O RGPD (https://www.cnpd.pt/home/decisoes/regulamentos/regulamentos.htm) é uma forma bem clara de transcrição de métodos técnicos e tecnológicos para o formalismo legal.
A implementação do RGPD age em três áreas funcionais:
- Processos:
Todos os processos que utilizem dados pessoais devem ser definidos, indicados e formalizados (com as respectivas autorizações e registos, utilizadores, equipamentos, etc.)
- Contractos:
Todos os contratos devem estar conformes em especial os que transitem ou processem dados pessoais.
- Salvaguardas:
Devem ser tomadas as salvaguardas necessárias e suficientes de modo a garantir a confidencialidade, integridade e disponibilidades dos dados pessoais, em guarda, arquivo, transito, processamentos e tratamentos (é recomendado o padrão ISO 27001).
A completa implementação do RGPD deve ter sempre essa totalidade de áreas funcionais; caso contrário é na realidade uma completa perda de recursos (https://defenselifecycle.com/protecao-privacidade/).
Principais benefícios para o negócio da implementação do RGPD:
1) Maior confiança do consumidor
A conformidade com o GDPR provará aos clientes que sua organização é uma boa guardiã de dados, melhorando a sua imagem face aos mesmos.
Durante o ano passado, ataques contra empresas como Wonga (https://www.emarketer.com/Article/Wonga-Data-Breach-Puts-Customer-Loyalty-Risk/1015608) e Equifax sugerem que as consequências de uma violação de dados podem ser devastadora para o valor da sua marca, com a deserção do cliente disparando e os custos aumentando para as empresas afectadas. O mesmo já começa a acontecer em Portugal por motivos similares.
3) Custos de manutenção reduzidos
A conformidade com o GDPR pode ajudar sua organização a reduzir custos, solicitando que você aposente qualquer software de inventário de dados e aplicativos herdados que não sejam mais relevantes para seus negócios e optimizando processos de negócio.
4) Melhor alinhamento com a evolução da tecnologia
Como uma extensão da conformidade com o GDPR, sua organização terá que avançar no sentido de melhorar a segurança de sua rede, terminal e aplicativos.
Ao aplicar salvaguardas de Segurança da Informação, vai optimizar recursos e garantir proactividade na gestão dos dados pessoais. Poderá depois, aproveitar e aprofundar o alargamento desses benificios ao resto da empresa.
5) Maior tomada de decisão
Sob o GDPR, as organizações não podem mais tomar decisões automatizadas com base nos dados pessoais de um indivíduo. Afinal, decisões automatizadas, como determinar se deve ou não fornecer seguro ou empréstimo a um cliente, podem estar sujeitas a erros. O GDPR exige o direito de obter intervenção humana, diminuindo assim o espaço para decisões arbitrárias.
Existe ainda um conjunto de princípios jurídicos a ter em conta:
– Não existe transferência de responsabilidade, mas sim corresponsabilidade:
Se um incidente existe com dados, mesmo sendo efectuado por entidade externa, ambos são responsáveis e igualmente penalizados.
– Existem penalidades para empresa e funcionários:
Se um funcionário comete um erro inadvertidamente, o mesmo é punido e a empresa é corresponsável.
– Todas as operações têm de ser registadas e auditadas:
É obrigatório o registo, a sua falha implica por si só uma penalidade.
– Por defeito não existem autorizações:
É obrigatório a autorização expressa de modo claro e inequívoco para a retenção e tratamento.
– Existe uma retenção máxima de dados:
É de dois anos o máximo por defeito, salvo nos casos de exigência legal ou contratual (SNS, Autoridade Tributária, processos de Justiça, etc.), sendo obrigatória uma nova autorização.
– Salvaguardas são bem determinadas:
Com a recomendação do ISO 27001 (garantia de Confidencialiade, Disponibilidade, Integridade, Autenticidade e Resiliência), as salvaguardas (e seu nível de aplicação) são bem determinadas e tangíveis nos seus objectivos e arquitectura. A sua falha é punida e a mesma é objectivamente documentada.