5 mudanças
que tem de fazer desde já
A definição de uma estratégia para a proteção de dados é um processo longo e complexo, mas as regras mais relevantes podem ser assumidas passo a passo, preparando a organização para cumprir o regulamento.
A Forrester Research recomenda as seguintes medidas:
> Designe um responsável pela proteção de dados (DPO – Data Protection Officer) que se torna no pivot da segurança na organização. As organizações do Estado são obrigadas a designar um DPO mas nem todas as empresas privadas têm de o fazer. Podem usar um recurso externo, e a sua formação pode ser de base tecnológica, legal ou de segurança.
> Prepare processos para comunicar a exposição de dados (data breach). As empresas passam a ter apenas 72 horas para comunicar a violação de informação ou quebra de segurança às autoridades e aos clientes e esta é uma medida que vai exigir mais esforço e preparação do que muitos pensam já que exige a partilha de detalhes sobre o nível de exposição e o volume de dados roubados.
> Estabeleça a regra do Privacy by design (privacidade integrada no design). Este é um dos princípios a implementar desde o início de qualquer projeto e deve estar na base de todos os produtos e serviços, garantindo que os controles de segurança estão implementados e que não é pedida mais informação do que é necessária. A colaboração entre equipas é fundamental.
> Defina um âmbito global de aplicação. O RGPD não se aplica apenas na Europa mas também abrange organizações não europeias que vendam produtos e serviços a residentes na UE o que será um novo desafio para muitas empresas e afeta a rede de fornecedores e parceiros.
> Prepare provas de que investiu na mitigação dos riscos e não apenas na segurança de dados. Mesmo na ausência de uma violação da informação ou de queixas dos consumidores, as autoridades de proteção de dados podem exigir que as empresas provem que têm as regras afinadas e que possuem uma estratégia de gestão de riscos, incluindo um levantamento do impacto da privacidade (Privacy Impact Assessment – PIA).