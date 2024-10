Não existe um plano de conformidade com o GDPR que sirva para todos, mas há algumas práticas fundamentais que as organizações podem seguir para guiar seus esforços de implementação.

Para uma lista dos principais requisitos do GDPR, consulte o lista de conformidade do GDPR.

Inventariar dados pessoais

Embora o GDPR não exija explicitamente um inventário de dados, muitas organizações começam por aqui por dois motivos: Saber quais dados a empresa possui e como são processados ajuda a organização a entender melhor suas obrigações de conformidade. Por exemplo, uma empresa que coleta dados de saúde de usuários precisa de proteções mais rigorosas do que uma que coleta apenas endereços de e-mail.

Em segundo lugar, um inventário abrangente facilita o cumprimento de solicitações dos usuários para compartilhar, atualizar ou excluir seus dados.

Um inventário de dados pode registrar detalhes como:

Tipos de dados coletados (nomes de usuário, dados de navegação)

Populações de dados (clientes, funcionários, estudantes)

Como os dados são coletados (inscrições em eventos, páginas de destino)

Onde os dados são armazenados (servidores locais, serviços em nuvem)

A finalidade da coleta de dados (campanhas de marketing, análise comportamental)

Como os dados são processados (pontuação automatizada, agregação)

Quem tem acesso aos dados (funcionários, fornecedores)

Salvaguardas existentes (criptografia, autenticação de múltiplos fatores)

Pode ser difícil localizar dados pessoais espalhados por toda a rede da organização em vários fluxos de trabalho, bancos de dados, endpoints e até mesmo ativos de TI invisível. Para tornar os inventários de dados mais gerenciáveis, as organizações podem considerar o uso de soluções de proteção de dados que descubram e classifiquem dados automaticamente.

Saiba como o IBM® Guardium Data Protection descobre, classifica e protege automaticamente dados sensíveis em grandes repositórios como AWS, DBaaS e mainframes locais.

Identificar e proteger dados de categorias especiais

Ao inventariar dados, as organizações devem anotar quaisquer dados especialmente sensíveis que exijam proteção adicional. O GDPR exige precauções extras para três tipos de dados em particular: dados de categoria especial, dados de condenações criminais e dados de crianças.

Dados de categoria especial incluem biometria, registros de saúde, etnia e outras informações altamente pessoais. Geralmente, as organizações precisam do consentimento explícito do usuário para processar esses dados.

Dados de condenações criminais só podem ser controlados por autoridades públicas e processados sob sua direção.

Dados de crianças não podem ser processados sem o consentimento dos pais, e as organizações precisam de mecanismos para verificar a idade dos titulares dos dados e a identidade dos pais. Cada estado do EEE define sua própria definição de "criança" de acordo com o GDPR. A faixa etária varia de menores de 13 a menores de 16 anos. As empresas devem estar preparadas para cumprir essas definições variadas.

Auditoria das atividades de processamento de dados

Durante o inventário de dados, as organizações registram todas as operações de processamento que os dados realizam. Em seguida, devem garantir que essas operações estejam em conformidade com as regras de processamento do GDPR. Alguns dos princípios mais importantes incluem:

Todo processamento deve ter uma base legal estabelecida: o processamento de dados só é aceitável se a organização tiver uma base legal aprovada para tal. Bases legais comuns incluem obter o consentimento do usuário, processar dados para executar um contrato com o usuário e processar dados para o interesse público. As organizações devem documentar a base legal antes de iniciar qualquer operação de processamento.

Para ver a lista completa das bases legais aprovadas, consulte a página de conformidade com o RGPD.

Limitação de propósito: os dados devem ser coletados e usados para um propósito especificamente definido.

Minimização de dados: as organizações devem coletar a quantidade mínima de dados necessária para o seu propósito.

Precisão: as organizações devem garantir que os dados que coletam sejam corretos e atualizados.

Limitação de armazenamento: as organizações devem descartar os dados de forma segura assim que seu propósito for cumprido.

Para uma lista completa dos princípios de processamento do GDPR, consulte a lista de verificação de conformidade com o GDPR.

Atualizar formulários de consentimento de usuários

O consentimento do usuário é uma base legal comum para o processamento de dados. No entanto, o consentimento só é válido sob o GDPR se for informado, afirmativo e dado livremente. As organizações podem precisar atualizar os formulários de consentimento para atender a esses requisitos.

Para garantir que o consentimento seja informado, a organização deve explicar claramente o que está coletando e como usará esses dados no momento da coleta.

Para garantir que o consentimento seja afirmativo, as organizações devem adotar uma abordagem de opt-in, em que os usuários precisam marcar uma caixa ou assinar uma declaração para sinalizar o consentimento. Os consentimentos também não podem ser agrupados. Os usuários devem concordar com cada atividade de processamento individualmente.

Para garantir que o consentimento seja livre, as organizações só podem exigir consentimento para atividades de processamento de dados que sejam genuinamente essenciais para um serviço. Em outras palavras, uma empresa não pode obrigar os usuários a divulgar suas opiniões políticas para comprar uma camiseta. Os usuários devem ser capazes de revogar o consentimento a qualquer momento.

Criar um sistema de registro

Organizações com mais de 250 funcionários, e empresas de qualquer tamanho que processam regularmente dados ou lidam com dados de alto risco, devem manter registros eletrônicos escritos de suas atividades de processamento.

No entanto, todas as organizações podem querer manter tais registros. Isso não apenas ajuda a acompanhar os esforços de privacidade e segurança, mas também pode demonstrar conformidade no caso de uma auditoria ou violação. As empresas podem reduzir ou evitar penalidades se puderem provar que fizeram um esforço de boa fé para cumprir o regulamento.

Os controladores de dados podem querer manter registros especialmente robustos, já que o GDPR os responsabiliza pela conformidade de seus parceiros e fornecedores.

Designar líderes de conformidade com o GDPR

Todas as autoridades públicas e quaisquer organizações que processem regularmente dados de categoria especial ou monitorem sujeitos em grande escala devem nomear um diretor de proteção de dados (DPO). O DPO é um oficial corporativo independente encarregado de garantir a conformidade com o GDPR. As responsabilidades comuns incluem supervisionar avaliações de risco, treinar funcionários sobre princípios de proteção de dados e trabalhar com autoridades governamentais.

Embora apenas algumas organizações sejam obrigadas a nomear DPOs, todas podem considerar fazê-lo. Ter um responsável pela conformidade com o GDPR pode ajudar a agilizar a implementação.

Os DPOs podem ser funcionários de uma empresa ou consultores externos que oferecem seus serviços por contrato. Os DPOs devem relatar diretamente ao mais alto nível de administração. A empresa não pode retaliar contra um DPO por cumprir suas funções.

Organizações fora do EEE devem nomear um representante dentro do EEE se processarem regularmente dados de residentes do EEE ou lidarem com dados altamente sensíveis. A principal função do representante do EEE é coordenar com as autoridades de proteção de dados em nome da empresa durante as investigações. O representante pode ser um funcionário, uma empresa afiliada ou um serviço contratado.

O DPO e o representante do EEE são funções diferentes com responsabilidades distintas. Notavelmente, o representante age sob a direção da organização, enquanto o DPO deve ser um oficial independente. Uma organização não pode nomear uma parte (link fora de ibm.com) para atuar como DPO e representante da EEA ao mesmo tempo.

Se uma organização operar em vários estados do EEE, ela deverá identificar uma autoridade de controle líder. A autoridade supervisora líder é a principal autoridade de proteção de dados (DPA) responsável por supervisionar a conformidade com o GDPR em toda a Europa para essa empresa.

Normalmente, a autoridade supervisora líder é a DPA no estado-membro onde a organização tem sua sede ou realiza suas principais atividades de processamento.

Redigir uma política de privacidade de dados

O GDPR exige que as organizações mantenham as pessoas informadas sobre como utilizam seus dados. As empresas podem cumprir esse requisito redigindo políticas de privacidade que descrevem claramente suas operações de processamento, incluindo o que a empresa coleta, políticas de retenção e exclusão, direitos dos usuários e outros detalhes relevantes.

As políticas de privacidade devem usar uma linguagem simples que qualquer pessoa possa entender. Esconder informações importantes por trás de jargões densos pode violar o GDPR. As organizações podem garantir que os usuários vejam suas políticas compartilhando avisos de privacidade no momento da coleta de dados. As organizações também podem hospedar suas políticas de privacidade em páginas públicas e fáceis de encontrar em seus sites.

Garantir a conformidade dos parceiros terceirizados

Os controladores são, em última instância, responsáveis pelos dados pessoais que coletam, incluindo como seus processadores, fornecedores e outros terceiros os utilizam. Se os parceiros não estiverem em conformidade, os controladores podem ser penalizados.

As organizações devem revisar seus contratos com terceiros que têm acesso aos seus dados. Esses contratos devem definir claramente os direitos e responsabilidades de todas as partes em relação ao GDPR de forma juridicamente vinculativa.

Se uma organização trabalhar com processadores fora do EEE, esses processadores ainda precisam atender aos requisitos do GDPR. De fato, as transferências de dados para fora do EEE estão sujeitas a padrões Controladores no EEE só podem compartilhar dados com processadores fora do EEE se um dos seguintes critérios for atendido:

A Comissão Europeia considerou as leis de privacidade do país adequadas.

A Comissão Europeia considerou que o processador possui proteções de dados suficientes.

O controlador tomou medidas para garantir que os dados sejam protegidos.

Uma maneira de garantir que todas as parcerias e transferências de dados estejam em conformidade com o GDPR é usar cláusulas contratuais padrão. Essas cláusulas pré-escritas são aprovadas pela Comissão Europeia e estão disponíveis sem custo para qualquer organização usar. Inserir essas cláusulas em um contrato o torna compatível com o GDPR, desde que cada parte as cumpra. Para obter mais informações sobre cláusulas contratuais padrão, consulte o site da Comissão Europeia (link fora de ibm.com).

Criar um processo para avaliações de impacto na proteção de dados

O GDPR exige que as organizações realizem avaliações de impacto sobre a proteção de dados (DPIAs) antes de qualquer processamento de alto risco. Mesmo que o RGPD forneça alguns exemplos, como o uso de novas tecnologias ou o tratamento em larga escala de dados sensíveis, ele não enumera todas as atividades de alto risco.

As organizações podem considerar a realização de uma DPIA antes de qualquer nova operação de processamento para garantir segurança. Outras podem usar uma triagem simplificada para determinar se o risco é suficientemente alto para justificar uma DPIA.

No mínimo, uma DPIA deve descrever o processamento e seu propósito, avaliar a necessidade do processamento, avaliar os riscos para os titulares dos dados e identificar medidas de mitigação. Se o risco permanecer alto após a mitigação, a organização deve consultar uma autoridade de proteção de dados antes de seguir em frente.

Saiba como o IBM® Guardium Insights pode ajudar a simplificar os relatórios de conformidade com fluxos de trabalho pré-configurados para o GDPR, CCPA e outras regulamentações importantes.

Implementar um plano de resposta a violações de dados

As organizações devem relatar a maioria das violações de dados pessoais a uma autoridade supervisora dentro de 72 horas. Se a violação representar um risco para os titulares dos dados, como roubo de identidade, a empresa também deve notificar os indivíduos afetados. As notificações devem ser enviadas diretamente às vítimas, a menos que isso seja inviável. Nesse caso, um aviso público é suficiente.

As organizações precisam de planos eficazes de resposta a incidentes que identifiquem rapidamente as violações em andamento, erradiquem ameaças e notifiquem as autoridades. Os planos de resposta a incidentes devem incluir ferramentas e táticas para recuperar sistemas e restaurar a segurança da informação. Quanto mais rápido uma organização recuperar o controle, menor a probabilidade de enfrentar ações regulatórias graves.

As organizações também podem aproveitar essa oportunidade para fortalecer as medidas de segurança de dados. Se uma violação for improvável de causar danos aos usuários, por exemplo, se os dados roubados estiverem tão fortemente criptografados que os hackers não possam usá-los, a empresa não precisará notificar os titulares dos dados. Isso pode ajudar a evitar os danos à reputação e à receita que podem ocorrer após uma violação de dados.

Facilite o exercício dos direitos dos titulares dos dados

O GDPR concede aos titulares dos dados direitos sobre como as organizações utilizam suas informações. Por exemplo, o direito de retificação permite que os usuários corrijam dados imprecisos ou desatualizados. O direito ao apagamento permite que os usuários solicitem a exclusão de seus dados.

De modo geral, as organizações devem atender às solicitações dos titulares dos dados dentro de 30 dias. Para facilitar o gerenciamento dessas solicitações, as empresas podem criar portais de autoatendimento onde os titulares possam acessar seus dados, fazer alterações e restringir seu uso. Esses portais devem incluir uma forma de verificar a identidade dos titulares. O GDPR impõe às organizações a responsabilidade de verificar se os solicitantes são quem dizem ser.

Decisões automatizadas e perfilamento

Os titulares dos dados têm direitos especiais em relação ao processamento automatizado. Especificamente, as organizações não podem usar a automação para tomar decisões significativas sem o consentimento do usuário. Os usuários têm o direito de contestar decisões automatizadas e solicitar que um ser humano revise a decisão.

As organizações podem usar portais de autoatendimento para permitir que os titulares dos dados contestem decisões automatizadas. As empresas também devem estar preparadas para designar revisores humanos, conforme necessário.

Portabilidade de dados

Os titulares dos dados têm o direito de transferir suas informações para onde desejarem, e as organizações devem facilitar essas transferências.

Além de facilitar as solicitações de transferência, as organizações devem armazenar os dados em um formato compartilhável. O uso de formatos proprietários pode dificultar as transferências e impedir os direitos dos usuários.

Para uma lista completa dos direitos dos titulares de dados, consulte a página de conformidade com o GDPR.

Implementar medidas de segurança da informação

O GDPR exige que as organizações usem medidas de proteção de dados razoáveis para fechar vulnerabilidades do sistema e prevenir acesso não autorizado ou uso ilegal. O GDPR não impõe medidas específicas, mas afirma que as organizações precisam de controles técnicos e organizacionais.

Os controles de segurança técnica incluem software, hardware e outras ferramentas tecnológicas, como SIEMs e soluções de prevenção de perda de dados. O GDPR incentiva fortemente o uso de criptografia e pseudonimização, então as organizações podem considerar implementar esses controles em particular.

As medidas organizacionais incluem processos como treinar os funcionários nas regras do GDPR e implementar políticas formais de governança de dados.

O GDPR também orienta as empresas a adotarem o princípio da proteção de dados por design e por padrão. "Por design" significa que as empresas devem incorporar a privacidade dos dados desde o início. "Por padrão" significa que a configuração padrão de qualquer sistema deve ser aquela que mantém a maior privacidade possível para o usuário.

Saiba como as soluções de segurança e proteção de dados da IBM protegem dados em nuvens híbridas e simplificam os requisitos de conformidade.