A proteção e distribuição de dados pessoais, segundo o novo quadro jurídico da União Europeia, o GDPR.
A Regulação Geral de Proteção de Dados (GDPR), a partir de 25 de maio de 2018, instituiu um novo quadro jurídico na União Europeia para proteção e distribuição de dados pessoais.
As organizações de todo o mundo que atendem clientes e indivíduos na União Europeia, serão obrigadas a implementar políticas de segurança para enfrentar diferentes riscos e efetivamente aplicá-las com controles técnicos, caso contrário poderão enfrentar multas de até € 10 milhões (de euros).
Embora a prontidão do GDPR possa representar um desafio significativo para muitas organizações, muitos dos seus requisitos técnicos alinham-se com as práticas recomendadas de segurança e conformidade normatizadas para processos corporativos e suporte tecnológico.
Entendemos que por mais fora do alcance inicial que alguma organização possa estar, é altamente recomendada a adaptação a este regulatório como um diferencial competitivo, até porque os efeitos danosos advindos de seus riscos sempre serão os mesmos para quem está ou não fora do alcance dessa regulação.
Acreditamos ainda que essa regulação possa caminhar para uma possível globalização de incidência ou adaptação.
Adequar a segurança cibernética às práticas de conformidade regulatória e normativa, permitindo definições devidas de perímetros com acessos seguros a aplicações e informações, controle em diferentes contextos, e devidos acessos por usuários no ambiente corporativo em rede ou em nuvem, detectando, protegendo e mitigando eventos danosos, é um desafio da gestão de riscos corporativos e deve ser prioridade dos administradores.
O GDPR é uma legislação poderosa e devemos listar questões-chave preliminares para o seu cumprimento:
- Como está a prontidão ao GDPR por parte da sua organização?
- Por onde começar?
- E o que priorizar?
Os administradores, principais responsáveis, líderes de negócios e executivos de segurança cibernética devem ter uma visão crítica de seus programas de segurança digital existentes, questionando inicialmente:
- Existe realmente uma cultura de segurança e conscientização de dados em nossa organização?
É essencial nesta questão o tone-at-the-top onde todas as pessoas, dos executivos principais à simples usuários, sejam treinadas e certificadas de forma a ficarem prontas para promover uma cultura de segurança e privacidade de dados por dentro da organização. Em muitas circunstâncias, a preparação para o novo regulamento requer a nomeação de um profissional de proteção de dados, responsável pela conformidade organizacional e comunicação com as autoridades de supervisão. Este novo papel e o patrocínio executivo são essenciais para a mudança ou criação positiva da cultura em uma organização.
Neste contexto devemos estar preparados para prover o alinhamento tecnológico integrado com as normativas e conformidade vigentes, buscando assim promover entrega efetiva e aculturada de um processo para a proteção de dados e informações, uma vez que esta regulação, deverá permear todo ou grande parte do cenário internacional de relações corporativas e de negócios, ou no mínimo deverá servir de referencial à regulações similares.
