regulamento gdpr para proteção de dados e privacidade

Sua Empresa Está Preparada Para o Regulamento GDPR?

Ir para outra seção

Visão Geral

Grandes empresas de tecnologia, preocupadas com a privacidade dos consumidores, colocaram o problema dos dados pessoais no centro das atenções de todo o mundo. E em todos os lugares, as agências reguladoras estão agindo para fortalecer as normas de proteção de dados. A União Europeia (UE) tem tomado medidas importantes para garantir a segurança dos dados de seus cidadãos. O Regulamento Geral de Proteção de Dados (GDPR – General Data Protection Regulation), que entrou em vigor em 25 de maio de 2018, visa reprimir o uso indevido ou roubo de informações pessoais.

As empresas que não cumprirem o regulamento GDPR terão multas rígidas – €20 milhões (US$25 milhões) ou 4% da receita anual, o que for maior – sem mencionar os danos à reputação. Qualquer empresa que utilize dados pessoais dos cidadãos da UE, incluindo aquelas com menos de 250 empregados, deverá adaptar sua estrutura organizacional e operacional. No entanto, aparentemente poucas organizações estão preparadas, apesar das multas severas. Relatórios recentes indicam que, apesar dos meses de preparação, dois terços das empresas não estão preparadas para o regulamento GDPR.

O tempo está passando. Nenhuma empresa, grande ou pequena, tem tempo a perder ao lidar com a redução da exposição aos riscos e da preparação para o novo regulamento e, apesar do perigo de não conformidade, as novas regulamentações também apresentam oportunidades para quem deseja enfrentá-las.

Análise

O regulamento para proteção de dados afetará qualquer empresa, independentemente de sua localidade, que possua dados de clientes europeus. E isso não é tudo. O documento também representará uma mudança na forma como os dados são coletados, armazenados e utilizados.

Assim, as novas normas terão um impacto virtual em todos os setores, da computação em nuvem ao varejo, assistência médica e seguros. Há incertezas até para as empresas que passaram meses implantando os controles e processos necessários para o regulamento GDPR.

O grande volume de informações divulgadas na mídia em resposta ao regulamento contribui para essa incerteza. Por exemplo, há uma diferença de opinião quanto à aplicação das pesadas multas ou prolongação de algum período de carência. Todavia, as recentes Previsões de Segurança Cibernética de 2018 da Aon apontam que as agências reguladoras serão, provavelmente, muito rigorosas.

Além das Fronteiras: Leis de Proteção de Dados Variam ao Redor do Mundo

A aplicação de regulamentações semelhantes, como a Lei de Privacidade da Austrália de 1988 – modificada pelo Regulamento de Privacidade de 2013 e, novamente, pela Emenda à Lei de Privacidade de 2017 – ilustra os tipos de desafios que as empresas devem superar para obterem conformidade com o regulamento GDPR. A título de comparação, nas primeiras seis semanas após a promulgação da Lei de Privacidade da Austrália, atualizada em 2017, 61 empresas fizeram notificações formais de violações de dados à Superintendência Federal de Privacidade, de acordo com Fergus Brooks, Líder Nacional de Práticas de Risco Cibernético na Aon Austrália.

Brooks também observou que, apesar da obrigação de cumprir uma lei de proteção de dados, vigente em fevereiro deste ano, muitas empresas australianas que lidam com dados de clientes europeus não estavam adequadamente preparadas para o regulamento GDPR. “As empresas australianas estão, via de regra, bem longe de onde precisamos estar”, disse Brooks.

Embora as leis sejam regionais, há uma aplicação global. Todas as empresas serão afetadas de alguma forma – até mesmo nos Estados Unidos.


Regulamento GDPR e a Exposição ao Risco de Conformidade

Brooks acredita que o alcance de tais regulamentações deve ser visto sem fronteiras. “No mundo interconectado de hoje, existem implicações globais para leis locais. Simplificando, se você possui registros pessoais de clientes, eles devem ser protegidos”, disse ele. Ainda assim, diferentes tipos de empresas deverão enfrentar a exposição ao risco de maneiras distintas:

Corporações Multinacionais

De acordo com a IAPP, as empresas da Fortune Global 500 estão preparadas para utilizar US$7,8 bilhões para garantir a conformidade com o regulamento GDPR. Provavelmente, esse valor será gasto:

• Fortalecendo a ampla estratégia de privacidade de dados;
• Investindo em nova tecnologia e contratando profissionais com habilidades específicas;
• Enfrentando litígios ou colaborando com agências de conformidade.

Pequenas e Médias Empresas

O recente relatório da International Data Corporation (Corporação Internacional de Dados) revelou que menos da metade das PMEs europeias estão preparadas para lidar com o regulamento GDPR. Na verdade, cerca de 4.000 delas já sofreram violação de dados. Para obter vantagem competitiva na privacidade de dados, as PMEs devem solucionar os seguintes problemas:
• Determinar como os dados são coletados e utilizados;
• Atualizar e revisar contratos de privacidade e práticas de manuseio e armazenamento;
• Permanecer em conformidade com os precedentes legais.

Perfis de Risco B2C e B2B

O relacionamento das empresas B2C e B2B com seus clientes é distinto, e essa dinâmica deve ser considerada na coleta e uso de informações pessoais. Ambos os tipos de empresas devem considerar o seguinte:

• Quando os dados corporativos são dados pessoais;
• E-mail marketing: opção para inscrição / descadastramento;
• O consentimento do usuário e o direito de ser esquecido.


Como adaptar-se ao Regulamento de Proteção de Dados da União Europeia?

Em um artigo recente do Financial Times, Vanessa Leemans, Diretora Comercial da Aon Cyber Solutions na região EMEA, declarou: “O regulamento GDPR legisla uma reestruturação completa de como os dados pessoais são armazenados e usados – e, de forma crucial, responsabilizará as empresas pelos dados que possuem”.

A mudança organizacional eficaz começa de cima. O Diretor de Segurança da Informação e o Diretor de Risco desempenharão papéis cada vez mais importantes no desenvolvimento da estratégia e na garantia da integridade organizacional. Empresas menores, sem uma equipe executiva concentrada na segurança ou risco de dados, podem considerar a contratação de um responsável pela proteção de dados (DPO). O ideal é que o DPO possua conhecimento e qualificação em segurança cibernética e possa realizar avaliações de impacto de risco de privacidade.


Conformidade com o Regulamento GDPR para Fortalecer o Relacionamento com o Cliente

A opinião pública sobre privacidade de dados está mudando e, cada vez mais, os clientes consideram importante a forma como uma empresa protege os dados pessoais dos clientes. Leemans declara que, embora as regulamentações como o GDPR geram desafios, elas também criam oportunidades: “As empresas podem utilizar as regulamentações como oportunidades para mostrar como valorizam seus clientes”. E continua: “O regulamento GDPR oferece às empresas a chance de reforçar seu papel como gestores responsáveis de informações pessoais e elaborar políticas inovadoras de privacidade e segurança que reflitam melhor as necessidades de informatização em constante evolução”.