Com centenas de regulamentações em todo o mundo a exigir o cumprimento de requisitos de segurança de informações e proteção de dados, empresas de todas as dimensões lutam para conseguir estar em conformidade. Alguns exemplos desses standards e regulamentações são:
General Data Protection Regulation (GDPR ou RGPD)
Aplicável a qualquer empresa que faça negócio com cidadãos da Europa. Este regulamento reforça a proteção de dados para os cidadãos da UE e aborda a questão da exportação de dados pessoais para fora da EU.
Swiss Federal Data Protection Act (“DPA”)
A Suíça atualizou recentemente a sua Lei Federal de Proteção de Dados (FADP) de 1992 para manter a paridade com os requisitos do RGPD. Essas atualizações modernizam as leis suíças de proteção de dados para manter o satus de conformidade da Suíça concedido pela Comissão Europeia e garantem o livre fluxo de dados da UE para a Suíca e vice-versa. Outros países da UE estão igualmente a atualizar as suas leis de proteção de dados na sequência do RGPD.
South Africa Protection of Personal Information (PoPI) Act
Assegura que as instituições sul-africanas reunam, processem, armazenem e partilhem informações pessoais sobre outras entidades responsáveis, e concede certos direitos de proteção e controle aos indivíduos como proprietários das suas informações pessoais.
US Health Insurance Portability and Accountability Act (HIPAA)
Aplicável a qualquer organização que processe ou armazene PHI. Garante a confidencialidade e privacidade dos dados dos pacientes.
Canada Personal Information Protection and Electronic Documents Act (PIPEDA)
Aplicável a organizações que fazem negócios com cidadãos canadianos. Esta regulamentação protege a privacidade das informações pessoais dos cidadãos canadianos.
International Organization for Standardisation/ International Electrotechnical Commission (ISO/IEC) 27000 family of standards
Normas de segurança adotadas internacionalmente, incluindo: Tecnologia de Informação – Técnicas de Segurança – Sistemas de gestão da segurança da informação – Requisitos (ISO/ IEC 27001), Tecnologia da informação – Técnicas de segurança – Código de práticas para controlo de segurança da informação (ISO/ IEC 27002) Tecnologia da informação – Técnicas de segurança – Código de práticas para controlo da segurança da informação baseados em ISO/ IEC 27002 para serviços na cloud (ISO/ IEC 27017) e Tecnologia da Informação – Técnicas de segurança – Código de prática para proteção de informações pessoalmente identificáveis (PII) em clouds públicas atuando como processadores PII (ISSO/ IEC 27018).
Payment Card Industry (PCI) Data Security Standards (DSS)
Aplicável a qualquer negócio que aceite, processe ou armazene transações com cartão de pagamento (como cartão de crédito e débito). Embora essas e outras regulamentações sejam promulgadas para garantir as melhores e mais adequadas práticas de segurança e proteção de dados sejam implementadas em organizações que lidam com dados confidenciais, elas são geralmente complexas, ambíguas e caras de abordar. Infelizmente, isso tem a consequência não intencional de levar muitas organizações a concentrarem os seus esforços na conformidade regulatória, em vez de na segurança das informações e na proteção de dados.
O RGPD foi concebido para proteger a privacidade dos indivíduos da UE, dando-lhes maior controlo e direitos sobre os seus dados pessoais. Os indivíduos podem, por exemplo:
- Solicitar que as empresas forneçam uma cópia do documento num formato estruturado, usado habitualmente, num formato legível com letra “tipo máquina”;
- Solicitar o encaminhamento dos seus dados para outras entidades (a “portabilidade dos dados corretos”);
- Ter a sua informação eliminada (o “direito de ser esquecido”).
O RGPD implementa regras muito mais rígidas em relação ao consentimento, notificação de violações de dados, avaliações de impacto de privacidade obrigatórias e exigência de “privacidade por design e por defeito”.
O não cumprimento do RGPD pode resultar em multas de até 4% da receita mundial anual de um negócio, ou 20 milhões de euros – o que for maior. O RGPD também sugere várias medidas técnicas de segurança que podem ser usadas na proteção de dados, incluindo:
- O pseudónimo e a encriptação dos dados da pessoa;
- A capacidade de garantir a confidencialidade, integridade, disponibilidade,e resiliência de sistemas e serviços que processam dados pessoais;
- A capacidade de resposta ou a disponibilidade e o acesso à pessoa pessoal, de forma oportuna, no caso de um incidente físico ou técnico;
- Um processo para testar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento de dados pessoais.
CINCO PASSOS PARA O CUMPRIMENTO DO RGPD PARA PEQUENAS E MÉDIAS EMPRESAS
1. Estabelecer e avaliar a forma como lida com os dados
Uma avaliação completa sobre a forma como a sua empresa lida com os dados é primordial. De acordo com as regras anteriores, apenas os controladores de dados eram responsáveis pela conformidade, mas as obrigações do RGPD também recaíam sobre os detentores de dados. Você precisa estabelecer se sua organização é um processador de dados ou um controlador de dados, ou ambos. Saber onde os dados são armazenados e qual a segurança do local, bem como determinar se esses dados estão a ser partilhados, é crítico.
2. Aprender com o passado
Para verificar as suas capacidades de reação a um ataque futuro, examine o que aconteceu durante violações passadas e questione se as etapas realizadas estão de acordo com os novos requisitos definidos pelo RGPD. Sob as novas regras, as violações devem ser reportadas em 72 horas, juntamente com informações sobre a gravidade do ataque. Se a sua empresa não puder fazê-lo, essa falha poderá resultar numa multa elevada. Atualizar (ou criar) o seu plano de resposta a incidentes e testar regularmente os recursos e a eficácia da resposta a incidentes é uma etapa essencial para garantir a conformidade com o RGPD.
3. Nomear um oficial de proteção de dados ou alguém com responsabilidade formal pela proteção dos dados
Este pode parecer um conselho simples para uma empresa com muito dinheiro, mas a despesa adicional torna isto mais complicado para empresas mais pequenas. No entanto, não é tão desanimador quanto ser multado em 4% das suas receitas e pode não precisar de ser uma responsabilidade a tempo inteiro. O responsável pela proteção de dados atua de forma independente reportando à gestão e deve ajudar a implementar os requisitos. A alocação de recursos adicionais, mais cedo ou mais tarde, garantirá que a sua empresa não seja apenas compatível, mas esteja também preparada para lidar com qualquer violação de dados e mitigar a possibilidade de ser multada.
4. Informe-se e dê formação aos seus funcionários sobre as regras
Um dos principais objetivos do RGPD é possibilitar a capacidade das pessoas serem esquecidas e verem os seus dados apagados. As empresas também terão que obter “ação afirmativa clara” dos indivíduos antes de processar os seus dados. As regras também dificultam que as crianças divulguem os seus dados. Saber como as regras mudam o tratamento do consentimento da sua organização e os direitos dos indivíduos é imperativo.
5. Saiba qual é a sua principal autoridade de supervisão
A autoridade que lida com qualquer reclamação contra a sua empresa depende de onde a sua empresa está localizada, e não da localização do indivíduo que faz a reclamação. Isso pode ser difícil para empresas que operam internacionalmente, ou que possuem vários sites em diferentes regiões. E existem também outras diretrizes em diferentes países que podem ir além do RGPD que também precisam ser consideradas.
Para saber mais sobre o RGPD e as medidas de segurança que sua empresa deve seguir para estar em conformidade com o RGPD, aceda a https://encryption.eset.com/
