Qualificação dos dados e atendimento aos padrões regulatórios
À medida que uma enorme quantidade de informações são criadas diariamente no mundo dos negócios e transitam pelas redes públicas e privadas, os marcos regulatórios nasceram para ajudar as organizações de vários setores a garantir os meios adequados para o manuseios dos dados. Entre os principais padrões regulatórios da indústria global estão o SOX (Sarbanes Oxley), HIPAA Compliance, ISO 27001, PCI, Public Services Network, Export Control Compliance, Data Protection Act (DPA) entre outras, além do GDPR que entra em vigor em 2018.
Assim, é necessário ter em mente vários fatores que contribuem para se garantir a proteção dos dados e, também, deve-se colocar em prática os mecanismo e processos que podem garantir que se conheça o nível de sensibilidade de uma informação, seu grau de confidencialidade e como ela poderá transitar dentro e fora da companhia.
Podemos listar pequeno roteiro muito interessante para que os executivos de segurança da informação possam levar em conta na hora de se criar um plano de atendimento aos marcos regulatórios a partir da Data Classification.
Vamos a ele:
- Atenção e consciência. Todos os funcionários – do alto escalão da companhia até a base da companhia – precisam ser amplamente orientados e conscientizados da importância dos padrões regulatórios e do papel fundamental que todos têm perante as regras e como podem atuar no processamento dos dados que manuseiam;
- Inventário e responsabilidade. As empresas devem fazer um inventário de todos os dados pessoais que possuem em sua rede e fazer as seguintes perguntas: Por que você está com elas? Como você as conseguiu? Por que foi originalmente guardada? Quanto tempo você irá mantê-las? Quão seguras elas estão, tanto em termos de criptografia quanto de acessibilidade? Você já as compartilhou com terceiros e em que base você poderia fazer este compartilhamento?
- Comunicação. Todos os avisos sobre coleta e privacidade de dados atuais dentro da companhia devem ser revistos. Identifique possíveis lacunas entre o nível de coleta de dados, seu processamento e o nível de conhecimento e consciência sobre o assunto estão os clientes, funcionários e usuários de serviços. Olhe para a cadeia de logística e veja quais ações estão sendo aplicadas para combinar o bom trabalho se eles estão processando alguns de seus dados;
- Proteger o direito de privacidade. Revise os procedimentos de proteção de todos os direitos e privilégios que os indivíduos têm, incluindo como se poderia excluir dados pessoais ou fornecer dados eletronicamente para dentro e forra da companhia. O direito de ser esquecido, por exemplo, pode entrar em conflito com outros padrões regulatórios, como, por exemplo, os registros de RH de antigos funcionários. Então, identifique quais sistemas possam ter estes dados armazenados;
- Os direitos de acesso mudam. Revise e atualize os procedimentos e planeje como os pedidos dentro dos novos prazos serão tratados. As mudanças nas regras de acesso podem acontecer em uma questão de tempo muito curto (talvez de um dia para o outro) e devem monitoradas e controladas;
- Compreenda a lei regulatória ao pé da letra. Isso garante que as empresas possam analisar os vários tipos de processamento de dados que realizam, identificar as suas bases legais para realizá-lo e documentá-lo;
- Consentimento controlado. As empresas que utilizam o consentimento do cliente ao registrar dados pessoais devem avaliar como o consentimento é solicitado, obtido e gravado. Qualquer alteração dever acompanhada;
- Dados pessoais das crianças. As organizações que processam dados de menores de idade devem assegurar que regras e sistemas estejam em vigor para verificar as idades individuais e também reunir o consentimento dos pais e responsáveis;
- Alertar sobre as brechas. As empresas devem assegurar que os procedimentos adequados estejam disponíveis para detectar, relatar e investigar uma violação de dados pessoais. Assuma sempre que uma violação pode acontecer em algum momento e saiba procedimento correto para alertar o órgão da autoridade nacional dentro dos limites de tempo e da legislação;
- Data Protection Impact Assessments (DPIA). O DPIA é o processo que considerar sistematicamente o impacto potencial que um projeto ou iniciativa que pode ter sobre a privacidade de indivíduos. Conhecê-lo permite que as organizações identifiquem potenciais problemas de privacidade antes de surgirem e criem uma maneira de mitigá-los;
- Contratar agentes de proteção de dados. O importante é garantir que alguém na organização ou um consultor externo de proteção de dados se responsabilize pela conformidade com a proteção de dados e entenda a responsabilidade de dentro para fora;
- Capacite as equipes sobre padrões regulatórios. O regulamento inclui uma disposição “one-stop-shop” – tudo em um só lugar – para auxiliar as organizações submetidas aos padrões regulatórios globais. As organizações multinacionais terão o direito de lidar com uma autoridade de proteção de dados, ou a Autoridade Supervisora Líder (LSA) como seu único órgão regulador no país onde elas são principalmente estabelecidas;
Assim como a entrada em vigor em 2018 do novo Regulamento Europeu de Proteção aos Dados Pessoais (GDPR – General Data Protection Regulation), que afeta fortemente as organizações multinacionais, os demais marcos regulatórios impulsionam as empresas a adotarem políticas de proteção dos dados de seus clientes. Como visto nesta lista comentada, os administradores da segurança de dados devem debater com seus colegas os meios de colocá-la em pratica. Certamente, as novas tecnologias podem ajustar neste processo.