GDPR em revisão: 10 mitos sobre a nova lei de proteção de dados

Da CIO Brasil, com Duncan Brown e Pete Lindstrom
26/05/2018 - 13h31
Regulamento entrou em vigor, mas as dúvidas persistem; Separamos um guia para esclarecer as principais consequências das violações e afastar inverdades

No dia 25 de maio de 2018, o Regulamento Geral de Proteção de Dados (GDPR) entrou em vigor em todos os países membros da União Europeia.

Em suma, todos os países que fazem negócios no bloco devem estar em conformidade com os padrões GDPR. Muitas empresas, particularmente na UE, estão a caminho do cumprimento. Outros estão apenas começando a considerar as suas consequências. A maioria (93%) dos entrevistados de uma pesquisa recente da SAS ainda não está totalmente adaptada às novas normas, por exemplo. Entre as empresas norte-americanas consultadas, apenas 30% esperam cumprir o prazo.

E isso porque a maioria dos entrevistados prevê benefícios para suas organizações que resultarão de seus esforços para se tornarem compatíveis com o GDPR. "As organizações que cumprirem o GDPR terão um gerenciamento de dados muito mais forte, o que leva ao aumento da produtividade e a um melhor entendimento e maior capacidade para atender seus clientes", explica Cristiano Duarte, gerente de Data Management e Inovação do SAS América Latina.

De fato, 84% de todos os entrevistados disseram esperar que o GDPR melhore sua governança de dados, enquanto que 68% também antecipam que o GDPR aumentará a confiança entre eles e seus clientes. A SAS ouviu 183 executivos, de diversas indústrias, que devem ser impactadas pelas novas normas.

Embora o GDPR tenha sido amplamente divulgado e discutido, as dúvidas persistem e os mitos são abundantes.

Mito 1: GDPR é como o Y2K

Algumas empresas estão lidando com o GDPR com a mesma histeria predominante durante o bug do milênio do ano 2000, abordando o GDPR como um único projeto com uma data final definida. Mas o GDPR não é apenas uma atividade “point in time”. Além disso, muitas empresas acreditam que fenômenos como o Y2K e agora o GDPR são exagerados. Mas a conformidade com o GDPR deve ser a posição padrão para empresas. É, basicamente, uma mudança de cultura sobre como as empresas tratam os dados de seus empregados, parceiros e clientes.

Mito 2: Ninguém será multado

Alguns acham que os riscos de multas pesadas são exagerados. Mas a fiscalização direcionada é provável, e as autoridades podem ir atrás de empresas de alto perfil com falhas notórias de processamento de dados. Assumir que ninguém será multado pode representar riscos de alto impacto. Além disso, há sanções mais brandas com as quais todas as empresas devem se preocupar, como a inclusão de seus IPs em uma lista negra que as impeçam de transacionar dados e continuar fazendo negócios com empresas europeias.

Mito 3: Todos serão multados em 4%

Certos fatores - os tipos de dados afetados, o grau de negligência, as infrações anteriores de uma empresa e outros - afetarão as multas. Dois níveis de multas, ou 2% ou 4% com base nas receitas do ano anterior, serão aplicadas, dependendo de qual regra foi infringida.

Mito 4: O não cumprimento é equivalente a uma violação de segurança

A conformidade com todos os princípios fundamentais de processamento de dados pessoais do GDPR será importante. É provável que algumas autoridades tentem enviar uma mensagem impondo altas multas às empresas que infringirem esses ou outros princípios, especialmente se o fizerem deliberadamente - mesmo que uma violação de segurança não esteja envolvida.

Mito 5: Por violações de segurança, a multa é de apenas 2%

Os “controladores”, empresas que determinam as finalidades e os meios do processamento de dados pessoais, podem receber multas de nível mais alto por violações de segurança. "Processadores", empresas que processam dados pessoais, podem receber multas de nível inferior por violações de segurança, mas ainda podem ser processadas. Os riscos podem ser grandes se as organizações não-governamentais (ONGs) processarem em nome de vários indivíduos afetados.

Mito 6: Todas as violações de segurança devem ser comunicadas dentro de 72 horas

Na verdade, apenas as violações de dados pessoais terão que ser relatadas, e as obrigações de relatório variam de acordo com o papel da empresa como controladora ou processadora de dados. As obrigações e o tempo de divulgação dos controladores dependem do risco. Os processadores terão que notificar seus controladores de violações de dados pessoais sem demora.

Mito 7: Será mais seguro não reportar violações de segurança

Algumas empresas podem pensar que, se dissimularem violações de segurança das autoridades, elas não serão multadas. Isso não é verdade: eles podem ser descobertos de qualquer maneira e podem ser multados por não reportar violações de dados.

Mito 8: Para cumprir com o GDPR, devemos criptografar tudo

O GDPR exige que as empresas implementem medidas para garantir um nível de segurança adequado à probabilidade e gravidade dos riscos entre indivíduos para cada situação, incluindo armazenamento e transmissão. As medidas de segurança devem basear-se no risco, dependendo da tecnologia disponível e dos custos envolvidos.

Mito 9: As empresas poderão terceirizar a responsabilidade para terceiros

Na verdade, será fundamental garantir que os contratos cubram riscos suficientes. Os processadores vão querer realizar a devida diligência tanto nos clientes quanto nos subcontratados. O seguro merece uma investigação - não apenas o seguro cibernético, mas também o seguro de responsabilidade civil, embora as multas regulatórias possam não ser seguráveis.

Mito 10: A localização dos dados não é um problema de segurança

Embora a localização dos dados possa não ser um problema técnico de segurança, é um fator que pode ser relevante para a segurança geral. Algumas empresas podem achar que os dados pessoais criptografados podem ser armazenados com segurança fora da UE, se somente eles puderem acessar as chaves. No entanto, a localização geográfica dos dados pessoais é altamente regulamentada pelas leis de proteção de dados como um assunto de conformidade legal. Além disso, muitos reguladores da UE consideram que a localização dos dados é uma questão de segurança.

Conclusão

A implementação do GDPR é um empreendimento complexo que exige uma abordagem passo a passo com base em uma visão compartilhada entre o departamento de TI, o departamento jurídico, os proprietários de linhas de negócios e os executivos de nível de diretoria de uma organização. A falta de preparação para o GDPR pode trazer repercussões significativas, caras e altamente indesejáveis.