À medida que nos aproximamos do aniversário de um ano da implementação do GDPR, muitas organizações continuam a lutar para conseguir o cumprimento da legislação de referência.
De facto, um estudo recente realizado por Forrester revelou que mais de metade dos inquiridos não tinha tomado todas as medidas necessárias para alcançar o cumprimento, apesar de ter passado o prazo de Maio.
Cumprir a legislação provou ser muito mais desafiante do que algumas organizações tinham inicialmente previsto. Há frequentemente enormes quantidades de dados espalhados por uma grande variedade de plataformas, pontos de acesso infinitos e um aumento dos pedidos de dados tem colocado uma pressão extra sobre as organizações que estão a lutar para pôr a sua casa em ordem.
Demonstrar o cumprimento da GDPR é um processo contínuo e as organizações terão de identificar e abordar continuamente os riscos de privacidade e segurança para garantir que estão do lado certo da lei e não são responsáveis pelas grandes multas que poderiam ser impostas como resultado do não cumprimento.
Desde Maio do ano passado, foram emitidas 91 multas por violações do GDPR, mas a multa de 50 milhões de euros emitida à Google surgiu como a maior até à data. As organizações maiores foram as mais atingidas pelas sanções financeiras mas, para a maioria das empresas, o impacto ainda não se fez sentir.
No entanto, as consequências do incumprimento são muito reais e, se as organizações não cumprirem a legislação, poderão ser confrontadas com coimas devastadoras, danos à reputação e um risco acrescido de ataques cibernéticos.
No entanto, há uma série de medidas que as organizações podem tomar para garantir que estão no caminho certo para o cumprimento do GDPR:
Principais dicas para o cumprimento da GDPR
1. Realizar auditorias regulares e avaliações de risco
A GDPR especifica que as organizações devem realizar auditorias regulares das actividades de processamento de dados e cumprir um conjunto de princípios de protecção de dados que ajudarão a salvaguardar os dados. As organizações terão de determinar:
- Que dados estão a ser recolhidos?
- Onde é que os dados estão a ser obtidos?
- Porque é que os dados estão a ser recolhidos?
- Como é processado?
- Por quanto tempo são os dados retidos?
- Para onde é que os dados estão a ser transferidos?
- Será que todos os dados são necessários?
- Quem tem acesso aos dados?
Para evitar violações de dados, as organizações devem minimizar o acesso a dados sensíveis e reduzir o número de locais onde os dados são fisicamente armazenados.
Ao realizar auditorias regulares, as organizações podem assegurar a existência de um quadro adequado para manter as informações pessoalmente identificáveis dos clientes seguras e mitigar quaisquer riscos.
2. Formação de Sensibilização do Pessoal
A GDPR afirma que os empregados precisam de receber regularmente formação de sensibilização do pessoal de segurança da informação. Esta formação é fundamental para assegurar que o pessoal tenha conhecimento das políticas, regulamentos e requisitos legais aplicáveis ao seu papel quotidiano.
As organizações precisam de provar que o pessoal leu e compreendeu as políticas de GDPR. Ser capaz de fornecer esta prova coloca as organizações numa posição forte para demonstrar que a "Privacidade" se tornou parte integrante do seu dia a dia. eLearning é uma das melhores formas de assegurar que o pessoal compreenda plenamente a política da GDPR.
3. Implementar um Sistema de Gestão de Políticas Eficaz
O cumprimento pode revelar-se uma tarefa impossível utilizando os métodos de comunicação existentes, tais como o correio electrónico e a intranet corporativa. Contudo, através da utilização de software de gestão de políticas, as organizações podem racionalizar os processos internos, demonstrar o cumprimento dos requisitos legislativos, e visar eficazmente as áreas que apresentam o maior risco para a segurança dos dados.
Um sistema de gestão de políticas fornece às organizações uma solução centralizada e fácil de utilizar para a criação, armazenamento e distribuição de documentos políticos importantes. Um sistema eficaz de gestão de políticas terá um método consistente de criação de políticas, acrescenta estrutura aos procedimentos da empresa e facilita o rastreio da conformidade.
4. Criar um Plano de Resposta a Incidentes
Ao abrigo da GDPR, todas as organizações devem revelar quaisquer violações de dados pessoais à autoridade de supervisão relevante no prazo de 72 horas após a sua detecção. Para cumprir eficazmente este pedido, as organizações precisam de ter um plano que lhes permita responder a qualquer incidente de uma forma rápida, planeada e coordenada.
O plano deve delinear as medidas a tomar e indivíduos específicos dentro da organização devem ter papéis e responsabilidades definidos para tomar decisões e gerir a situação de forma eficaz.
O estabelecimento de um plano de resposta a incidentes ajudará a educar e informar o pessoal, melhorar as estruturas organizacionais, melhorar a confiança dos clientes e partes interessadas, e reduzir qualquer potencial impacto financeiro após um incidente grave.
5. Defender todos os Pontos de Acesso
Para atingir a conformidade total com a GDPR, as organizações devem assegurar que todos os pontos finais sejam protegidos. Infelizmente, um grande número de violações de dados evitáveis são o resultado de sistemas não corrigidos. Novas vulnerabilidades são descobertas a toda a hora e a menos que sejam aplicadas correcções, os hackers explorarão estas vulnerabilidades para entrar numa rede.
Para demonstrar o cumprimento dos regulamentos, as organizações precisam de demonstrar que tomaram todas as medidas necessárias para proteger os seus sistemas. Os auditores podem exigir relatórios sobre os patches que foram aplicados e quando, pelo que é vital que as organizações tenham os sistemas correctos em vigor para documentar com precisão os patches que foram emitidos. Os patches são essenciais para manter as máquinas actualizadas, estáveis e a salvo de malware e outras ameaças.
A MetaPrivacidade foi concebida para fornecer a melhor abordagem prática para o cumprimento da privacidade dos dados. Contacte-nos para mais informações sobre como podemos ajudar a sua organização a melhorar a sua estrutura de conformidade.
RESPONSABILIDADE: O conteúdo e opiniões dentro deste blog são apenas para fins informativos. Não se destinam a constituir aconselhamento jurídico ou outro aconselhamento profissional e não devem ser confiados nem tratados como um substituto para aconselhamento específico relevante para circunstâncias particulares, a Lei de Protecção de Dados, ou qualquer outra legislação actual ou futura. A MetaCompliance não aceitará qualquer responsabilidade por quaisquer erros, omissões ou declarações enganosas, ou por qualquer perda que possa resultar da confiança em materiais contidos neste blog.