processos terão de ser redirecionados para melhor suportar o apagamento de dados, os pedidos de portabilidade e a documentação de processamento de dados.

E para os desenvolvedores?

Para os desenvolvedores, o GDPR aumenta a complexidade de criação de designs funcionais e técnicos de sistemas de TI e de aplicativos de negócios.

Será necessária uma documentação completa para mostrar como os programas estão reunindo, processando, armazenando e protegendo dados. Os desenvolvedores deverão ser capazes de demonstrar que o software foi desenvolvido sem falhas ou vulnerabilidades de softwares geralmente conhecidas e que possam ser evitadas.

A Microsoft e o GDPR

A Microsoft acredita que o GDPR é um passo importante para esclarecer e habilitar direitos individuais de privacidade.

Como se preparar para o GDPR?

Descubra – Identifique quais dados pessoais você possui e onde eles residem

Estão na mira: Qualquer informação que o ajude a identificar uma pessoa, como por exemplo:  nome, endereço de e-mail, postagens de mídia social, localização, dados bancários, endereço de IP. Será necessário identificar onde os dados pessoais são coletados e armazenados – e-mails, documentos, bases de dados, mídias removíveis, arquivos de log, backups, etc.

Exemplos de soluções Microsoft para endereçar estas demandas:

Gerencie – Saiba como os dados pessoais são utilizados e acessados dentro de sua organização

Gestão de dados: Defina políticas, funções e responsabilidades para a gestão e uso de dados pessoais, desde o armazenamento, arquivamento, recuperação, contenção e descarte. Os dados deverão ser organizados e rotulados para garantir o correto manuseio. Devem ser considerados fatores como tipo de dados, sensibilidade, contexto e uso, propriedade, administradores e usuários.

Exemplos de soluções Microsoft para endereçar estas demandas:

Proteja – Estabeleça controles de segurança para prevenir, detectar e responder a vulnerabilidades e violações de dados

Prevenção de ataques de dados – proteja seus dados, seja através da proteção física do datacenter, criptografia, segurança de rede, segurança de armazenamento e de computação de dados, gestão de identidade e controle de acessos. Detecte e responda a violações com o monitoramento e detecção de invasões no sistema.

Exemplos de soluções Microsoft para endereçar estas demandas:

Reporte – Mantenha a documentação necessária, gerencie solicitações de dados e notificações de vazamentos

Manutenção de registros – a partir de agora, as empresas terão de registrar os propósitos de processamento de dados, dados pessoais classificados, quem são os terceiros com acesso a estes dados, quais são as medidas de segurança organizacionais e técnicas e qual o tempo de retenção destes dados. Para isto, as empresas farão uso de recursos para reportar toda a documentação de serviços em nuvem, registros de auditoria, notificações de violação de políticas, solicitações de manipulação de dados, relatórios de governança e revisões de conformidade de políticas.

Exemplos de soluções Microsoft para endereçar estas demandas:

Saiba mais

Com o GDPR, é fundamental reconhecer que o cumprimento das normas é uma responsabilidade compartilhada por todos na organização. Lembrando que se não cumprir as regras do GDPR, sua empresa poderá receber multas de até € 20 milhões ou 4% de seu faturamento anual de receita.

Se você tem interesse em conhecer as regras do GDPR e está preocupado se sua aplicação está em conformidade com elas ou simplesmente quer conhecer as soluções da Microsoft, acesse estes links e descubra como a Microsoft pode lhe ajudar.

Fonte/Reprodução: Microsoft Tech