7 Coisas que Todo Arquiteto Corporativo Deve Saber Sobre o GDPR

postado em 21 de fev de 2017 09:48 por Antonio Plais   [ 10 de abr de 2017 14:14 atualizado‎(s)‎ ]
Originalmente postado por Marc Lankhorst*, no blog da BiZZdesign - Tradução autorizada

O General Data Protection Regulation (GDPR) é uma rigorosa Regulação da União Européia sobre proteção da privacidade, que entrará em vigor em maio de 2018. Os arquitetos corporativos podem ter um importante papel para auxiliar suas organizações a se tornarem conformes com o GDPR. Você está consciente do impacto que o GDPR terá sobre a sua organização? 

Aqui estão 7 coisas que você deveria saber sobre o GDPR agora:

1. O GDPR se aplica a todas as empresas que processam dados de residentes da União Européia

Mesmo que a sua empresa não esteja localizada em um país da União Européia, o GDPR pode ser aplicável a você. Como declarado na Regulação (Artigo 3), ela "se aplica ao processamento de dados pessoais de 'sujeitos de dados' (pessoas naturais) que estejam na União Européia, por um controlador ou processador não estabelecido na União". Isto implica que qualquer empresa estrangeira (e.g. no Brasil ou nos EUA) que processe dados de residentes da União Européia é responsável sob o GDPR.

2. O GDPR tem a ver com demonstrar a conformidade

Além de estar conforme, você também tem que demonstrar a conformidade. o Artigo 5 declara: "O controlador deve ser responsável por, e ser capaz de demonstrar a conformidade com, o parágrafo 1 ('responsabilização')." Os Arquitetos Corporativos estão particularmente bem posicionados para ajudar suas organizações a demonstrar que elas estão conformes. Elevando seus modelos de arquitetura para a análise de privacidade e segurança, os arquitetos podem fornecer analises transversais sobre o uso e a proteção dos dados através da empresa, seus processos, pessoas e sistemas de TI.

3. O GDPR espera que você registre o propósito da coleta de dados pessoais

Você deve registrar o que você faz com os dados pessoais e para qual propósito (Artigo 30). Isto inclui coisas como: em que locais os dados são armazenados, quais aplicativos usam estes dados, quem tem acesso a estes aplicativos, terceiros com os quais eles são compartilhados, onde estes parceiros estão localizados, etc. Os procedimentos de conformidade existentes geralmente tentam capturar estas informações através do uso de planilhas ou outros documentos Office, mas isto rapidamente se torna não gerenciável. Os arquitetos são decisivos para lidar com esta complexidade, pois seus modelos da arquitetura em geral abrangem muito do que é necessário para fornecer esta visão geral integrada do uso dos dados.

4. O GPDR demanda uma abordagem integrada para a segurança-por-desenho

Você tem que "implementar medidas técnicas e organizacionais adequadas para garantir o nível de segurança adequado ao risco", o que inclui um processo para "regularmente testar, avaliar e analisar a efetividade" destas medidas (Artigo 32). Simplesmente instalar algumas poucas medidas de segurança não fará isso. É necessária uma abordagem para a segurança-por-desenho, não apenas focando na parte da TI, mas englobando todos os aspectos da sua organização. Arquitetos corporativos estão em uma posição ideal para lidar com isto, uma vez que eles têm a visão geral e a percepção necessária.

5. O GDPR requer Avaliações de Impacto da Proteção de Dados

Você deve executar uma Avaliação de Impacto da Proteção de Dados cada vez que você implementar um sistema que processe dados pessoais, o que inclui uma descrição sistemática do processamento, uma avaliação dos riscos, as medidas para endereçar estes riscos, e como você vai demonstrar a conformidade. Uma análise como esta, em panoramas de TI e de negócios grandes e complicados, requer soluções de software inteligentes. A funcionalidade de Gerenciamento de Segurança, Risco e Conformidade do BiZZdesign Enterprise Studio é perfeitamente adequada para este tipo de análise e desenho de privacidade e segurança. Alavancar seus modelos de arquitetura existentes lhe dá um ótimo pontapé inicial.

6. O GDPR exige que você reporte vazamentos de dados em até 72 horas

Você deve reportar um vazamento de dados para as autoridades e para os 'sujeitos de dados' atingidos (Artigos 33 e 34), dentro de 72 horas da ocorrência. Isto pode levar a sérios riscos de reputação, como incidentes passados têm demonstrado. Tentar esconder um vazamento não é mais uma opção.

7. A não conformidade com o GDPR resulta em grandes penalidades

As penalidades por não conformidade incluem "multas de até EUR 20 milhões ou, no caso de uma empresa, de até 4% do seu faturamento anual total mundial" (Artigo 83), além dos danos pessoais que podem ser reclamados pelos sujeitos de dados (também em ações coletivas), e a responsabilidade pessoal dos diretores e gerentes seniores. Quanto vale para sua empresa evitar estes riscos?

É hora de demonstrar a importância da arquitetura

A segurança cibernética e os riscos de reputação associados se tornaram uma das principais preocupações estratégicas para a alta direção, e o GDPR coloca ainda mais pressão neste problema. Como um arquiteto corporativo, você pode ter um papel fundamental neste domínio. Descubra o valor escondido dos seus conhecimentos, modelos e análises da arquitetura. Ajude a sua organização a melhorar sua resiliência estratégica, garantir a conformidade regulatória, e reduzir os riscos financeiros, operacionais e de reputação. Demonstre a importância da arquitetura para a sua Diretoria!

Na próxima postagem, veja os 8 passos que você deve dar para ajudar a sua organização a lidar com o GDPR.

 Teste: Quão pronto você está para o GDPR?

 

Descubra se a sua organização está preparada para a Regulação de Proteção de Dados Gerais.

Teste você mesmo e descubra quais ações tomar.

Faça o Teste


* Mark Lankhorst é Gerente de Consultoria & Evangelista-Chefe de Tecnologia da BiZZdesign, empresa líder em ferramentas para modelagem da arquitetura corporativa, representada no Brasil pela Centus Consultoria.