Confira as 10 perguntas e respostas mais frequentes sobre a lei europeia de proteção de dados (GDPR)

,

Muitos são os questionamentos sobre a regulamentação europeia de proteção de dados – General Data Protection Regulation (GDPR), que entra em vigor no dia 25 de maio. Como a UPX Technologies tem a missão de desenvolver soluções para democratizar a segurança digital e promover uma internet mais eficiente e segura para empresas e pessoas, seguem algumas respostas para os principais questionamentos levantados em relação ao novo regulamento, e que dão alguns insights que as empresas podem aproveitam para aumentar a segurança e a privacidade dos dados, mesmo não estando obrigadas a cumprir a nova regulamentação. Confira a seguir:

 

1. Quem está impondo o GDPR? Quais são as penalidades para o não cumprimento?

O GDPR é uma iniciativa da União Europeia. Cada Estado membro cuida da execução do mesmo e terá um órgão regulador chamado autoridade supervisora ​​que será responsável pela auditoria e fiscalização. As multas podem ser até 20 milhões de euros ou 4% da receita anual da empresa, o que for maior. A autoridade supervisora ​​decide o valor da multa com base nas circunstâncias e no nível de violação.

 

2. De acordo com estudos, em média as empresas demoram quase 200 dias para detectar violações. Como o GDPR lida com isso?

O GDPR refere-se ao tempo entre a detecção de uma violação e o momento de notificar as partes impactadas sobre isso. No entanto, parte do conceito de segurança para privacidade dos dados tem a ver com a capacidade de detectar violações e ter ferramentas e processos de práticas recomendadas para isso que evitam o vazamento dos dados.

 

3. Os e-mails pessoais também são considerados informações privadas?

Sim, uma vez que eles podem ser vinculados a uma pessoa que faz parte de uma organização ou empresa.

 

4. Onde podem ser encontrados os requisitos atuais de TI, dados e/ou controles para o GDPR?

O GDPR não detalha exatamente quais controles devem ser colocados em prática. Mas exige que eles sejam “apropriados” e deixa espaço para julgamento sobre os meios adequados para isso, que ficam a critério de cada organização. É nesse ponto que o profissional conhecido como Chief Information Security Officer (CISO), que cuida de processos voltados à segurança da informação, pode entrar em ação e realizar uma avaliação de risco e criar um plano de contingência composto de controles de segurança.

 

5. Há necessidade de treinamento das práticas indicadas pelo GDPR?

Sim. Os regulamentos podem ser acessados em: http://data.consilium.europa.eu/doc/document/ST-5419-2016-INIT/en/pdf

 

6. Que documentação é necessária para estar compatível com o GDPR?

É necessário políticas internas que demostrem como a privacidade faz parte dos processos em andamento e fluxo de dados que mostrem como as consultas relacionadas a dados podem ser enviadas e endereçadas.

 

7. A conformidade com o GDPR difere com base no número de funcionários de uma empresa?

O GDPR não diferencia o tamanho das organizações. O tamanho da operação é o que importa, ou seja, a quantidade de dados que essa empresa tem em suas mãos é que conta, não quantas pessoas a empresa emprega.

 

8. O encarregado de proteção de dados deve estar fisicamente localizado em um estado membro da UE?

Não. O GDPR não exige que ele esteja localizado na UE. Por exemplo, se uma empresa sediada na UE possui um grande escritório na Índia e os funcionários do escritório indiano podem acessar os dados pessoais dos cidadãos da UE, é necessário que o escritório da Índia saiba como os dados dos cidadãos da UE se cruzam em seus sistemas, onde estão armazenados e como estão protegidos. E que essa filial realize uma análise detalhada das lacunas que podem deixar os dados vulneráveis para entender os próximos passos para se adequarem à regulamentação europeia.

 

9. O que acontece se alguns dos dados forem processados ​​fora da UE?

No momento, o GDPR afirma que, para evitar questões legais de monitoramento e fiscalização, os dados devem ser mantidos dentro dela ou em um território que tenha sido aprovado pela UE, o processo de aprovação de tal território é descrito no GDPR, mas ainda não entrou em vigor. A UE ainda está analisando quais territórios terão essa aprovação.

 

10. Um ataque de ransomware é classificado como uma violação de dados?

Se for possível provar que em determinada situação os dados não foram expostos, mas apenas ficaram indisponíveis, o ataque de ransomware não é considerado uma violação de dados. No entanto, isso pode ser muito complicado e difícil de provar. É necessário que as empresas estejam preparadas e tenham políticas de controle e prevenção contra a perda de dados.

 

Fonte: Cybereason

0 respostas

Deixe uma resposta

Deixe seu comentário abaixo

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *