Você Está Pronto para o GDPR? Resultado do Teste

postado em 1 de mar de 2017 15:15 por Antonio Plais   [ 1 de mar de 2017 15:54 atualizado‎(s)‎ ]
Originalmente postado por Marc Lankhorst*, no blog da BiZZdesign - Tradução autorizada

Nas duas postagens anteriores, discutimos o impacto da nova Regulamentação Geral de Proteção de Dados (GDPR-General Data Protection Regulation) e 8 passos que os arquitetos podem dar para ajudar suas organizações a se confirmar com esta regulamentação de largo alcance. Também publicamos nosso teste "Quão pronto você está para o GDPR?", que determina se a sua organização está se preparando de forma adequada para esta importante regulamentação. Se você ainda não fez o teste, você ainda pode fazê-lo clicando aqui. Os resultados preliminares (baseado em quase 200 respostas) nos forneceram algumas percepções interessantes sobre a conscientização dos respondentes sobre o GDPR e sobre a prontidão entre as organizações.

Somente metade dos respondentes estão conscientes do GDPR e
estão planejando trabalhar para a conformidade

Primeiramente, quase 95% dos respondentes indicam que suas organizações fazem negócios com empresas ou residentes na União Européia. todas estas organizações terão que se conformar com o GDPR, mesmo que elas estejam localizadas fora da União Européia.

Apesar disso, somente metade dos respondentes estão conscientes do problema e estão planejando ativamente ou trabalhando na conformidade. Este é um dado preocupante, dado os requisitos rigorosos do GDPR, as consequências financeiras e de reputação da não-conformidade, e o prazo restante até que o GDPR seja obrigatório (Maio de 2018)!


Figura 1. A sua organização está consciente do impacto da Regulamentação Geral de Proteção de Dados da União Européia?

Se olharmos os cargos dos respondentes, vemos algumas diferenças interessantes. Gerentes de Risco e de TI estão mais conscientes do GDPR e dizem ter um plano coerente para ação, mas os Arquitetos parecem estar menos preparados. Isto significa que os Arquitetos não estão informados sobre as iniciativas de seus Gerentes de Risco e TI? Se este é o caso, há uma oportunidade perdida, uma vez que a arquitetura tem muito a contribuir para tornar a organização pronta para o GDPR.

Entre os Gerentes de Negócio e Arquitetos, muitos estão conscientes, mas não sabem o que fazer a seguir. Para estes respondentes, os passos descritos na postagem anterior proporcionam uma ideia das primeiras ações que eles deveriam tomar.


Figura 2. A sua organização está consciente do impacto da Regulamentação Geral de Proteção de Dados da União Européia?

Menos de um terço está conforme com o critério 'consentimento informado'

Outra questão endereça o chamado 'consentimento informado'. Em essência, você não tem permissão para fazer nada com os dados que você coleta sobre residentes da União Européia sem o seu conhecimento e consentimento (opt-in, não opt-out!). O consentimento deve ser explícito; você não pode enterrar isto profundamente em algum acordo de licenciamento ou termos de uso. Na nossa pesquisa, menos de um terço dos respondentes parecem se conformar completamente com isso.


Figura 3. Residentes da União Européia acessam seu website ou usam seu app?

Embora o GDPR seja uma regulamentação da União Européia, ele se aplica a qualquer organização que armazene ou processe dados pessoais de residentes da União Européia, não importando onde a organização esteja localizada. Isto inclui muitas organizações nos Estados Unidos e em outras partes do mundo, como no Brasil. O alto número de organizações, tanto na União Européia como fora, que não sabem que dados pessoais eles usam é altamente preocupante.

Interessante, parece que os respondentes Americanos estão um pouco mais maduros em relação dos dados pessoais do que os Europeus, como mostrado abaixo (embora existam alguns mais atrasados).


Figura 4. Você sabe que dados pessoais, dados sensíveis à privacidade (de acordo com o GDPR) sua organização coleta, armazena ou processa?

No entanto, a conscientização dos Norte-Americanos sobre o impacto do GDPR é, em média, bem menor. Muitas empresas fora da União Européia podem assumir que ele não se aplica a elas, mas isto pode ser um erro. Qualquer organização que armazene ou use dados de residentes da União Européia está afetada. Mesmo a colocação de cockies de rastreamento no computador ou dispositivo de alguém residente na União Européia pode tornar a sua empresa sujeita ao GDPR.


Figura 5. 
A sua organização está consciente do impacto da Regulamentação Geral de Proteção de Dados da União Européia?

22% das organizações não têm ideia dos dados pessoais que eles armazenam

Talvez o resultado mais chocante é o percentual de organizações que não têm ideia dos dados pessoais que eles armazenam: 22% dos respondentes.


Figura 6. Você sabe que dados pessoais, dados sensíveis à privacidade (de acordo com o GDPR) sua organização coleta, armazena ou processa?

Este grupo também se sobrepõe em grande parte com os 25% que responderam, quando perguntados em que estágio da arquitetura e desenho de seus sistemas eles endereçam a privacidade e a segurança, que eles testam manualmente os problemas de segurança e conectam algumas medidas posteriormente, ao invés de levar isto em consideração como uma preocupação principal durante todo o processo de desenho e realização. Se você é um cliente de uma destas organizações, você deve estar seriamente preocupado. Mais ainda, se as autoridades responsáveis investigarem estas organizações, depois de um vazamento de dados, por exemplo, elas podem esperar penalidade severas.

O gráfico de dispersão abaixo mostra as multas máximas estimadas pelos respondentes versus a penalidade máxima real baseada na sua receita. O máximo real é 4% da receita anual, ou EUR 20 milhões, o que for maior. Como você pode ver, as estimativas da maioria das organizações são muito baixas.



Figura 7. Quanto você estima que seria a multa máxima para a sua empresa por não-conformidade com o GDPR?

Se você ainda não começou um programa para garantir a conformidade com o GDPR, está passando da hora de começar. Como explicamos anteriormente, os arquitetos têm um papel fundamental nisto. O BiZZdesign Enterprise Studio ajuda você a alavancar os modelos e dados existentes, analisar as preocupações de segurança e privacidade, e definir as medidas e controles corretos. Isto lhe dá um início rápido para a melhoria da segurança de dados e garantia da conformidade regulatória. Os dias da proteção leniente de dados estão definitivamente no passado, então, comece hoje!


 Teste: Quão pronto você está para o GDPR?

 

Descubra se a sua organização está preparada para a Regulação de Proteção de Dados Gerais.

Teste você mesmo e descubra quais ações tomar.

Faça o Teste


* Mark Lankhorst é Gerente de Consultoria & Evangelista-Chefe de Tecnologia da BiZZdesign, empresa líder em ferramentas para modelagem da arquitetura corporativa, representada no Brasil pela Centus Consultoria.