Este ano, a proteção e a privacidade dos dados foram
tópicos importantes, à medida que o RGPD surgiu no horizonte. Se o seu negócio
é diretamente afetado pelo novo regulamento, esteja ciente desses três erros
comuns de privacidade de dados
No início deste
ano, a proteção e a privacidade dos dados foram temas importantes, à medida que
o Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês), surgia no
horizonte. Como uma empresa com sede na Alemanha e subsidiária do Brasil, que é
diretamente afetada pela regulamentação, continuamos a ver suas ramificações e
a constante luta das empresas ao tentar cumprir as promessas de privacidade de
dados. Tanto internamente quando permanecemos em conformidade com o
regulamento, quanto externamente no trabalho com nossos clientes, observamos
várias maneiras pelas quais as diretrizes e atividades de privacidade de dados
afetam todas as unidades de negócios - e onde todos nós precisamos fazer
algumas melhorias.
Independentemente de sua empresa ser diretamente afetada pelo RGPD, lembre-se desses três erros comuns de privacidade de dados:
Independentemente de sua empresa ser diretamente afetada pelo RGPD, lembre-se desses três erros comuns de privacidade de dados:
Erro 1: Não educar outras LOBs sobre atividades de privacidade de dados.
É muito comum pensar em "dados" e emparelhá-los imediatamente com a TI. A TI gerencia a maneira pela qual os dados são transportados por toda a organização e pelo mundo. Eles são responsáveis por colocar as ferramentas e a estrutura no local para identificar ameaças e responder conforme necessário. Então, certamente, grande parte da responsabilidade pela privacidade de dados recai sobre os ombros de suas equipes de ITSM (Information Security Management System) e segurança da informação.
Mas é um grande erro transferir essa responsabilidade para sua organização de TI e esperar que ela seja tratada. Por quê? Dois motivos: tanto o orçamento quanto a cultura corporativa desempenham papéis-chave no sucesso dos esforços de privacidade de dados. E ambos exigem o suporte de outros LOBs (line-of-business).
Todos os envolvidos no processo orçamentário precisam estar cientes das necessidades e requisitos do RGPD e de outras regulamentações aplicáveis. Do monitoramento e processamento de dados, para auditar a proteção e a remoção de dados, todos os aspectos da proteção do negócio precisam ser tratados e orçamentados. Com muita frequência, vejo empresas frustrarem os serviços relacionados a dados apenas por estarem confusas na hora de demonstrar conformidade.
Também é importante que você crie uma cultura de conscientização de dados. De cima para baixo, as pessoas precisam entender como seus dispositivos se conectam aos dados de outras pessoas e as implicações que podem ter quando esses dispositivos são perdidos, roubados ou hackeados. Treinamento e educação continuada são fundamentais aqui. (E não se esqueça de vincular isso ao comentário sobre orçamento acima!)
"As pessoas precisam entender como seus
dispositivos se conectam aos dados de outras pessoas e as implicações que podem
ter quando esses dispositivos são perdidos, roubados ou hackeados."
Erro 2: Não investigar fornecedores.
Uma das coisas que vemos, especialmente com empresas de pequeno e médio porte, é que elas estão cientes de várias regulamentações, mas não entendem exatamente as responsabilidades de longo alcance que elas têm quando se trata de trabalhar com fornecedores. É importante entender como seus parceiros de dados estão processando e controlando os dados também. Falando especificamente do RGPD, sua empresa pode estar em risco se seu fornecedor maltratar os dados de um cliente.
Em termos práticos, isso significa que, para todos os fornecedores, você deve verificar:
- Quais processos estão em vigor para lidar com violações de segurança e notificar os clientes sobre a situação?
- Quais práticas de criptografia estão em vigor?
- De que maneira os dados do cliente são anonimizados?
- Eles trabalham com outras partes para armazenar ou processar dados de clientes? Quais etapas foram tomadas para verificar a conformidade de seus próprios parceiros?
- Quais são os procedimentos para a exclusão de dados?
- Com que frequência as práticas de segurança são auditadas e como elas verificam isso?
- O que acontece com os dados quando seu contrato expira?
"Trata-se de demonstrar respeito aos
nossos clientes tratando seus dados com cuidado e protegendo a confiança que
depositaram em nós."
Erro 3: Pensar que o cumprimento do RGPD (ou qualquer outro) é o objetivo.
Multas iminentes e pesadelos de relações públicas são o que nós, como líderes, procuramos evitar; por isso é muito fácil se envolver na tentativa de alcançar conformidade com o RGPD ou com qualquer outro regulamento do setor. Como alguém que já passou pelo processo, sei que há uma pilha de papéis para preparar e discussões para alcançar esse marco.
É tentador, quando tudo está assinado e selado, parar de pensar em privacidade e proteção de dados para que você possa voltar a outras iniciativas. Mas, como líderes, precisamos ter em mente que o objetivo não é simplesmente conseguir uma estrela de ouro para a conformidade. Trata-se de demonstrar respeito aos nossos clientes tratando seus dados com cuidado e protegendo a confiança que eles depositaram em nós. Trata-se de garantir que haja uma ação contínua dentro da organização para analisar o que está acontecendo regularmente, para que isso seja lógico e faça sentido em termos de privacidade e proteção de dados.
Eu não acredito que qualquer empresa queira ser conhecida por maltratar os dados de seus clientes. Mas, sem envolver realmente toda a organização neste tópico e abordá-lo como um esforço crítico e contínuo, o risco de algo acontecer está presente. Então, tome cuidado com estas três lições.
Christopher
Kuhn -COO da OTRS
www.otrs.com
www.otrs.com
