O que os especialistas dizem sobre o GDPR?

Você já sabe que o GDPR entra em vigor no próximo dia 25 de maio? O novo regulamento da União Europeia traz diversos pontos que ainda causam muitas dúvidas. O pessoal da IOS conversou com especialistas sobre o General Data Protection Regularions (GDPR) para ajudar a desvendar o regulamento

Privacidade por design
Inside Out Security: Fale um pouco sobre o GDPR e suas implicações na privacidade por design.

Dra. Ann Cavoukian: O que explico para as pessoas é que se você seguir os princípios de Privacidade por design, praticamente está cumprindo os regulamentos, em qualquer jurisdição que esteja. Está seguindo o mais alto grau de proteção, que praticamente garante a conformidade com os regulamentos.

Empresas de todo mundo precisam se preparar para o GDPR
IOS: Quais as preocupações das empresas em relação ao GDPR?

Sue Foster: Se é uma empresa não residente, mas que promove produtos ou serviços na UE, incluindo serviços gratuitos, como um aplicativo, está sujeita ao GDPR. Além disso, se uma empresa não residente estiver monitorando o comportamento de pessoas que estão localizadas na UE, incluindo rastreamento e criação de perfis pessoais, a empresa também está sujeita às regras do GDPR.

A regra das 72 horas é tão rígida quanto parece?
IOS: O que estamos ouvindo de nossos clientes é que a regra de 72 horas para relatar uma violação é uma de suas preocupações. Você poderia explicar a regra em termos simples? O que precisa acontecer antes que o relato seja feito para consumidores e DBAs?

Sue Foster: Você deve relatar a violação à Autoridade de Proteção de Dados o mais rapidamente possível, até 72 horas após tomar conhecimento da violação.

Como sei se uma violação é suscetível de “resultar em um risco para os direitos e liberdades das pessoas”? Existe um documento em que é possível analisar quais são esses direitos e liberdades. Mas é preciso pensar basicamente em termos de senso comum. Os direitos de privacidade da pessoa foram afetados? Seus direitos e integridade de suas comunicações foram afetados ou sua propriedade foi afetada?

Se decidir não reportar mesmo depois desta análise e o DPA não concordar com a decisão, você corre o risco de receber uma multa no valor correspondente a 2% do faturamento global da empresa.

O que fazer quando se descobre uma violação?
IOS:
Quais são as coisas mais importantes a fazer quando se descobre uma violação? Se houver a necessidade de priorizar algo, como você aconselharia um cliente sobre ter um programa de respostas relacionadas ao GDPR?

Sheila FitzPatrick: Antes de mais nada, é preciso ter uma equipe de respostas a incidentes que não seja composta apenas por pessoal de TI. É preciso ter uma equipe de respostas que inclua a área de TI, um representante legal, alguém de Relações Públicas e das áreas Financeira e de Gestão de Risco.

Em segundo lugar, é preciso determinar quais foram os dados potencialmente violados.  De acordo com o GDPR, essa definição tem relação a poder afetar a pessoa e não em relação a essa pessoa poder ser prejudicada. Então é preciso perguntar: quais dados foram violados e como isso afeta a pessoa?

Por isso, é preciso iniciar uma investigação imediatamente e, em seguida, classificar os dados que foram violados em:

– São dados pessoais?
– São dados pessoais confidenciais?
– Afeta um indivíduo?
– Causa impacto em um indivíduo? Então, é provável que o prejudique?

Com base nessas informações, que tipo de notificação é preciso ser feita? Se é provável que afete ou impacte um indivíduo, é preciso informa-lo. Se é provável que prejudique um indivíduo, é absolutamente necessário informa-lo e também as autoridades de proteção de dados.

É necessário contratar um DPO?
IOS:  Uma empresa deve nomear um oficial de proteção de dados (DPO) se, entre outras coisas, “as atividades principais” da organização exigirem “monitoramento regular e sistemático de dados em grande escala”. Muitos clientes da Varonis atuam apenas no B2B, então, o GDPR se aplica aos dados pessoais coletados de indivíduos em um contexto B2B? Como o processamento de dados se torna “grande escala” ao ponto de exigir a nomeação de um DPO?

Bret Cohen, Sian Rudgard e Hogan Lobells: Sim, o GDPR se aplica a dados pessoais coletados em um contexto B2B. O requisito de DPO, no entanto, não é invocado pela manutenção de bancos de dados do cliente.

O requisito é acionado quando as atividades centrais de uma organização envolvam o monitoramento regular e sistemático dos titulares de dados em grande escala, ou quando as atividades principais consistam em processamento em larga escala de categorias especiais de dados.

Portanto, pelo que entendemos das atividades dos clientes da Varonis, é improvável que seja necessário um DPO. Embora essa seja uma área na qual devemos esperar uma orientação das APDs, particularmente em países da UE em que o DPO é um requisito existente, como na Alemanha.

Mesmo que a empresa não seja obrigada a nomear um DPO, ela deve ser capaz de cumprir com os requisitos da GDPR. Isso envolve designar uma pessoa ou equipe responsável por implementar e manter políticas e procedimentos adequados.

Monitore e analise cada toque em cada arquivo com o DatAdvantage. Rastreie e monitore as atividades e comportamento dos usuários de sua empresa.