Opinião
Proteção de Dados: o que fazer na hora da mudança
O Regulamento Geral de Proteção de Dados introduz mudanças de impacto significativo para as empresas, e multas que podem chegar aos 4% do volume anual de negócios. Assim, a questão que se impõe é: como podem as empresas preparar-se para o que aí vem?
O novo regulamento centra-se no tratamento a que os dados pessoais estão sujeitos, bem como na sua difusão, e obriga as empresas a pensar na privacidade e segurança dos dados "por design" e "por defeito" ("privacy by design" e "privacy by default").
No caso de "privacy by design", as empresas devem assumir uma atitude proactiva, criando standards de qualidade e de atuação desde as fases iniciais de qualquer projeto. Devem também, para esse propósito, incluir uma visão completa do que será o tratamento e segurança dos dados ao longo do seu ciclo de vida.
"Privacidade por defeito" significa que as configurações de privacidade mais estritas serão aplicadas para que os dados essenciais sejam utilizados apenas para os fins específicos a que se destinam. Para além disso, as informações só podem ser mantidas durante o período de tempo necessário para fornecer o produto ou serviço.
Para dar resposta a estas exigências, as empresas devem ter uma compreensão quase perfeita das suas estruturas internas de TI e das arquiteturas.
A adaptação a este novo conjunto de regras traz consigo desafios técnicos importantes que vão obrigar algumas empresas a um grande esforço.
Então, o que fazer?
Um bom começo será incentivar o diálogo entre advogados, responsáveis pela aplicação interna do regulamento, e equipas de TI para colocar em práticas as adaptações necessárias.
Será necessário identificar informações sensíveis, e a sua exposição ao risco, e encontrar ações preventivas que possam mitigar esses riscos. Será, ainda, obrigatória a realização de sessões periódicas de auditoria (por entidades internas ou externas).
O papel do Chief Information Security Officer (CISO) em organizações que processam dados pessoais será crucial, não apenas para garantir o cumprimento da nova regulamentação, mas também para projetar políticas e processos de privacidade viáveis, tanto em termos de tempo, como de orçamento.
Enquanto parte deste processo, a documentação formal sobre manipulação de dados, as avaliações de risco e os processos preventivos devem ser concebidos e pensados de forma adequada, antes que surja qualquer questão de segurança ou privacidade.
As políticas de segurança de dados devem passar de simplesmente garantir que os dados são extremamente difíceis de aceder sem autorização, para implementar recursos de auditoria e rastreio que justifiquem e esclareçam quem fez o quê, sobre quais dados, e porquê.
Dentro de um ano, as organizações terão que respeitar o Regulamento Geral de Proteção de Dados. Não subestime o esforço que vai ser requerido à sua empresa para se adaptar às novas regras, e comece já a trabalhar nisso.
No caso de "privacy by design", as empresas devem assumir uma atitude proactiva, criando standards de qualidade e de atuação desde as fases iniciais de qualquer projeto. Devem também, para esse propósito, incluir uma visão completa do que será o tratamento e segurança dos dados ao longo do seu ciclo de vida.
Para dar resposta a estas exigências, as empresas devem ter uma compreensão quase perfeita das suas estruturas internas de TI e das arquiteturas.
A adaptação a este novo conjunto de regras traz consigo desafios técnicos importantes que vão obrigar algumas empresas a um grande esforço.
Então, o que fazer?
Um bom começo será incentivar o diálogo entre advogados, responsáveis pela aplicação interna do regulamento, e equipas de TI para colocar em práticas as adaptações necessárias.
Será necessário identificar informações sensíveis, e a sua exposição ao risco, e encontrar ações preventivas que possam mitigar esses riscos. Será, ainda, obrigatória a realização de sessões periódicas de auditoria (por entidades internas ou externas).
O papel do Chief Information Security Officer (CISO) em organizações que processam dados pessoais será crucial, não apenas para garantir o cumprimento da nova regulamentação, mas também para projetar políticas e processos de privacidade viáveis, tanto em termos de tempo, como de orçamento.
Enquanto parte deste processo, a documentação formal sobre manipulação de dados, as avaliações de risco e os processos preventivos devem ser concebidos e pensados de forma adequada, antes que surja qualquer questão de segurança ou privacidade.
As políticas de segurança de dados devem passar de simplesmente garantir que os dados são extremamente difíceis de aceder sem autorização, para implementar recursos de auditoria e rastreio que justifiquem e esclareçam quem fez o quê, sobre quais dados, e porquê.
Dentro de um ano, as organizações terão que respeitar o Regulamento Geral de Proteção de Dados. Não subestime o esforço que vai ser requerido à sua empresa para se adaptar às novas regras, e comece já a trabalhar nisso.
Mais artigos do Autor
Ver mais
