Respostas a dúvidas sobre o RGPD

O RGPD obriga as organizações a proteger os dados pessoais e a privacidade dos cidadãos da União Europeia, em transacções que ocorram dentro de Estados-membros. A não-conformidade pode custar caro.

Para estar em conformidade com o Regulamento Geral de Protecção de Dados (RGPD), as empresas norte-americanas a operar na UE têm de cumprir alguns requisitos.

As organizações que recolham dados sobre cidadãos dos países das União Europeia vão precisar de estar em conformidade com as novas regras relacionadas com a protecção de dados durante o próximo ano. Depois de uma fase de transição, o RGPD será aplicável a partir de 25 de Maio de 2018 e irá criar um novo standard nos direitos do consumidor face aos seus dados. As empresas têm um desafio pela frente, porque têm de ter os sistemas e processos preparados para estar em conformidade.

A conformidade vai provocar algumas dores de cabeças e criar novas expectativas às equipas de segurança. Por exemplo, o RGPD tem uma visão abrangente sobre o que são informações de identificação pessoal. As empresas vão precisar do mesmo nível de protecção quer para coisas como os endereços IP pessoais ou os cookies quer para dados como o nome, a morada ou o número de segurança social.

No entanto, em algumas matérias, o RGPD deixa muito espaço para interpretações. Diz que as empresas devem disponibilizar um nível “razoável” de protecção de dados pessoais, mas não define o que é “razoável”. Esta situação deixa uma grande margem de manobra para as autoridades de controlo quando se tratar de fixar as multas por violações de dados ou não conformidade.

A CSO recolheu informação sobre o que as empresas precisam saber sobre o RGPD, e também conselhos para atender aos requisitos. Muitos dos requisitos não estão directamente relacionados com segurança de informação, mas as alterações dos processos e sistemas necessários para estar em conformidade podem afectar sistemas e protocolos de segurança existentes.

O que é o RGPD?

O Parlamento Europeu adoptou o RGPD em Abril de 2016, para substituir a desactualizada Directiva de Protecção de Dados, de 1995. Inclui disposições que exigem que as empresas protejam os dados pessoais e a privacidade dos cidadãos da União Europeia para transacções que ocorram dentro dos Estados-membros da UE. O RGPD também regula a exportação de dados pessoais para fora da UE.

As disposições são consistentes em todos os 28 Estados-membros da UE, o que significa que as empresas apenas têm de ter um padrão para estar alinhado em todos os países. No entanto, esse padrão é bastante elevado e exigirá que a maioria das empresas a fazer investimentos substanciais para corresponder ao regulamento e para o administrar.

Segundo um relatório da Ovum, cerca de dois terços das empresas norte-americanas acreditam que o RGPD vai obriga-las a repensar a estratégia na Europa. Mais ainda (85%) vêm o RGPD como algo que os põe em desvantagem competitiva face a empresas europeias.

Que companhias afecta o RGPD?

Qualquer empresas que armazene ou processe informações pessoais sobre cidadãos da UE, dentro dos Estados-membros da UE, tem de estar em conformidade com o RGPD, mesmo que não tenham presença local na UE. Os critérios específicos para as empresas obrigadas a comprimir são:

– Ter presença num país da UE;
– Não ter presença na UE, mas processar dados pessoais de europeus residentes;
– Ter mais de 250 empregados;
– Ter menos de 250 funcionários, mas processar dados que podem ter impacto nos direitos e liberdades das pessoas em questão, não ser ocasional ou incluir determinados tipos de dados pessoais sensíveis. Na prática significa praticamente todas as empresas. Uma análise da PwC revelou que 92% das empresas norte-americanas consideram o RGPD a sua prioridade principal em matéria de protecção de dados.

Quando é que a minha empresas precisa estar em conformidade?

As empresas devem ser capazes de demonstrar que estão em conformidade em 25 de Maio de 2018.

Quem será responsável, na minha empresa, pela conformidade?

O RGPD define várias funções que são responsáveis por assegurar a conformidade: os controladores de dados, os processadores de dados e o encarregado de protecção de dados (DPO). O controlador de dados define de que modo é que os dados pessoais são processados e com que finalidade. O controlador é também responsável por assegurar que os fornecedores externos também estão em conformidade.

Os processadores de dados poderão ser grupos internos que mantêm e processam registos de dados pessoais ou qualquer empresa subcontratada que trata de toda ou parte destas funções. O RGPD responsabiliza os processadores por falhas ou não conformidades. É, no entanto, possível que tanto a empresas como o parceiro de tratamento – como um fornecedor de cloud – sejam penalizados, mesmo que a falha esteja no parceiro de tratamento.

O RGPD obriga o controlador e o processador a designar um encarregado de protecção de dados para supervisionar a estratégia de segurança e a conformidade com o RGPD. As empresas são obrigadas a ter um DPO se processarem ou armazenarem uma grande quantidade de dados de cidadãos da UE, se processarem ou armazenarem dados pessoais especiais, se monitorizarem titulares de dados ou se forem autoridades ou organismos públicos. Algumas entidades públicas, como as forças policiais, poderão estar isentas da necessidade de um DPO.

Qual será o custo da preparação para o RGPD para a minha empresa?

De acordo com a pesquisa da PwC, 68% das empresas sedeadas nos EUA deverão gastar entre um milhão e 10 milhões de dólares para fazer face aos requisitos do RGPD. Nove por cento deverão gastar mais de 10 milhões de dólares.

O que acontece se a minha empresa não estiver em conformidade com o RGPD?

O RGPD prevê penalizações que podem ascender a 20 milhões de euros ou 4% do volume de negócios anual da empresa (o valor mais elevado) para a não conformidade. Segundo um relatório da Ovum, 52% das empresas acredita que vai ser multada por não conformidade. A empresa de consultoria de gestão Oliver Wyman prevê que a UE poderá cobrar seis mil milhões de euros de coimas e penalizações apenas no primeiro ano.

Por responder está a questão: como serão sanções calculadas. Por exemplo, qual será a diferença entre as multas para uma falha que tenha impactos mínimos sobre os indivíduos, face a uma falha cuja exposição de dados pessoais provoca danos substanciais? Perspectiva-se que provavelmente [as autoridades de controlo] irão actuar rapidamente sobre algumas empresas que não estão em conformidade para mandar a mensagem. Depois as organizações poderão avaliar melhor o que esperar no caso de identificação de alguma não conformidade.

Que tipo de dados pessoais protege o RGPD?

– Informação básica de privacidade como o nome, o endereço ou os números de identificação pessoal;
– Dados web como a localização o endereço IP, cookies ou tags RFID;
– Dados genéticos e de saúde;
– Dados biométricos;
– Dados raciais e étnicos;
– Opiniões políticas;
– Orientação sexual.

Que requisitos do RGPD vão afectar a minha empresa?

O RGPD vai obrigar as empresas norte-americanas a mudar a forma como processam, armazenam e protegem os dados pessoais dos clientes. Por exemplo, as empresas só vão poder armazenar e processar dados pessoais quando o titular dá o seu consentimento por “apenas durante o período necessário para as finalidades para as quais são tratados os dados pessoais”. Os dados pessoais também devem ser portáveis de uma para outra empresa e as empresas devem apagar os dados pessoais quando requerido pelo titular.

O último aspecto é também conhecido como o “direito ao esquecimento”. Há algumas excepções. Por exemplo, o RGPD não se sobrepõe a qualquer requisito legal que uma organização tem para manter determinados dados. Nos EUA, inclui os registos de saúde HIPAA.

Alguns requisitos vão afectar directamente as equipas de segurança. Uma é que as empresas devem ter a capacidade de disponibilizar um nível razoável de protecção e privacidade dos dados aos cidadãos da UE. O que significa “razoável” não está bem definido.

O que poderá ser um desafio é a obrigatoriedade das empresas reportarem violações de dados às autoridades de supervisão e aos titulares afectados pela violação no prazo de 72 horas sobre a detecção da falha. Outro requisito, visa ajudar a mitigar o risco de violações, identificando vulnerabilidades e como abordá-las.

O que deve uma empresas fazer para se preparar para o RGPD?

– Deve criar-se um sentido de urgência no seio da organização a partir da gestão de topo
– Deve também envolver-se as partes interessadas. O IT sozinho não está preparado para corresponder aos requisitos do RGPD. Crie um grupo de trabalho que inclua marketing, finanças, vendas, operações – qualquer departamento dentro da empresa que recolha, analise ou utilize os dados pessoais dos clientes. Com representação num grupo de trabalho RGPD, podem partilhar informação que será útil a quem vai implementar as alterações técnicas e de processos necessárias, e estarão mais bem preparados para lidar com qualquer impacto nas suas equipas;
– Contrate ou nomeie um DPO. A empresa poderá nomear alguém que já tem um papel semelhante à posição, desde que essa pessoa possa assegurar a protecção dos dados pessoais sem conflito de interesses. Caso contrário será necessário contar um DPO. Consoante a empresa, o DPO não será necessário a tempo inteiro. Nesse caso, um DPO virtual poderá ser uma opção. As regras do RGPD permitem que um DPO trabalhe em várias organizações, pelo que um DPO virtual poderia ser como um consultor que trabalha o que for necessário;
– Crie um plano de protecção de dados. A maioria das empresas já tem um plano, mas terá de ser revisto e actualizado para estar alinhado com os requisitos do RGPD;
– Realize uma avaliação de risco. A empresa quer saber que dados de cidadãos europeus são armazenados e processados e quais os riscos envolvidos. A avaliação de risco também deve delinear as medidas a tomar para mitigar o risco. Um elemento chave deste levantamento é identificar toda a “shadow IT” que poderá estar a recolher e armazenar dados pessoais;
– Implemente medidas para mitigar o risco. Assim que identificar os riscos e souber como mitigá-los, deve implementar essas medidas de imediato. Para a maioria das empresas, significa rever as medidas existentes de mitigação de risco;
– Se a sua organização for pequena, peça ajuda se precisar. Pequenas empresas vão ser afectadas pelo RGPD, algumas mais que outras. Podem não ter os recursos necessários para fazer face aos requisitos. Recursos externos estão disponíveis para disponibilizar peritos para ajudar durante o processo, minimizando a disrupção interna;
– Teste planos de resposta a incidentes: o RGPD obriga as empresas a reportar violações de privacidade no espaço de 72 horas. A forma como as suas equipas minimizam os estragos  vai afectar directamente o risco de coimas da empresa. Assegure-se de que é capaz de reportar adequadamente e de dar resposta dentro dos limites de tempo;
– Crie um processo de avaliação contínua. Quer assegurar que continua em conformidade e isso irá necessitar melhorias contínuas e monitorização.

Autores
Tags , ,

Artigos relacionados

O seu comentário...

*

Top