O que os especialistas dizem sobre o GDPR?

Com a entrada em vigor do GPDR, dúvidas surgiram em relação às normas. Especialistas esclarecem algumas das mais comuns.
Emilia Bertolli
3 minuto de leitura
Ultima atualização 11 de Fevereiro de 2022

Você já sabe que o GDPR entra em vigor no próximo dia 25 de maio? O novo regulamento da União Europeia traz diversos pontos que ainda causam muitas dúvidas. O pessoal da IOS conversou com especialistas sobre o General Data Protection Regularions (GDPR) para ajudar a desvendar o regulamento

Privacidade por design
Inside Out Security: Fale um pouco sobre o GDPR e suas implicações na privacidade por design.

Dra. Ann Cavoukian: O que explico para as pessoas é que se você seguir os princípios de Privacidade por design, praticamente está cumprindo os regulamentos, em qualquer jurisdição que esteja. Está seguindo o mais alto grau de proteção, que praticamente garante a conformidade com os regulamentos.

Empresas de todo mundo precisam se preparar para o GDPR
IOS: Quais as preocupações das empresas em relação ao GDPR?

Sue Foster: Se é uma empresa não residente, mas que promove produtos ou serviços na UE, incluindo serviços gratuitos, como um aplicativo, está sujeita ao GDPR. Além disso, se uma empresa não residente estiver monitorando o comportamento de pessoas que estão localizadas na UE, incluindo rastreamento e criação de perfis pessoais, a empresa também está sujeita às regras do GDPR.

A regra das 72 horas é tão rígida quanto parece?
IOS: O que estamos ouvindo de nossos clientes é que a regra de 72 horas para relatar uma violação é uma de suas preocupações. Você poderia explicar a regra em termos simples? O que precisa acontecer antes que o relato seja feito para consumidores e DBAs?

Sue Foster: Você deve relatar a violação à Autoridade de Proteção de Dados o mais rapidamente possível, até 72 horas após tomar conhecimento da violação.

Como sei se uma violação é suscetível de “resultar em um risco para os direitos e liberdades das pessoas”? Existe um documento em que é possível analisar quais são esses direitos e liberdades. Mas é preciso pensar basicamente em termos de senso comum. Os direitos de privacidade da pessoa foram afetados? Seus direitos e integridade de suas comunicações foram afetados ou sua propriedade foi afetada?

Se decidir não reportar mesmo depois desta análise e o DPA não concordar com a decisão, você corre o risco de receber uma multa no valor correspondente a 2% do faturamento global da empresa.

O que fazer quando se descobre uma violação?
IOS:
Quais são as coisas mais importantes a fazer quando se descobre uma violação? Se houver a necessidade de priorizar algo, como você aconselharia um cliente sobre ter um programa de respostas relacionadas ao GDPR?

Sheila FitzPatrick: Antes de mais nada, é preciso ter uma equipe de respostas a incidentes que não seja composta apenas por pessoal de TI. É preciso ter uma equipe de respostas que inclua a área de TI, um representante legal, alguém de Relações Públicas e das áreas Financeira e de Gestão de Risco.

Em segundo lugar, é preciso determinar quais foram os dados potencialmente violados.  De acordo com o GDPR, essa definição tem relação a poder afetar a pessoa e não em relação a essa pessoa poder ser prejudicada. Então é preciso perguntar: quais dados foram violados e como isso afeta a pessoa?

Por isso, é preciso iniciar uma investigação imediatamente e, em seguida, classificar os dados que foram violados em:

– São dados pessoais?
– São dados pessoais confidenciais?
– Afeta um indivíduo?
– Causa impacto em um indivíduo? Então, é provável que o prejudique?

Com base nessas informações, que tipo de notificação é preciso ser feita? Se é provável que afete ou impacte um indivíduo, é preciso informa-lo. Se é provável que prejudique um indivíduo, é absolutamente necessário informa-lo e também as autoridades de proteção de dados.

É necessário contratar um DPO?
IOS:  Uma empresa deve nomear um oficial de proteção de dados (DPO) se, entre outras coisas, “as atividades principais” da organização exigirem “monitoramento regular e sistemático de dados em grande escala”. Muitos clientes da Varonis atuam apenas no B2B, então, o GDPR se aplica aos dados pessoais coletados de indivíduos em um contexto B2B? Como o processamento de dados se torna “grande escala” ao ponto de exigir a nomeação de um DPO?

Bret Cohen, Sian Rudgard e Hogan Lobells: Sim, o GDPR se aplica a dados pessoais coletados em um contexto B2B. O requisito de DPO, no entanto, não é invocado pela manutenção de bancos de dados do cliente.

O requisito é acionado quando as atividades centrais de uma organização envolvam o monitoramento regular e sistemático dos titulares de dados em grande escala, ou quando as atividades principais consistam em processamento em larga escala de categorias especiais de dados.

Portanto, pelo que entendemos das atividades dos clientes da Varonis, é improvável que seja necessário um DPO. Embora essa seja uma área na qual devemos esperar uma orientação das APDs, particularmente em países da UE em que o DPO é um requisito existente, como na Alemanha.

Mesmo que a empresa não seja obrigada a nomear um DPO, ela deve ser capaz de cumprir com os requisitos da GDPR. Isso envolve designar uma pessoa ou equipe responsável por implementar e manter políticas e procedimentos adequados.

Monitore e analise cada toque em cada arquivo com o DatAdvantage. Rastreie e monitore as atividades e comportamento dos usuários de sua empresa.

O que devo fazer agora?

Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

1

Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

2

Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

3

Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

Experimente Varonis gratuitamente.

Obtenha um relatório detalhado de risco de dados com base nos dados da sua empresa.
Implanta em minutos.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

proteção-contra-malwares:-como-defender-os-dados-corporativos-utilizando-a-solução-varonis-datalert
Proteção contra malwares: como defender os dados corporativos utilizando a solução Varonis DatAlert
Conheça os tipos de malwares mais comuns e como a solução Varonis DatAlert ajuda empresas na proteção dos dados corporativos contra esses ataques.
conheça-os-riscos-das-olimpíadas-à-segurança-da-informação
Conheça os riscos das Olimpíadas à segurança da informação
Descubra quais são os riscos que a sua empresa está correndo com as Olimpíadas no Brasil. Acesse o blog da Varonis e confira.
garanta-a-governança-dos-dados-com-o-uso-de-relatórios 
Garanta a governança dos dados com o uso de relatórios 
Todas as organizações devem saber como usar os dados para que sejam tratados de forma consistente em toda a empresa. Portanto, é essencial entender o que é governança de dados e os benefícios para sua organização. Embora cada empresa seja diferente, existem algumas diretrizes básicas que você deve seguir para implementar as práticas de governança de dados com sucesso.   Governança…
ataques-cibernéticos-de-estado-nação:-o-que-sua-empresa-precisa-saber
Ataques cibernéticos de estado-nação: o que sua empresa precisa saber
Ataques cibernéticos de estado-nação são cada vez mais comuns e exigem das empresas uma atenção redobrada em relação à segurança de dados