A gestão de risco empresarial tem como objetivo principal garantir que as organizações cumpram as obrigações legais e regulamentares necessárias para conduzir negócios. As empresas que realizam negócios na UE devem alinhar os seus processos com o Regulamento Geral de Proteção de Dados (RGPD), que foi implementado para substituir a antiquada Diretiva de Proteção de Dados de 1995.
Estamos aqui para ajudar com um guia rápido para garantir que o seu programa de gestão de risco está em conformidade com o RGPD.
O que é o RGPD?
O Regulamento Geral de Proteção de Dados é o padrão de proteção de dados da Europa. O RGPD foi a conclusão de quatro anos numa tentativa de atualizar as leis de segurança de dados obsoletas para o século XXI. O RGPD declara que o “objetivo do RGPD é proteger todos os cidadãos da UE contra violações de privacidade e dados num mundo cada vez mais orientado para os dados, que é vastamente diferente da época em que a diretiva de 1995 foi estabelecida.” A quantidade de dados recolhidos aumentou enormemente nos últimos vinte anos e era necessária uma mudança para atender à procura atual de regulamentos atualizados de proteção de dados.
O RGPD concede aos indivíduos ou “titulares dos dados” novos direitos significativos sobre como os seus dados pessoais são recolhidos e utilizados pelas empresas. Os gestores de risco devem estar cientes de que se a empresa recolhe dados na UE de qualquer forma, devem aderir aos novos padrões de segurança. Isto incluiria empresas americanas que recolhem dados pessoais dos consumidores, e a recolha de dados não requer uma transação financeira para que o regulamento entre em vigor. Num mundo de globalização económica, o RGPD afetará empresas em todo o mundo, da China à Austrália. Os profissionais de risco à escala global precisarão de garantir que os controlos internos estão em vigor para cumprir o RGPD em todos os processos que envolvam a recolha de dados.
Por que é que o RGPD é importante?
Aderir aos requisitos legais e regulamentares é crucial para qualquer empresa reduzir o risco de ações adversas por parte de entidades governamentais (por exemplo, multas, sanções, etc.). Como mencionado acima, qualquer empresa na UE ou empresa que faça negócios dentro da UE tem de cumprir o RGPD. Na economia globalizada de hoje, este regulamento da UE é relevante para um grande número de empresas que devem garantir que os seus processos de proteção de dados estão alinhados com os requisitos
O RGPD entrou em vigor em maio de 2018 e estabelece diretrizes-chave para empresas que lidam com dados pessoais de cidadãos da UE.
Algumas áreas-chave de conformidade incluem:
- A exigência de consentimento parental antes de processar dados pessoais de menores (com menos de dezasseis anos).
- Um Encarregado de Proteção de Dados (EPD) obrigatoriamente nomeado para empresas e autoridades públicas que realizam certas atividades de processamento e autoridades públicas.
- Uma janela de 72 horas para os controladores de dados reportarem violações cibernéticas às autoridades competentes.
As empresas que fazem negócios na UE devem estar cientes do impacto regulatório do RGPD nos seus processos de privacidade de dados. Os processos de proteção de dados devem ser auditados para garantir que estão atualizados com tudo o que o RGPD exige para os seus 27 estados-membros, além do Reino Unido, que adotou a sua própria versão conhecida como UK GDPR. Os profissionais de gestão de risco devem estar cientes de como este regulamento afeta a prossecução dos objetivos de negócio.
Os controladores de dados, que determinam a finalidade e a forma como os dados pessoais são processados, têm requisitos específicos que devem ser cumpridos para evitar pesadas penalidades por não conformidade. Estas penalidades são avaliadas com base em critérios específicos utilizados para determinar o montante final que uma empresa será penalizada, como a natureza da violação, cooperação e tipo de dados. As penalidades são divididas em nível inferior e superior, as multas podem variar de 2-4% das receitas globais do ano anterior ou até 20 milhões de euros, o que for maior. Estas penalidades não só representam um risco significativo para as empresas, mas podem causar um impacto adverso severo nas organizações se forem levadas de ânimo leve.
Outro requisito do RGPD que afeta significativamente o programa de gestão de risco de uma empresa é a janela de 72 horas para reportar violações de dados pelo controlador de dados. Se ocorrer uma violação cibernética por entidades externas, uma empresa tem uma janela muito pequena para implementar um plano de comunicação de crise para lidar com o impacto reputacional de uma violação cibernética. Os profissionais de gestão de risco devem trabalhar para garantir que estratégias de comunicação eficazes e transparentes estão de prontidão no caso de uma violação cibernética, que estão a tornar-se mais prevalentes a cada dia. Questões como estas vão além do âmbito do RGPD ser apenas uma questão de conformidade de TI, mas uma que afeta toda a organização, exigindo a atenção dos profissionais de gestão de risco empresarial.
Passos de gestão de risco para se preparar para o RGPD
- Conheça as Regras
Comece por ler o Guia de Bolso do RGPD da UE, que condensa as 261 páginas de jargão legal num guia fácil de entender que o ajudará a seguir o caminho certo para a conformidade. Este guia pode ser um salva-vidas para cobrir todas as bases de conformidade num curto período de tempo.
- Analise o seu Ambiente Interno
Realize pesquisas e documente as conclusões avaliando os processos internos relacionados com a proteção de dados. Todos e quaisquer dados precisam de ser minuciosamente auditados, evitando lacunas na cobertura de conformidade que possam resultar em oportunidades perdidas de proteger os dados dos consumidores. À medida que os processos de negócio evoluem, os ambientes de dados internos devem ser analisados regularmente para garantir uma conformidade constante. As pesadas penalidades devem ser um bom motivador para atualizar a tolerância ao risco da liderança quando se trata de segurança de dados.
- Identifique Dados Regulamentados
Os dados recolhidos devem ser auditados para identificar áreas onde os processos internos requerem revisões ou criação. Os dados sem conformidade exigida podem utilizar processos existentes, pois o risco de penalidade não existe. No entanto, os dados que são obrigados a seguir os regulamentos precisarão de ser colocados de lado para uma avaliação adicional.
- Avalie e Priorize Dados e Processos Críticos
Os dados críticos armazenados que são necessários para gerir o negócio devem ser avaliados primeiro. Uma avaliação de risco de todos os dados privados deve ser concluída, revendo políticas e procedimentos para garantir a adesão aos requisitos do RGPD. Os recursos de dados críticos devem ter prioridade, depois as cópias de segurança e outros repositórios de dados podem ser abordados mais tarde. As medidas de segurança precisarão de ser atualizadas para todos os processos de dados críticos; isto resultará num ambiente de gestão de risco de TI mais robusto dentro da organização.
- Monitorize o Desempenho da Proteção de Dados
As medidas de segurança de dados atualizadas para cumprir o RGPD devem ser monitorizadas de forma contínua. Esta prática é crucial para garantir que há pouca ou nenhuma exposição a riscos de conformidade que possam resultar em severas penalidades financeiras. Um benefício adicional da monitorização contínua do desempenho da proteção de dados é o aumento da garantia de risco dentro e fora da organização. Os consumidores estão mais dispostos a fazer negócios com uma empresa que se orgulha de garantir que os direitos de dados dos clientes estão a ser protegidos durante o curso dos negócios.
Conclusão
Os profissionais de gestão de risco devem estabelecer processos claros sobre como protegem os dados dos consumidores. Independentemente da organização, a liderança quererá garantir que os dados dos consumidores estão a ser protegidos em alinhamento com o RGPD para evitar as pesadas penalidades de não conformidade. Esta não é uma tarefa que se relacione simplesmente com TI, os impactos adversos da não conformidade abrangem muito mais, afetando todos os níveis da organização. No entanto, com os passos delineados acima, qualquer empresa pode garantir que não tem preocupações com a proteção de dados.
