O que é GDPR?

Recentemente entrou em vigor o Regulamento Geral sobre Proteção de Dados (GDPR), esse rigoroso conjunto de regras é válido para a União Europeia, mas seus impactos afetam várias partes do mundo, inclusive o Brasil.

Esse projeto passou a ser idealizado em 2012 e foi aprovado em 2016, tudo para acompanhar o cenário tecnológico global, como a UE considera a proteção de dados pessoais um direito de seus cidadãos, todas as empresas e organizações devem seguir as regras de coleta, processamento, compartilhamento e resguardo dessas informações.

Como o regulamento se aplica a todos os serviços que sejam oferecidos na União Europeia, diferentes lojas online, plataformas de streaming e redes sociais, como é o caso do Facebook (que você deve ter visto), que agora permite que seus usuários façam download ou apaguem todos os seus dados.

As principais obrigações do projeto incluem:

  • O serviço deverá permitir que o usuário escolha como os seus dados serão tratados e autorize ou não o seu uso;
  • O usuário tem direito de saber quais dados estão sendo coletados e para quais finalidades;
  • Deve haver meios para que o usuário solicite a exclusão de informações pessoais ou interrompa a coleta de dados, com a decisão devendo ser respeitada;
  • O usuário também pode acessar, solicitar cópia ou migrar dados coletados para outros serviços (quando cabível);
  • Uso de linguagem clara, concisa e transparente para que qualquer pessoa possa compreender comunicações sobre seus dados, inclusive termos de privacidade;
  • Em caso de incidentes que resultem em vazamento ou violação de dados que podem ferir direitos e a liberdade das pessoas, a organização deverá notificar autoridades em até 72 horas;
  • Aplicação da privacidade por design: a proteção dos dados deve ser considerada desde o início do projeto de um sistema, como parte imprescindível deste;
  • Recomendação de pseudonimização: quando cabível, é recomendável que a empresa proteja informações sensíveis ocultando-as ou substituindo-as de alguma forma para que a identificação do usuário só seja possível com a adição de outros dados;
  • As empresas terão, em certas circunstâncias, que trabalhar com um Data Protection Officer (DPO), executivo que deverá supervisionar o tratamento de dados pessoais, bem com prestar esclarecimentos ou se comunicar com autoridades sobre o assunto.

Caso as obrigações não sejam cumpridas, a organização pode receber desde uma simples notificação, em casos de infração leve, à uma multa de € 20 milhões ou de até 4% sobre a receita anual global da companhia, sendo aplicada a multa que tiver maior valor.

Como se preparar para o GDPR?

gdpr

Por serem exigidas as documentações dos dados pessoais coletados, para qual finalidade e como são protegidos, as empresas devem deixar claro quais são as informações usadas para identificar um indivíduo, independentemente do modo fornecido, observado ou inferido. Sendo garantido também o acesso, correção, exclusão de pedidos ou restrição quanto ao uso de dados. O respeito e cuidado exigido das empresas pelo GDPR pode ser alcançado de diversas formas, o Citrix é usado para ajudar a proteger aplicativos e dados no ambiente de negócios móvel, no Citrix Cloud e orientado por dados, sendo então uma base sólida para cumprir os mandatos impostos, com segurança incorporada nas soluções e controle proporcionado sobre o acesso a aplicativos e dados de qualquer dispositivo, rede ou nuvem.

Seguir o GDPR pode ser muito mais fácil para organizações modernas do que para tradicionais, enquanto a maioria das que estão em nuvem tem algumas poucas fontes centralizadas onde estão armazenadas as informações pessoais identificáveis (PII), as outras potencialmente têm centenas, se não milhares, de diferentes bases e fontes de dados que precisam ser avaliadas, revistas e atualizadas para atender ao novo padrão de privacidade.

Os requerimentos de uma abordagem de dados para atender ao GDPR são:

  • Definir: identificar informações pessoais identificáveis no escopo, decidindo o que procurar e como priorizar de uma perspectiva de privacidade, devendo incluir empregados, consumidores, vendedores e quaisquer outras entidades;
  • Avaliar: localizar e revisar todas as fontes de dados, identificando os requisitos do negócio, retenção de dados e desafios para manter a segurança. Não só avaliar onde os dados estão armazenados, mas também como são obtidos;
  • Reduzir: diminuir o número de fontes de dados que precisam ser asseguradas, a menos que seja necessário mantê-los, deve-se retirar os PIIs para maximizar a eficiência das medidas de segurança;
  • Remediar:  identificar se as fontes de dados e aplicações utilizadas para acessá-las seguem a GDPR ou se são necessárias mudanças, caso sejam, o time deve identificar as diferentes soluções e executar a mais apropriada;
  • Revisar: revisar e validar fontes de dados constantemente, é importante implantar um processo robusto, estável e replicável que possa ser defendido no caso de ser apresentado a auditores.

A base de confidencialidade, integridade e disponibilidade em todos os ambientes de TI proporcionada pela Citrix centraliza aplicativos no datacenter ou nuvem para que os dados empresariais não fiquem armazenados em dispositivos, protegendo em ambiente seguro mesmo quando os dados confidenciais precisam ser distribuídos, mobilizados ou utilizados em conexão, há controle de acesso granular de TI graças às políticas ativadas por contexto (baseadas em id do usuário, dispositivo, localização ou conexão de rede) e detecta ameaças e minimiza riscos proativamente devido à visibilidade e análise de comportamento dos usuários.

Com isso, justifica-se mais uma vez a modernização organizacional, além das inúmeras vantagens da migração para a nuvem e virtualização, a conformidade com o GDPR torna-se muito mais prática e ágil.

Referência: https://www.citrix.com/content/dam/citrix/en_us/documents/white-paper/solution-architectures-for-the-general-data-protection-regulation.pdf