IT Forum 365
segurança da informação

GDPR e normas locais: os impactos na estratégia de segurança da informação

Regulamentações modificam questões de coleta e armazenamento de dados dos usuários; companhias que não cumprirem as regras podem ser multadas em até € 20 milhões

O PL 53/2018, aprovado pelo Senado Federal em 10 de julho deste ano, e atualmente em sanção pelo governo Michel Temer (MDB), voltou a colocar em pauta a segurança da informação. O projeto segue a mesma linha da GDPR (Regulamento Geral de Proteção de Dados) da União Europeia, norma que altera o uso de dados privados e está em prática desde maio de 2018, e que atinge empresas com qualquer vínculo com a UE.

Saiba como proteger a empresa de ataques DDoS, baixe o ebook Garanta a disponibilidade da rede

Com as novas regras, as duas normas só autorizam a coleta e tratamento de dados após o consentimento explícito do usuário. Isso quer dizer que, qualquer organização que queria utilizar essas informações têm de corresponder obrigatoriamente a uma série de diretrizes, como pedir a autorização para o cidadão, indicar o objetivo da coleta de dados, utilizá-los exclusivamente para o objetivo descrito, coletar apenas os dados necessários para o propósito informado e aceitar o poder do usuário de pedir a exclusão de suas informações quando o objetivo for cumprido.

As empresas sob efeito da GDPR são, ainda, responsáveis pela proteção desses dados. A partir disso, a companhia é encarregada de comunicar à pessoa qualquer vazamento ou erro com as informações em até 72 horas, estando sujeita à uma legislação que impõe multas. A norma define, entre outras atividades, que a companhia nomeie um representante para responder pela gestão dos dados pessoais, que será responsável pela implementação de medidas técnicas e organizacionais adequadas para assegurar e demonstrar que os dados pessoais, mantidos pelo negócio, estão em conformidade com os requisitos da GDPR.

Reflexos

Segundo Edison Fontes, consultor e gestor de segurança da informação, o GDPR afeta praticamente todas as organizações, já que a maioria quer negociar com a União Europeia. “É um mercado rico, comprador e de grande potencial”, diz. Segundo ele, uma rede de hotéis de controle acionista totalmente brasileiro, por exemplo, tem interesse de estar em conformidade com a norma. “Isso porque, caso não a cumpra, as grandes empresas europeias podem colocar esta rede em uma lista negra”, exemplifica Fontes.

Apesar de seguir a mesma linha de controle, as penalidades por não atender as duas normas são diferentes. No GDPR, a multa pode chegar a vinte milhões de euros ou até 4% do faturamento bruto da empresa no ano anterior. Com a lei que está em sanção no Brasil, será aplicada uma multa de até até 2% do faturamento, podendo chegar a 50 milhões de reais.

O processo organizacional de segurança da informação é essencial para que seja implementado os controles exigidos pela lei brasileira em tramitação e pelo GDPR. Diante disso, a empresa precisa aprimorar seu processo estruturado de segurança, como enfatiza Fontes.

Saiba mais
Segurança da informação: GDPR, privacidade e IoT
As melhores práticas de segurança na nuvem pública
Segurança da informação na era de IoT

 

Comentários

Notícias Relacionadas

IT Mídia S.A.

Copyright 2016 IT Mídia S.A. Todos os direitos reservados.