Novidades

Um ano de GDPR: o que se aprendeu até aqui

O último dia 25 de maio marcou o primeiro ano do GDPR (Regulamento Geral sobre a Proteção de Dados). Trata-se da legislação europeia sobre privacidade e proteção de dados pessoais, aplicável aos indivíduos e ao espaço econômico da UE.

Apesar de mais de 140.000 consultas e reclamações e mais de 89.000 violações de dados relatadas, as multas para empresas na União Europeia (UE) chegaram a pouco mais de € 56 milhões, levando alguns críticos a questionarem a eficiência do GDPR.

No entanto, para muitos especialistas em privacidade de dados, os impactos esperados no primeiro ano virão nos próximos 12 meses. A razão é simples: essas coisas levam tempo.

De fato, o universo dos direitos de proteção de dados é novo para todos. Isso inclui até mesmo as autoridades de proteção de dados em cada um dos estados membros da UE. Portanto, é natural que o impacto de uma mudança tão grande seja sentido com o passar dos anos.

Vale lembrar que, assim como a Lei Geral de Proteção de Dados (LGPD), a legislação, antes mesmo de ter um caráter punitivo, tem o objetivo de conscientizar sobre a necessidade de proteger a privacidade e o uso dos dados de cada cidadão. A intenção não é virar uma fábrica de multas.

O processo de transição ainda está acontecendo

O GDPR é amplamente considerado mais uma questão legal do que tecnológica. É aí que as fronteiras se tornam confusas e as complexidades surgem. Na verdade, existe um abismo entre a linguagem jurídica usada e a implementação de TI necessária para apoiá-la. 

Esta falta de aplicação é refletida pelos resultados de uma recente pesquisa do Twitter feita pela Infosecurity Europe 2019. Nela, foram obtidas 6.421 respostas. A maioria dos entrevistados (68%) disse que as organizações ainda não estavam em conformidade. Além disso, 47% disseram que os reguladores até agora estavam relaxados demais na aplicação dos padrões GDPR.

Apesar de faltar a quantidade de multas pesadas que muitos esperavam, a regulamentação, inegavelmente teve um impacto no primeiro ano. Para alguns especialistas da área isso tem sido positivo e negativo.

No lado negativo, muitas organizações estão assumindo que cumprir um requisito de conformidade é o mesmo que estar seguro. Entretanto, a experiência nos ensina que conformidade e segurança não são a mesma coisa.

No lado positivo, o GDPR se torna uma referência na UE e no mundo, como no Brasil por exemplo. Isso ocorre à medida que mais organizações mudam a forma como lidam com dados diante de mudanças nos requisitos regulatórios.

Sucessos e mudanças em um ano de GDPR

Em geral, as empresas que são reguladas pelo GDPR melhoraram suas capacidades de segurança cibernética. A resposta a incidentes, por exemplo, tem sido uma das áreas em que as organizações melhoraram significativamente. Sem dúvida esse foi um grande avanço.

Outro grande sucesso do GDPR são as organizações que passaram a analisar quais dados realmente precisam utilizar em suas operações.

As empresas agora estão considerando onde está o valor real das informações, em vez de coletar dados indiscriminadamente e depois assumir o custo e a responsabilidade de processá-los e armazená-los.

De repente, eles tiveram que identificar e planejar dados em risco e sensíveis, bem como cuidar o suficiente para entender onde os dados são armazenados, como são processados ​​e quem tem acesso a eles. 

Isso também foi bom para as empresas. Afinal, elas perceberam que podem reduzir custos de armazenamento. Além disso, também perceberam espaço para o aumento de produtividade em relação ao uso dos dados. Tudo isso auxilia a ter uma infraestrutura mais enxuta quando se fala em backup e recuperação, entre outros benefícios.

Nunca se pode considerar isso como um trabalho feito

Em termos de onde as coisas estão em conformidade com o GDPR, vale destacar que a proteção e segurança de dados é um processo e não um destino. Por isso, é improvável que a conformidade com o GDPR seja um trabalho que possa ser considerado 100% completo. 

Estamos falando em um trabalho contínuo, um dos maiores desafios colocados pelo regulamento. Desta forma, nunca se pode considerar isso como um trabalho concluído. 

Uma vez adotado um programa de conformidade com o GDPR, as organizações precisam mantê-lo vivo, sem nunca perder o foco do que mais importa e como a lei está evoluindo. 

Temos um desafio constante afinal, temos evoluções na tecnologia nos ataques com a finalidade do roubo de dados.

Um desafio constante sem nunca perder o foco

Descobrir onde todos os dados confidenciais em risco são armazenados e quem tem acesso a eles tem sido revelador para organizações que não se importaram antes. 

Implementar um plano abrangente para mitigar riscos pode ser uma batalha difícil, se uma organização não souber por onde começar. O GDPR se tornou um pontapé inicial para isso, além de um norte a ser seguido.

Outro desafio comum de conformidade com a recente legislação, é identificar se um incidente aconteceu e por que aconteceu. Muitas organizações ainda estão lutando para otimizar isso.

Diretivas anteriores da UE não mencionavam especificamente sobre as violações de dados, e o GDPR agora estabelece uma diretriz clara sobre o que constitui uma violação de dados, como o incidente deve ser relatado e as penalidades substanciais para não cumprir.

Todo esse contexto exigiu que as empresas avaliassem suas tecnologias e seus processos. Afinal, precisam conhecer melhor suas capacidades de detecatar, auditar e reportar violações, em conformidade com o GDPR.

Fechar essas lacunas, em muitos casos, requer a adoção de novas tecnologias para garantir que o ataque não seja apenas detectado, mas compreendido de uma maneira que possa explicar a magnitude da violação e as ações corretivas para contê-la.

No final, as empresas e países impactados pelo GDPR terão ganhos reais que provavelmente serão sentidos de fato nos próximos anos, após a consolidação da nova legislação. É um jogo de “ganha-ganha”, clientes e empresas convergem para os mesmos benefícios: segurança, proteção e privacidade de dados.

A LGPD só tem a ganhar com as lições aprendidas pelo GDPR

Recentemente, no CIAB-FEBRABAN 2019, a Lei Geral de Proteção de Dados – LGPD, foi considerada a palavra de ordem do evento. Entrando em vigor em 2020, as empresas brasileiras têm muito a ganhar com as experiências do GDPR.

São casos de sucesso, lições aprendidas, erros e acertos que levam as organizações a ganhar tempo, reduzir custos e ser mais assertivas em todo o processo de implantação da lei. Tal qual o texto europeu, a LGPD prevê pesadas multas para as empresas que não atenderem os requisitos da legislação.

Com a experiência do GDPR, as organizações podem se concentrar na LGPD no que se refere ao propósito de seus negócios e em como ela os tornará bem-sucedidos e possibilitará ganhos de negócios em relação ao uso de dados.

No final, segurança e privacidade estão convergindo. Com as novas legislações, vivemos uma era em que o controle dos dados é um desafio possível de ser alcançado.

O GDPR promoveu a resposta efetiva a incidentes, desempenhando um papel importante na mudança de atitudes sobre privacidade de dados. Dessa forma, aumentou a conscientização nas organizações sobre como os dados são coletados, gerenciados e armazenados. Além disso, aumentou também a consciência do consumidor sobre como os dados são usados ​​pelas empresas.

A LGPD é a oportunidade que nós temos de seguir uma realidade mundial e não ficarmos para trás quanto a proteção e o uso de dados pessoais de cada indivíduo. 

Como anda seu projeto de adequação a Lei Geral de Proteção de Dados?

E-VAL Saúde, uma empresa do Grupo E-VAL

A E-VAL Saúde é uma empresa especializada em certificação digital, segurança da informação, com foco em assinatura digital, autenticação e proteção de dados, em especial para assinatura digital de prontuários eletrônicos do paciente, gerenciamento eletrônico de documentos e demais documentos de seu hospital, operadora, laboratório ou clínica. A E-VAL Saúde tem mais de 10 anos de experiência no mercado da saúde.

Fale conosco, os especialistas da E-VAL Saúde terão o maior prazer em atendê-los, contribuindo, assim, para o desenvolvimento dos seus projetos e a melhoria contínua da segurança do seu hospital, operadora, laboratório ou clínica.