Um ano de GDPR

Em 25 de maio, a vigência da GDPR completou seu primeiro aniversário. No entanto, a GDPR não representa um problema do passado – o desafio em torno da privacidade e da conformidade não acabará nunca! A data apresenta uma excelente oportunidade para analisarmos o que foi alcançado até agora e ponderarmos o que está por vir.

Para marcar o aniversário, eu me encontrei com Martin Whitworth, diretor de Pesquisa para Segurança na Europa da IDC, para conversarmos sobre o que aprendemos nos últimos 12 meses. Nossa discussão destacou as duas abordagens muito diferentes que as organizações globais tomaram. Uma delas foi investir uma quantidade significativa em abordagem programática, estabelecendo planos claros e envolvendo equipes multifuncionais. Essas organizações reconheceram a GDPR como uma questão de privacidade e trataram a proteção de dados robusta como uma atividade que oferece uma vantagem competitiva.

“Muitos trabalharam arduamente para entrarem em conformidade”, disse Martin, “com organizações de médio a grande porte gastando em média US$ 3 milhões em seus programas”.

A segunda abordagem foi gastar muito menos e encarar a GDPR como uma simples questão de conformidade. “Em muitos casos, as organizações apenas disfarçaram as rachaduras.”, completou Martin.

Os profissionais de segurança podem ficar aliviados já que o ‘hype’ sobre a GDPR terminou, mas não devemos esquecer os princípios fundamentais da regulamentação. Martin destacou: “Tivemos muitos críticos que a perceberam como muito onerosa, mas eles esquecem que a GDPR trata fundamentalmente dos dados pessoais, do cidadão e da garantia de seus direitos.” Ele mostrou clara preocupação com as muitas organizações que simplesmente acompanharam o movimento, e observou que elas podem ter problemas no futuro próximo.

“No momento vemos um estado de conformidade manual, onde as pessoas simplesmente adotaram alguns processos, talvez algumas novas políticas; em suma, eles fizeram o suficiente para satisfazer uma rápida análise de auditoria interna. No entanto, esta abordagem superficial ainda não foi testada.”

Até agora, vimos algumas multas aplicadas por autoridades reguladoras, com destaque para a multa de €50 milhões aplicada ao Google pelo CNIL (a autoridade local de proteção de dados) na França, mas apenas cerca de 150 multas realmente efetivas em uma projeção de cerca de 90.000 relatórios de violação em toda a Europa.

Para ajudar os profissionais na revisão e desenvolvimento de seus programas, Martin ofereceu cinco lições obtidas a partir das implementações de GDPR até agora:

1. Fique atento aos reguladores – A imposição regulamentar ainda é desconhecida. Os reguladores publicaram algumas orientações, mas ainda estão determinando a extensão de seus poderes. Lembre-se, não se trata apenas de multas – a execução pode atuar de várias formas.

2. A privacidade precisa existir de forma automática – Os fluxos de trabalho de solicitações de acesso (SAR ou ‘Subject Access Request’) estão clamando por automação. Se você não pode fornecer todas as informações para uma solicitação SAR, então você não poderá obter outros direitos, como o direito de ser esquecido ou o direito de retificação.

3. Big Data é o GRANDE desafio – Muitas organizações caminharam para o excesso de conformidade e excluíram muito dados a um custo para os negócios.

4. A proteção de dados está de volta – O protecionismo de dados está em ascensão – por muitas razões, mas liderado por preocupações em torno da privacidade. Novas leis estão sendo criadas em países fora da União Europeia, como nos EUA, Canadá, Brasil, Austrália e China, que podem ter um impacto sobre a gestão de dados internacionais.

5. Não se trata apenas de conformidade – A GDPR é mais importante do que a simples conformidade, trata-se de respeitar a privacidade do indivíduo.

Existe uma ameaça existencial para as organizações que não conseguirem compreender a importância da GDPR. Um ano se passou, mas a GDPR não acabou, faz parte dos negócios e é um processo contínuo. Aqueles que investiram bem e tomaram uma abordagem programática estão bem posicionados para o futuro. Aqueles que abordaram a regulamentação como um exercício de conformidade, uma lista de verificação simplesmente, podem muito bem encontrar-se expostos.

*Duncan Brown é Chief Security Strategist da Forcepoint na região EMEA