Como Cumprir com o GDPR: 10 Passos Chave

O General Data Protection Regulation (GDPR) foi criado para proteger os dados pessoais dos residentes da UE, regulando como essas informações são coletadas, armazenadas, processadas e destruídas. A lei de data security e privacidade se aplica a todas as organizações que coletam dados pessoais de cidadãos da União Europeia, independentemente da localização. As penalidades por não conformidade com os requisitos do GDPR são severas.

Muitas organizações estão lutando para entender como cumprir o GDPR. Neste artigo, você encontrará 10 passos que ajudarão seu negócio a alcançar, manter e comprovar a conformidade com os requisitos do GDPR.

Como estar em conformidade com o GDPR

1. Determine se e como a lei se aplica à sua organização.

A sua organização está sujeita ao GDPR?

Primeiro, determine se você precisa cumprir o GDPR. Para um teste decisivo simples, considere se você tem usuários ou clientes que moram na UE. Se a resposta for sim, você precisa implementar medidas de conformidade.

Para ser mais específico, aqui estão alguns exemplos de circunstâncias comuns que exigiriam que sua organização cumprisse o GDPR:

• Você coleta ou processa os dados de residentes da UE.
• Você envia para a UE, menciona a UE em seu site ou aceita pagamento em moeda da UE.
• Você oferece software, como um jogo ou aplicativo, que coleta dados pessoais como parte do processo de registro, e o software está disponível na UE

Você é um processador de dados ou um controlador de dados?

Se o GDPR se aplica a você, seu próximo passo é determinar se você é um processador de dados ou um controlador de dados, pois eles têm diferentes obrigações de conformidade.

• Os responsáveis pelo tratamento de dados são responsáveis por proteger os dados, e suas obrigações incluem:
  • Obtenção de consentimento
  • Governança de acesso
  • Garantindo a legalidade do processamento de dados
  • Transparência da informação
  • Protegendo a precisão
  • Garantindo a confidencialidade

• Processadores de dados coletam e manipulam dados. Em alguns casos, pode ser o controlador de dados, mas também pode ser um terceiro ou outro serviço que analisa os dados. Os processadores têm menos autonomia sobre os dados que processam, mas ainda têm obrigações, incluindo:
  • Processando dados apenas conforme as instruções do controlador de dados
  • Entrando em um contrato vinculativo com o processador
  • Não envolver sub-processadores sem o consentimento do controlador
  • Garantindo a segurança dos dados
  • Notificando o controlador da violação de data breaches
  • Seguindo as diretrizes de responsabilidade
  • Seguindo os protocolos internacionais de transferência
  • Cooperando com as autoridades

Que dados você precisa proteger?

Finalmente, determine quais dados o GDPR exige que você proteja. Sob o GDPR, dados pessoais são definidos como, “qualquer informação relacionada a uma pessoa natural viva, identificada ou identificável.” Isso inclui todas as informações que poderiam ser usadas para identificar uma pessoa, tais como:

• Nomes
• Dados de localização
• Identificadores online
• Origem racial ou étnica
• Crenças religiosas
• Opiniões políticas
• Informações de saúde
• Vida sexual
• Dados genéticos
• Dados biométricos como impressões digitais ou reconhecimento facial

2. Atribua papéis e responsabilidades.

Algumas das novas funções que você pode precisar para conformidade incluem:

• Oficial de conformidade
• Gerente de projeto
• Encarregado de Proteção de Dados (DPO) — De acordo com o Artigo 37, você precisa designar um DPO se for uma empresa pública, as atividades principais da sua empresa envolverem o manuseio de dados ou a sua empresa processar e armazenar grandes quantidades de dados pessoais de cidadãos da UE.

Defina os papéis e responsabilidades para ver quais podem ser preenchidos pelo pessoal atual e quais exigirão novas contratações.

Dica: Invista tempo em obter apoio da sua equipe de gestão ou do conselho, pois eles precisarão alocar recursos. Certifique-se de que os membros entendam os riscos de medidas insuficientes de proteção de dados e os benefícios da conformidade com o GDPR.

3. Escolha um ou mais frameworks.

Cumprir com o GDPR pode ser mais fácil se você seguir um framework que ajude a implementar as melhores práticas essenciais para reduzir os riscos de segurança de dados e privacidade em seus sistemas e serviços. Não existe um framework perfeito, mas há vários frameworks que podem ajudá-lo a cumprir com diferentes aspectos do GDPR. Eles incluem:

• ISO 27001 — Um framework de sistema de gestão de segurança da informação (ISMS) que ajuda a reduzir o risco de violação
• ISO/IEC 27701:2019 — Uma extensão da ISO/IEC 27001 focada em privacidade de dados
• NIST Privacy Framework — Um framework que ajuda a identificar e gerir riscos de privacidade
• NIST 800-30 Risk Assessment Framework — Um guia para a realização de avaliações de risco (que são discutidas abaixo)
• NIST 800-53 Controles de Segurança e Privacidade para Sistemas de Informação e Organizações — Um catálogo de controles de segurança e privacidade para sistemas de informação e organizações para proteger contra muitos tipos diferentes de riscos
• BS 10012 Gestão de Informações Pessoais — Uma estrutura para gerir informações pessoais
• PCI DSS Framework— Um framework utilizado para proteger os dados dos cartões de pagamento dos consumidores
• NIST Cybersecurity Framework — Uma estrutura que ajuda organizações a medir a maturidade de seus sistemas de cibersegurança e gestão de riscos e identificar passos para fortalecê-los

4. Realize avaliações de risco.

Realizar avaliações de risco é um componente essencial para cumprir o Artigo 32 e o Artigo 35 do GDPR.

Isso é realizado com uma Data Protection Impact Assessment (DPIA), que é um método de analisar, identificar e minimizar os riscos de proteção de dados de um projeto. Você deve conduzir uma DPIA antes de iniciar o processamento de dados que provavelmente resultará em um alto risco aos dados pessoais. Exemplos de processos de alto risco incluem:

• Usando nova tecnologia ou utilizando tecnologia existente de uma nova maneira
• Decisões automatizadas que podem resultar na negação de serviços
• Monitoramento em larga escala de locais públicos ou outro perfilamento em grande escala
• Processamento de dados biométricos usados para identificar um indivíduo
• Processamento de dados genéticos, a menos que seja realizado por um prestador de cuidados de saúde individual para o cuidado do titular dos dados
• Combinando ou associando dados pessoais de múltiplas fontes
• Processando dados que não foram obtidos do titular dos dados
• Rastreando a geolocalização ou o comportamento de um indivíduo, online e offline
• Processamento de dados de crianças para marketing, perfilamento, tomada de decisão automatizada ou oferta de serviços
• Processando dados que poderiam resultar em dano físico a uma pessoa se fossem vazados

Esta lista não é exaustiva; cabe a você decidir se deve realizar uma DPIA para processos que não são especificamente mencionados no Artigo 35. Se tiver alguma dúvida, é melhor fazer uma. Idealmente, uma DPIA será realizada durante a fase de planejamento de um projeto e ajudará a decidir se há um risco e como mitigá-lo.

Um DPIA deve fazer tudo o seguinte:

• Identifique a necessidade de um DPIA explicando o objetivo do seu projeto e o tipo de processamento envolvido
• Descreva o processamento, incluindo sua natureza, escopo, contexto e finalidade
• Envolver a consulta com as partes interessadas relevantes ou explicar por que não é necessário
• Avalie a necessidade e proporcionalidade, incluindo a legalidade e a minimização de dados
• Identifique e avalie riscos
• Identifique medidas para reduzir riscos
• Inclua aprovações e registre os resultados

Após completar uma DPIA, você deve implementar as medidas identificadas em seu projeto e continuar a revisá-las ao longo do mesmo. Para mais informações sobre como realizar uma DPIA, leia este artigo.

5. Estabeleça a governança de dados.

A governança de dados diz respeito às políticas e processos em torno do uso apropriado de dados pessoais à medida que entram e saem da sua organização. Os procedimentos de governança de dados garantem que padrões elevados sejam mantidos durante todo o ciclo de vida dos seus dados. Seu processo de governança de dados também deve atender aos requisitos do Artigo 30 relacionados aos registros da atividade de processamento.

A sua estratégia de data governance deve incluir o seguinte:

• Um inventário de dados que fornece um registro de todas as fontes de dados que sua empresa possui, quais dados são coletados e como, e o que acontece com eles
• Classificação de dados, que agrupa dados em tipos para que possam ser protegidos de acordo com seu valor e sensibilidade
• Estratégias para garantir que seus processos de coleta de dados sejam legais, justos e transparentes
• Métodos para manter o registro do processamento de dados pessoais atualizado
• Procedimentos para realizar uma DPIA sempre que o seu processamento de dados for susceptível de resultar em um alto risco, conforme descrito acima
• Registros que estão por escrito, incluindo em forma eletrônica
• Registros que estão disponíveis para as autoridades supervisoras quando solicitados

6. Implemente controles apropriados.

O GDPR não especifica os controles necessários para a conformidade, mas estabelece que você precisa implementar medidas para abordar a “segurança do processamento”:

• Utilize as ferramentas de software mais atualizadas para proteger os dados dos clientes.
• Documente a natureza, o propósito e o escopo do processamento de dados.
• Segregue dados e aplique medidas de segurança adequadas ao risco.
• Criptografe e pseudonimize os dados quando possível.
• Torne os dados disponíveis para o titular dos dados.
• Proteja os dados pessoais contra a leitura ou alteração por usuários não autorizados.
• Teste e avalie regularmente a eficácia dos seus controles.
• Considere todos os riscos ao manusear ou processar dados.

Gerenciar controles de segurança, como a maioria dos outros aspectos da conformidade com o GDPR, é um processo contínuo. Uma vez que você tenha implementado seus controles, será necessário auditar suas atividades de processamento de dados e controles de segurança regularmente. Procure uma solução de software que automatize a gestão do maior número possível de controles de segurança.

7. Garanta os direitos do titular dos dados.

Você também precisará de políticas para defender os direitos dos titulares dos dados — as pessoas cujos dados você coleta. Em particular, você precisa de um plano para como irá lidar com o seguinte:

• Coletando e verificando solicitações de acesso do titular dos dados (DSARs)
• Responder a DSARs dentro de um mês para evitar penalidades custosas
• Políticas de gestão de consentimento que incluem coleta, retenção e eliminação de dados
• Sua política de cookies, incluindo formulários de consentimento e métodos para alterar as preferências de cookies
• Políticas e procedimentos para lidar com obrigações de violação de dados pessoais, incluindo detecção, notificação e investigação de violações

8. Crie e mantenha os documentos necessários.

Vários artigos do GDPR exigem que você crie documentação detalhando como armazena e processa dados. O GDPR não estipula como você deve nomear seus documentos, então você pode escolher títulos diferentes dos mostrados abaixo. Além disso, alguns documentos podem ser combinados se apropriado. Aqui está uma lista dos documentos que você precisará:

• Política de proteção de dados pessoais (Artigo 24) — Descreve como a privacidade é gerida na sua empresa
• Aviso de privacidade (Artigos 12,13,14) — Descreve como os dados pessoais são processados
• Aviso de privacidade do empregado (Artigos 12, 13 e 14) — Explica como os dados pessoais dos empregados são processados
• Política de retenção de dados (Artigos 5, 13, 17 e 30) — Descreve o processo de decidir por quanto tempo os dados são mantidos e como são destruídos
• Cronograma de retenção de dados (Artigo 30) — Lista dados regulamentados e explica por quanto tempo cada tipo de dado será mantido
• Mapeamento do fluxo de dados (Artigo 30, 25, 6, 28, 35) — Mapeia o fluxo de informações
• Formulário de consentimento do titular dos dados (Artigos 6, 7 e 9) — Utilizado para obter consentimento para o processamento de dados pessoais
• Acordo de processamento de dados do fornecedor (Artigos 28, 32 e 82) — Descreve as medidas de proteção de dados exigidas dos processadores e outros fornecedores
• Registro de DPIA (Artigo 35) — Documenta os resultados dos DPIAs
• Procedimento de resposta e notificação de violação de dados (Artigos 4, 33 e 34) — Descreve os procedimentos a serem realizados antes, durante e após uma violação de dados
• Registro de violação de dados (Artigo 33) — Registra todas as violações de dados
• Formulário de notificação de violação de dados à Autoridade Supervisora (Artigo 33) — O formulário que você utiliza para notificar a Autoridade Supervisora sobre uma violação de dados
• Formulário de notificação de violação de dados aos titulares dos dados (Artigo 34) — O formulário que você utiliza para notificar os titulares dos dados sobre uma violação envolvendo suas informações privadas
• Inventário de atividades de processamento (Artigo 30) — Um inventário que deve ser mantido pelo controlador
• Descrição do cargo de Encarregado de Proteção de Dados (Artigos 37, 38 e 39) — Detalha as responsabilidades do seu DPO (necessário apenas se for obrigatório ter um DPO)

Crie e publique documentos públicos.

O GDPR exige que as organizações disponibilizem publicamente as seguintes informações em uma linguagem clara e de fácil compreensão:

• Política de privacidade
• Política de retenção de dados
• Termos de transferência de dados para outros países
• Política de proteção de dados
• Informações de contato, incluindo como contatar seu DPO, se você tiver um
• Termos de uso
• Política de pagamento & política de cookies

9. Treine seus funcionários.

Treinar sua equipe é uma regra fundamental para a conformidade com o GDPR. Seguir os regulamentos não é apenas uma questão de TI. Você precisará de uma estratégia abrangente de comunicação e treinamento que inclua todos, de todos os níveis da empresa.

Além disso, o treinamento não deve ser visto como uma proposta única e definitiva. Deve começar no topo da empresa com foco na criação de uma cultura de conformidade. O treinamento online deve ser complementado com educação específica, baseada em funções, direcionada às responsabilidades e áreas de risco de cada departamento.

10. Realize regularmente análises de lacunas e remediação.

Uma análise de lacunas avaliará suas medidas atuais em comparação com os padrões de conformidade. Isso lhe dará um entendimento mais profundo dos passos que você precisa tomar para implementar os processos, controles e outras medidas necessárias para garantir a conformidade.

Uma GDPR compliance checklist pode fornecer um ponto de partida. Outra forma de obter insights sobre áreas que podem estar em não conformidade na sua organização é monitorando por que outras empresas são multadas por não conformidade.

Multas por Violações do GDPR

O não cumprimento do GDPR pode resultar em multas pesadas: até 24,1 milhões de dólares ou 4 por cento do faturamento global anual da empresa, o que for maior.

Existem circunstâncias atenuantes e agravantes que afetam o valor da multa. Violações intencionais são punidas mais severamente do que as negligentes. Reportar violações o mais rápido possível e cooperar com as autoridades são circunstâncias atenuantes. Violações mais graves, como aquelas que envolvem os direitos dos titulares dos dados e consentimento, estão sujeitas a multas mais elevadas.

Aqui estão algumas das multas mais altas aplicadas até o momento:

• H&M Clothing— Esta empresa sueca foi multada em $41 milhões por gravar reuniões de funcionários e disponibilizar as gravações para mais de 50 gerentes. Os dados sensíveis obtidos dessas gravações eram usados para avaliar o desempenho dos funcionários e tomar outras decisões de emprego.
• Google— A Google foi multada em US$ 56,6 milhões por violações relacionadas à forma como forneciam avisos de privacidade e como solicitavam consentimento para usar dados pessoais para publicidade personalizada e outros processamentos de dados. Essa multa poderia ter sido evitada se a Google tivesse fornecido mais informações e dado aos titulares dos dados mais controle sobre como suas informações eram usadas. O recurso da Google foi infrutífero.
• Amazon — A multa de 877 milhões de dólares da Amazon é a maior já registrada, sendo 15 vezes maior que a anterior. A infração estava relacionada com o consentimento de cookies, e não foi a primeira vez que a Amazon foi multada por isso, o que provavelmente é uma das razões para a multa ter sido tão elevada. A melhor maneira de evitar multas relacionadas a cookies é obter um consentimento livre, informado e claro antes de instalar quaisquer cookies no dispositivo de um usuário.

Como a Netwrix pode ajudar?

Com as soluções da Netwrix, você pode alcançar, manter e comprovar a conformidade com o GDPR com menos esforço e despesas hoje. Produtos Netwrix:

• Automatize a auditoria de change, access and configuration.
• Ensure accurate discovery and classification of regulated data.
• Forneça informações práticas sobre a segurança dos seus dados e infraestrutura.
• Otimize solicitações de titulares de dados automatizando o processo de coleta de dados — um passo crucial e que consome muitos recursos.

Perguntas Frequentes

1. O que é necessário para a conformidade com o GDPR?

O GDPR exige que as empresas implementem medidas para proteger a privacidade dos dados pessoais dos residentes da UE.

2. Como você prova que está em conformidade com o GDPR?

Você precisa fornecer documentos específicos que demonstrem que você adere aos princípios de proteção de dados, realiza DPIAs conforme necessário, tem os papéis de trabalho necessários atribuídos, está pronto para relatar violações de segurança prontamente, e assim por diante.