GDPR, estamos preparados?


Ultimamente temos presenciado o grande boom dos dados. Frases como “data is the new oil” ou “data is the new bacon” têm sido muito utilizadas para demonstrar a importância dos dados. Seja para aplicações de inteligência artificial, conhecimento sobre os usuários ou até mesmo no que tange questões de segurança, o uso e a preocupação com os dados deve estar presente em todos os lugares. 

Indo ao encontro deste novo mind setting, a União Europeia, aprovou em 14 de abril de 2016, o GDPR (General Data Protection Regulamentation). Esta regulamentação é composta por 11 capítulos e 99 artigos que contemplam o modo como os dados devem ser tratados.  

Transparência, informação e acesso, controle e processamento, segurança, consistência e confidencialidade são alguns dos itens inclusos neste documento. 

A quem se aplica? 

Apesar de ser um documento criado pela União Europeia, ele não é restrito apenas ao seu território. Como sabemos, os dados desconhecem limites territoriais, principalmente quando falamos em nuvem. 

Todas as empresas que realizam transações comerciais e oferecem produtos e serviços à União Europeia devem seguir esta regulamentação. Estas regras também se aplicam a companhias que coletam e analisam dados relacionados a cidadãos da UE. Para tal, as empresas têm até o dia 25 de maio de 2018 para atenderem os requisitos do GDPR. 

O GDPR garante: 

  • Direitos de privacidade pessoal aprimorados; 
  • Aumento da obrigação de proteger os dados; 
  • Obrigatoriedade em reportar violações; 
  • Penas significativas por não cumprimento. 

Quais são as principais mudanças para endereçar os pré-requisitos do GDPR? 

Privacidade – Os indivíduos têm direito a: 

  • Acessar seus dados pessoais 
  • Corrigir erros em seus dados pessoais 
  • Apagar seus dados pessoais 
  • Contestar o processamento de seus dados pessoais 
  • Exportar dados pessoais 

Controles e notificações – As empresas precisarão: 

  • Proteger dados pessoais usando a segurança apropriada 
  • Notificar as autoridades em casos de violações de dados pessoais 
  • Obter consentimentos apropriados para o processamento de dados 
  • Manter registros detalhando o processamento de dados 

Políticas transparentes – As empresas são obrigadas a: 

  • Fornecer aviso claro sobre a coleta de dados 
  • Destacar os propósitos para coleta de dados e casos de uso 
  • Definir políticas de retenção e de eliminação de dados 

TI e treinamento – As organizações precisarão: 

  • Capacitar sua equipe de privacidade e seus funcionários 
  • Auditar e atualizar as políticas de coleta e retenção de dados 
  • Contratar um gestor de proteção de dados (se necessário) 
  • Criar e gerenciar contratos com fornecedores que também atendam a estas regras 

O que isto significa para o TI? 

Os requisitos regulamentares da GDPR expandem-se para além da segurança típica e do foco no risco para incluir novos requisitos, tais como documentação de processamento de dados, consentimento para uso dos dados e relatórios de conformidade. 

Os profissionais de tecnologia devem trabalhar mais próximos das áreas jurídica e de compliance para ajudar a analisar e identificar processos que precisam ser alterados para melhor atender aos requisitos do GDPR. 

Os sistemas e os processos terão de ser redirecionados para melhor suportar o apagamento de dados, os pedidos de portabilidade e a documentação de processamento de dados. 

E para os desenvolvedores? 

Para os desenvolvedores, o GDPR aumenta a complexidade de criação de designs funcionais e técnicos de sistemas de TI e de aplicativos de negócios. 

Será necessária uma documentação completa para mostrar como os programas estão reunindo, processando, armazenando e protegendo dados. Os desenvolvedores deverão ser capazes de demonstrar que o software foi desenvolvido sem falhas ou vulnerabilidades de softwares geralmente conhecidas e que possam ser evitadas. 

A Microsoft e o GDPR 

A Microsoft acredita que o GDPR é um passo importante para esclarecer e habilitar direitos individuais de privacidade. 

Como se preparar para o GDPR 

Descubra – Identifique quais dados pessoais você possui e onde eles residem 

Estão na mira: Qualquer informação que o ajude a identificar uma pessoa, como por exemplo:  nome, endereço de e-mail, postagens de mídia social, localização, dados bancários, endereço de IP. Será necessário identificar onde os dados pessoais são coletados e armazenados – e-mails, documentos, bases de dados, mídias removíveis, arquivos de log, backups, etc. 

Exemplos de soluções Microsoft para endereçar estas demandas:  

Gerencie – Saiba como os dados pessoais são utilizados e acessados dentro de sua organização 

Gestão de dados: Defina políticas, funções e responsabilidades para a gestão e uso de dados pessoais, desde o armazenamento, arquivamento, recuperação, contenção e descarte. Os dados deverão ser organizados e rotulados para garantir o correto manuseio. Devem ser considerados fatores como tipo de dados, sensibilidade, contexto e uso, propriedade, administradores e usuários. 

Exemplos de soluções Microsoft para endereçar estas demandas: 

Proteja – Estabeleça controles de segurança para prevenir, detectar e responder a vulnerabilidades e violações de dados 

Prevenção de ataques de dados – proteja seus dados, seja através da proteção física do datacenter, criptografia, segurança de rede, segurança de armazenamento e de computação de dados, gestão de identidade e controle de acessos. Detecte e responda a violações com o monitoramento e detecção de invasões no sistema. 

Exemplos de soluções Microsoft para endereçar estas demandas: 

Reporte – Mantenha a documentação necessária, gerencie solicitações de dados e notificações de vazamentos 

Manutenção de registros – a partir de agora, as empresas terão de registrar os propósitos de processamento de dados, dados pessoais classificados, quem são os terceiros com acesso a estes dados, quais são as medidas de segurança organizacionais e técnicas e qual o tempo de retenção destes dados. Para isto, as empresas farão uso de recursos para reportar toda a documentação de serviços em nuvem, registros de auditoria, notificações de violação de políticas, solicitações de manipulação de dados, relatórios de governança e revisões de conformidade de políticas. 

Exemplos de soluções Microsoft para endereçar estas demandas: 

Saiba mais 

Com o GDPR, é fundamental reconhecer que o cumprimento das normas é uma responsabilidade compartilhada por todos na organização.  

Se você tem interesse em conhecer as regras do GDPR, está preocupado se sua aplicação está em conformidade com elas ou simplesmente quer conhecer as soluções da Microsoft, acesse estes links e descubra como podemos lhe ajudar. 

Choosing the Right Platform to Accelerate your GDPR Journey 

Simplify your Approach to Information Governance with GDPR 

Accelerate your GDPR Journey 

3 Steps to Accelerate GDPR Compliance in your Organization 

Azure and the GDPR: What you need to know to become compliant 

Azure and the GDPR: Technical deep dive on implementing GDPR requirements in Azure 

GDPR Compliance in the Cloud: How Azure Can Help 


Autor: Microsoft Tech