A legislação GPDR ou Regulamento Geral de Proteção de Dados da União Européia representa a mudança mais significativa na lei global de privacidade em 20 anos. Introduz requisitos de privacidade novos e abrangentes para qualquer organização que manipule os dados pessoais de indivíduos que vivem na Europa.
O GDPR ampliará e adicionará requisitos ao seu antecessor, a Diretiva de Proteção de Dados da UE ou DPD, e por ser um regulamento, não uma diretiva, terá força legal vinculante em todos os estados membros. O Regulamento Geral de Proteção de Dados foi adotado em abril de 2016 e entra em vigor em 25 de maio de 2018.
Algumas mudanças importantes que serão promulgadas pelo GDPR incluem:
- Aplicação mundial de uma lei europeia em matéria de proteção de dados. A nova lei não se limita aos estados membros da UE. Não importa onde eles estejam localizados, as organizações localizadas fora da UE que processam os dados pessoais de indivíduos que residem na UE terão que cumprir com o GDPR. O descumprimento não é uma opção. Sob a nova legislação, as organizações podem incorrer em multas de até € 20 milhões ou 4% da receita bruta anual, o que for maior, dependendo da natureza da violação.
- Um novo requisito é a obrigatoriedade de notificação em caso de violação ou divulgação não autorizada de dados. As organizações terão de notificar a autoridade europeia responsável pela proteção de dados sobre uma violação no prazo de 72 horas. Uma notificação também deve ser feita aos indivíduos afetados, quando houver um alto risco para eles.
- Muitas organizações precisarão nomear um diretor de proteção de dados (DPO) para ser responsável por implementar e monitorar a conformidade com o GDPR e realizar avaliações de conformidade. As organizações também deverão mapear o processamento de dados pessoais da UE e realizar avaliações de impacto de proteção de dados para processamento de alto risco.
- As organizações devem adotar uma abordagem proativa para garantir que os padrões apropriados de proteção de dados sejam incorporados em todos os sistemas e processos que lidam com dados pessoais. Uma observação importante é que a governança de acesso a dados e identidades atende a vários requisitos deste regulamento e pode ajudar a preparar sua organização, para a conformidade com o Regulamento Geral de Proteção de Dados.
O que o GDPR significa para profissionais de tecnologia de Segurança da Informação?
O Regulamento Geral de Proteção de Dados é uma estrutura legal que não especifica muitos detalhes técnicos sobre como atingir a conformidade. No entanto, ele define claramente um novo conjunto de princípios e procedimentos de proteção de dados que devem ser seguidos.
Para começar a usar os requisitos do GDPR, as organizações precisam ter um entendimento claro de como processam, armazenam e protegem dados pessoais. Depois que a organização tiver catalogado todos os dados pessoais usados ??para processamento, ela deverá garantir que esses dados estejam adequadamente protegidos.
O GDPR determina que “medidas técnicas e organizacionais apropriadas” sejam implementadas para proteger os dados, e requer documentação que demonstre essa conformidade. Por fim, o GDPR exige que as organizações monitorem e detectem quaisquer violações de acesso aos dados pessoais e notifiquem as autoridades e, em alguns casos, os responsáveis ??pelos dados.
No mundo da tecnologia atual, os riscos são mais complexos e os ataques são mais frequentes do que nunca. As organizações enfrentam dificuldades para conceder e gerenciar um número cada vez maior de aplicativos, ao mesmo tempo em que enfrentam ataques cibernéticos mais frequentes e sofisticados. O difícil equilíbrio entre a segurança e a conveniência – construir um ambiente onde os usuários trabalhem com conforto e segurança nunca foi tão difícil ou mais crítico.
As equipes de segurança de TI de hoje estão lutando para gerenciar a explosão de aplicativos móveis e na nuvem. Eles também devem gerir os direitos de acesso de uma equipe global e distribuída, composta de empregados, clientes, parceiros. Tudo isso além de enfrentar e o desafio de atender aos requisitos de leis e regulamentos que adicionam complexidades à forma como a segurança deve funcionar.
Para piorar a situação, não é mais suficiente se concentrar em defender a infraestrutura de aplicativos e o perímetro de rede da organização. Como recentes ataques de segurança demonstram, está se tornando mais comum que as identidades se tornem o vetor de ataque para criminosos cibernéticos. Em vez de segmentar redes e infraestruturas de aplicativos, os hackers agora exploram identidades para obter acesso a sistemas e dados confidenciais.
Saiba como a Gestão de Identidade pode auxiliar as empresas a manterem a conformidade com o GDPR.
