O Regulamento Geral de Proteção de Dados (GDPR) entrou em vigor em 25 de maio de 2018: novas leis destinadas a padronizar a proteção de dados em toda a Europa.
Embora as diretrizes de privacidade e proteção de dados existam no continente desde 1980, elas nunca foram aplicadas de forma consistente, mesmo após a diretiva de 1995. No entanto, desde então, a adoção generalizada de tecnologias de Internet e a tendência para infraestrutura baseada em nuvem mudaram a maneira como os dados são processados, armazenados e transferidos. Para acompanhar essas mudanças rápidas e proteger as pessoas, foram necessárias novas leis de proteção de dados e a entrada no GDPR. Agora, qualquer organização que opere dentro da União Europeia (UE) deve garantir o cumprimento desta legislação.
Como fornecedor de software, estamos bem cientes dos desafios associados ao GDPR. Tivemos que pensar em ficar à frente de nossos clientes em soluções, garantir que nossos parceiros estejam em conformidade, revisar a segurança de nossos dados e obter registros em ordem em vários sistemas.
De certa forma, toda a experiência me lembrou o período que antecedeu 2000, mas com uma pequena diferença. Ao contrário daquele ano, a conformidade com o GDPR não é uma solução de patch de software. Em vez disso, a conformidade com o GDPR é uma obrigação de longo prazo, com penalidades que chamam a atenção.
Aqui está um lembrete dessas multas administrativas do GDPR:
- O valor mais alto é de 10 milhões de euros, ou 2% do faturamento global anual por violações de dados ou violação de suas obrigações.
- O valor mais alto é de 20 milhões de euros, ou 4% do faturamento anual global no caso de violação da privacidade de alguém.
Uma das principais razões pelas quais não houve falhas generalizadas associadas ao ano 2000 é que essas organizações, seus conselhos de administração e seus departamentos de TI investigaram, planejaram e agiram para evitar que isso se tornasse um problema.
Da mesma forma, o velho ditado "falha em planejar, planeja para falhar" é muito pertinente.
Se você não planejar adequadamente até 25 de maio, é provável que não esteja agindo em conformidade com o GDPR agora. E mesmo que nada tenha parado, você corre o risco de colocar seu negócio em um beco sem saída.
Então, quão obediente você é? Aqui você pode descobrir rapidamente:
- Quais dados sua organização tem sobre os clientes?
- Onde são armazenados os dados de seus clientes, incluindo backups?
- Quão bem seus processos atuais estão funcionando e quem os gerencia?
- Como você informa aos clientes sobre os direitos existentes sob o DPA?
- O que aconteceria se eu excluísse o registro? Muitos sistemas têm registros vinculados (por exemplo, pais e filhos)?
- Outros regulamentos também afetam os dados que você possui (especialmente no caso de dados de saúde)?
Se você não conseguir responder a uma ou mais dessas perguntas corretamente, você tem um problema e será difícil desenvolver um plano de proteção de dados. Além disso, a implementação de processos eficazes será quase impossível. Afinal, esta não foi apenas uma atualização de software. É uma mudança total na forma como sua organização armazena, processa e protege os dados dos clientes.
Um dos maiores desafios que encontrei é quando os dados são armazenados em sistemas diferentes. Por exemplo, se você tiver dados em cinco sistemas diferentes, deverá decidir se deseja manter os detalhes de consentimento em cinco sistemas ou consolidá-los em um único data warehouse. E se você optar por gerenciar o consentimento em vários sistemas, qual você deve verificar quando precisar definir o status do consentimento?
A questão do consentimento junto com o direito ao apagamento (ou o direito ao esquecimento como é popularmente conhecido) tem despertado bastante atenção, pelo menos quando se trata de sistemas computacionais. No primeiro caso, o consentimento é principalmente uma questão de processo ou um simples sinalizador dentro dos sistemas apropriados a serem verificados. Considerando que a exclusão requer a exclusão completa dos detalhes de um cliente.
Nesse contexto, a maioria dos sistemas permitirá que você exclua os dados do cliente. No entanto, se você tiver uma grande quantidade de dados espalhados por aplicativos ou precisar excluir dados em lote dentro de um limite de tempo para cumprir sua política de retenção (por exemplo, excluir todos os contatos não ativos com mais de um ano), a menos que Com os sistemas adequados em local, você pode precisar de um pequeno exército de pessoas excluindo registros para manter a conformidade.
Este é um dos muitos exemplos de como o GDPR está afetando as organizações. Como na maioria dos projetos, o GDPR precisa de aconselhamento jurídico, habilidades de TI, habilidades de marketing e envolvimento de RH. Ter os fatos, criar um plano e encontrar as pessoas certas pode significar a diferença entre o sucesso e o fracasso. Se você é uma daquelas empresas que ficaram sobrecarregadas no período que antecedeu 25 de maio e adotaram uma atitude de esperar para ver, então é hora de colocar a casa em ordem.
Em última análise, o GDPR afetará quase todas as empresas no Reino Unido, na UE e no mundo em geral. Se você ainda não sabe o que fazer, entre em contato.
