A União Européia já estabelecia regras de padrões de proteção de dados há algum tempo, contudo, a obrigação de compliance somente entrará em vigor com o GDPR  nos próximos meses. As violações ao que é determinado pelo código são pesadas – 20 milhões de Euros ou 4% do faturamento global.

Ao contrário do que muitos acreditam, o GDPR não está restrito às empresas europeias, mas a qualquer empresa que por algum motivo tenha que processar dados de residentes europeus, independente da localização. Dito isso, as empresas precisam urgentemente melhorar a forma como coletam e gerenciam os dados.

No núcleo, a compliance com o GDPR trata de práticas relacionadas a gerenciamento de informações sensíveis. Dessa forma, para estar em compliance será necessário medidas práticas para melhorar tanto as práticas dos funcionários quanto o enforcement da aplicação das políticas de segurança.

Contudo, falar isso é mais fácil do que fazer. Os gestores de segurança precisam de estratégias práticas e que possam ser implementadas para que eles consigam atingir o compliance com o GDPR.

7 passos para que as empresas fiquem mais próximas do GDPR

 

1 – Tenha o consentimento explícito do cliente

De aplicativos fitness a e-commerces, as empresas estão coletando cada vez mais dados dos consumidores. Sob as regras do GDPR, elas precisam ser muito claras sobre como estão coletando essa informação e para que ela será utilizada, contando com um documento legal detalhando esses termos. Outra opção é coletar apenas os dados que você precisa – por exemplo, se você não precisa de registrar a idade de um cliente, considere eliminar essa requisição.

 

2 – Armazenamento de Dados Centralizado

Na medida do possível, você deve unificar o repositório central de conteúdos. Tente armazenar todos os dados pessoais em um ambiente, ou conecte de forma contínua ambientes on-premise e nuvem. Se isso não for possível, garanta que os departamentos tenham um único espaço de armazenamento de dados. Elimine a ShadowIT e treine o staff para estar em compliance com essas práticas.

 

3 – Faça auditorias sobre as informações que você possui

Uma das formas mais fáceis de começar a entrar em compliance com o GDPR é realizar uma auditoria sobre as informações que sua empresa possui no momento. Pesquise por qualquer informação pessoal identificável que possa existir ao longo do ambiente. Mova o que você quiser manter para um repositório central e delete o restante.

 

4 – Torne a lista de informações guardadas fácil de acessar

A partir de maio de 2018, os residentes europeus terão o direito de requerer uma lista contendo todas as informações armazenadas sobre eles. Para estar em compliance, você precisa confidencialmente coletar dados de todos os sistemas sobre um cliente específico, o que pode envolver coletar dados de múltiplos sistemas, então, tenha as tecnologias e os processos para conseguir fazer isso.

 

5 – Segurança, segurança, segurança!

As empresas devem armazenar os dados coletados por meio de um sistema interno em uma plataforma segura, de forma que você deve avaliar suas capacidades de cibersegurança, garantir que procedimentos de segurança como criptografia e proteção por senhas estão em vigor e promover boas práticas de segurança entre os funcionários da empresa.

 

6 – Implemente um gerenciamento de registros

As informações pessoais armazenadas por sua empresa devem ser registradas centralmente, contar com permissões e metadados aplicados, também devem ser destruídas quando não forem mais necessárias. Não mantenha registros em papel, implemente processos restritos e automatizados sobre quanto tempo essa informação está armazenada e quando ela não é mais necessária.

 

7 – Honre o direito de ser esquecido dos clientes

O GDPR vai permitir aos cidadão europeus exigir que as empresas deletem os dados armazenados sobre eles. Em ordem para honrar isso, garanta que todos os dados pessoais estão em um ambiente central, de forma que possam ser facilmente acessados e deletados.

Melhorar o gerenciamento de dados e a governança da informação é bom para todos, mas, com a chegada do GDPR, as empresas que não estiverem a par das exigências sofrerão consequências financeiras e legais.