Como o GDPR vai afetar as empresas fora da UE

Os ataques cibernéticos viram notícia o tempo todo, afetando tanto empresas quanto pessoas, com hackers roubando dados confidenciais e lucrando muito em pouco tempo.

As técnicas estão se tornando cada vez mais sofisticadas para evitar a detecção, convencendo os usuários a baixar arquivos maliciosos e fazendo as empresas pagarem para recuperar seus dados. As violações ao longo dos anos ensinaram muitas lições aos usuários e aos líderes de empresas, mas as organizações devem se preparar para as potenciais ameaças futuras. De acordo com a pesquisa da PricewaterhouseCoopers, os criminosos cibernéticos cada vez mais usam fraudes de phishing e conseguem até mesmo invadir dispositivos móveis para acessar áreas mais sensíveis nas redes da empresa.

 

Todo mundo em uma organização é responsável por proteger os dados do cliente e da empresa, mas os resultados variam. A proteção se torna cada vez mais uma prioridade, os órgãos governamentais começaram a criar suas próprias iniciativas para garantir que toda empresa siga os protocolos cibernéticos. A União Europeia lançou recentemente o Regulamento Geral de Proteção de Dados (General Data Protection Regulation), que vai afetar todas as transações nos países que fazem parte da UE. Vamos analisar melhor o GDPR e como ele vai afetar as empresas fora da UE.

 

Regras e consequências do GDPR

O GDPR inclui regras para proteger os dados pessoais e a privacidade dos cidadãos da UE em transações realizadas nos 28 países que fazem parte da UE e regula a exportação de dados pessoais para fora da UE. As empresas só poderão armazenar e processar dados pessoais quando um indivíduo autorizar e não poderão armazená-los por um tempo maior que o necessário. As informações devem ser portáteis de uma empresa para outra e devem ser apagadas mediante solicitação. O GDPR também determina a notificação obrigatória de violação de dados e as bases para uma investigação mais aprofundada.

Haverá nas funções estabelecidas no GDPR para ajudar a manter, processar e proteger registros de dados pessoais. Os processadores de dados gerenciam os registros de dados de qualquer empresa que usa essas informações – tornando-os responsáveis por violações. Os controladores são responsáveis por garantir que os contratados externos cumpram os regulamentos do GDPR. Por fim, um oficial de proteção de dados é escolhido para supervisionar a estratégia de segurança de dados e o cumprimento do GDPR.

Uma abordagem de “esperar para ver o que acontece” vai te prejudicar

Esperar pode te prejudicar

O cumprimento desses requisitos provavelmente exigirá um grande investimento e repensar a atual estratégia de negócios. As empresas devem cumprir os regulamentos até 25 de maio de 2018. Se os regulamentos não forem cumpridos, o GDPR pode multar empresas em até 20 milhões de euros ou 4% do volume anual global de negócios, o que for maior.

Com multas tão altas, isso coloca as organizações em uma posição difícil. A maioria das empresas com sede nos EUA prevê gastos entre US$ 1 milhão e US$ 10 milhões para atender aos requisitos do GDPR, e 9% acreditam que os gastos vão ficar acima disso, informou a CSO Online. A legislação muda muito as formas como os dados pessoais dos clientes são armazenados, processados ​e protegidos, mas não define o que é um nível razoável de proteção. Os grandes objetivos e as grandes brechas que ainda existem no GDPR podem dar margem para muitas manobras quando se trata de avaliar multas por violações de dados e não conformidade, tornando o cenário ainda mais desafiador.

As organizações costumam ter uma abordagem de “esperar para ver o que acontece” para determinar como as regras serão aplicadas antes de implementar os requisitos. Na verdade, 50 por cento das empresas afetadas pelo GDPR não estarão em total conformidade até o prazo final, de acordo com a Gartner. Embora o método reacionário possa ter funcionado no passado, uma abordagem passiva vai gerar multas altas de conformidade e negócios perdidos. As empresas precisam se preparar imediatamente para o GDPR. O contribuinte de empreendimentos, Patrick Lastennet, observou que o GDPR ajudará a fazer mais negócios na Europa ao realizar ações preventivas para proteger os dados. O GDPR deve ser vendido como as melhores práticas para mitigar os riscos e garantir que a coordenação e o esforço estejam disponíveis desde o início.

“Os líderes das empresas devem tomar medidas definitivas agora para cumprir o prazo de conformidade”.

Implemente as mudanças agora

O GDPR é uma grande mudança, mas as organizações dos EUA não podem simplesmente sair dessa situação. Na verdade, isso poderia colocá-las em desvantagem competitiva se não cumprirem as regras. Em vez disso, os líderes das empresas devem tomar medidas definitivas imediatamente para cumprir o prazo de conformidade e tornar sua infraestrutura segura para os dados pessoais de todos os clientes.

Em primeiro lugar, será necessário auditar os dados usados pela sua empresa. Descobrir quais dados você possui, onde estão armazenados e por que estão armazenados serão essenciais para responder à pergunta de quanto tempo a informação deve ser armazenada e quais os processos usados para excluí-la. Por exemplo, a informação do paciente deve ser armazenada por um período de tempo diferente dos dados financeiros. O colaborador da InformationWeek, Martin James, observou que uma solução de banco de dados ajudará a fornecer uma visão única de seus dados, fornecendo visibilidade total. Este tipo de sistema também pode ser usado para agendar a exclusão de dados e identificar qualquer atividade incomum.

Os líderes também vão precisar reformular os formulários de consentimento e divulgação para clientes comerciais. Manter a estratégia consistente para todos os consumidores ajudará a cumprir os regulamentos em evolução e acompanhar as preferências individuais. Os donos dos dados vão precisar aprovar todos os casos de uso das suas informações, incluindo profiling e big data. A transparência com relação aos usos dos dados será essencial para atrair aprovações e construir relacionamentos mais fortes com os consumidores.

Ao auditar suas próprias capacidades, também é necessário avaliar os provedores terceirizados e seus acordos de nível de serviço. As vulnerabilidades de terceiros foram responsáveis por alguns dos maiores ataques, incluindo a violação da Target. Se um terceiro não conseguir provar sua conformidade com o GDPR, eles serão proibidos de trabalhar com dados da UE. Evite multas e procure fornecedores que estejam comprometidos com o nível de segurança necessário.

“Considere usar os padrões do GDPR em toda sua empresa globalmente”, escreveu James. “Maior eficiência de dados, melhor proteção de dados, melhores relações e mais confiança dos clientes – tudo isso pode impulsionar sua empresa e melhor protegê-la contra violações futuras de dados”.

O GDPR pode ser o primeiro passo nessa nova era de requisitos cibernéticos. Para mais informações sobre como proteger seus sistemas e cumprir os requisitos de “Segurança de Ponta”, consulte o guia da Trend Micro sobre o GDPR.

 

Categorias

Veja outras publicações

Menu