Descumprimento de nova lei na UE pode colocar em risco uma empresa
Uma pesquisa global da SAS feita no início do maio mostrou que apenas 7% dos gestores de empresas consideravam suas companhias adaptadas à GDPR (General Data Protection Regulation). Apesar disso, 63% admitiam que a normativa terá um efeito significativo sobre como sua organização conduz os negócios.
Se a pesquisa fosse feita no Brasil, é provável que o número de empresas adaptadas ao regulamento que passa a vigorar nesta sexta-feira, 25 de maio, fosse dramaticamente menor. O nome desse despreparo é risco, alto risco, uma vez que o GDPR aumenta o controle do indivíduo sobre seus dados ao mesmo tempo em que pune severamente as empresas que descumpram as normas de proteção e privacidade. A multa pode chegar a 20 milhões de euros e a 4% do faturamento bruto anual, o que for maior, o que coloca em xeque a sobrevivência de uma companhia apanhada em não conformidade.
Mas se o momento é de risco, também é de oportunidade. O estudo aponta que 84% de todos os entrevistados disseram esperar que o GDPR melhore sua governança de dados e 68% também antecipam que o regulamento aumentará a confiança entre eles e seus clientes.
Embora o público diretamente beneficiado esteja na União Europeia, os benefícios alcançarão todos os usuários de sistemas de informação, independentemente de suas nacionalidades. E as consequências chegarão a empresas do mundo todo, incluindo o Brasil, principalmente nos segmentos de turismo, hotelaria, transportes aéreo e terrestre e sites de e-commerce.
Só há uma maneira de evitar ou mitigar riscos: demonstrar a conformidade com o GDPR. Para isso, o administrador de dados deve implementar medidas que protejam as informações nos processos de negócios, tanto para produtos quanto para serviços.
Algumas providências são fundamentais, como conhecer os riscos envolvidos na armazenagem dos dados, para poder gerar os controles necessários; avaliar de forma bastante criteriosa se todos os dados armazenados devem necessariamente ser mantidos; adotar uma política para a exclusão de dados obsoletos e contas inativas na gestão dos dados dos usuários; certificar-se de que os sistemas estão protegidos contra invasões e vazamentos por ataques cibernéticos; revisar todos os privilégios de acesso dos funcionários aos dados de clientes, prevenindo vazamentos e acessos indevidos.
Entre as diretrizes da lei, há um ponto nevrálgico: o controlador dos dados tem a obrigação legal de informar imediatamente a autoridade responsável em casos de vazamento de informação. No prazo máximo de 72 horas após a identificação da brecha de segurança, deverá apresentar um relatório da situação detalhando as providências tomadas, além de notificar cada um dos indivíduos afetados pelo vazamento dos dados.
Para atender à essa exigência, portanto, é necessário ter um bom plano para gestão de crises devidamente implementado, que possa ser colocado em prática se a situação ocorrer.
Crises recentes de segurança de dados em empresas de e-commerce reúnem várias lições sobre o novo ambiente trazido pelo GDPR. Sob as regras do GDPR, se houvesse um único consumidor na massa de dados vazada que fosse cidadão da União Europeia, essas empresas estariam enquadradas e sujeitas a todas as sanções previstas no regulamento, e submetidas a prejuízos.
Fonte: DCI