Português English Français Deutsch Italiano Español

GDPR: guia para conformidade

Observe que este artigo é apenas para fins informativos. Ele não se destina e não deve ser considerado ou interpretado como aconselhamento jurídico. Você não deve agir ou se abster de agir com base em qualquer conteúdo deste artigo sem buscar orientação jurídica ou de outro profissional.

Leia também:

O que é o GDPR?

O GDPR (Regulamento Geral de Proteção de Dados) é uma regulamentação geral da União Europeia que entrará em vigor em 25 de maio de 2018 e afetará todas as empresas que operam na UE ou que lidam com clientes da UE.

O GDPR amplia a definição do que constitui dados pessoais e privados para incluir não apenas registros financeiros, governamentais e médicos, mas também informações genéticas, culturais e sociais.

As empresas agora devem obter o consentimento específico de um indivíduo antes de usar seus dados pessoais e também devem honrar o “direito de ser esquecido”, para que todos os dados pessoais mantidos pela empresa sejam excluídos mediante solicitação do usuário.

Definições e funções

O GDPR descreve as seguintes definições e funções:

  • Titular dos dados: Um cidadão da UE que pode ser identificado por seus dados pessoais.
  • Controlador: Uma empresa que opera dentro da UE – ou fora da UE, mas que lida com residentes da UE – que captura dados confidenciais sobre residentes da UE no decorrer de suas operações.
  • Processador: Uma empresa comercial que captura dados confidenciais sobre indivíduos da UE e que atua como contratada de um controlador. Exemplos incluem empresas que oferecem serviços de nuvem, armazenamento ou hospedagem de aplicativos.
  • Dados pessoais: Qualquer informação relacionada a uma pessoa física identificada ou identificável. Essa definição é mais ampla na UE do que em outros governos e inclui o nome do cidadão da UE, endereço de e-mail, publicações em mídias sociais, informações físicas, fisiológicas ou genéticas, informações médicas, localização, dados bancários, endereço IP, cookies, identidade cultural etc.
  • Violação de dados pessoais: Uma violação de segurança que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados ou processados de outra forma. As empresas devem informar todos os incidentes de violação de dados à “autoridade supervisora” em até 72 horas após tomarem conhecimento do fato.
  • Direito de ser esquecido: O direito de todo cidadão da UE de ter seus dados pessoais apagados e não mais processados. Os dados também devem ser excluídos dos backups.

Principais requisitos do GDPR

O GDPR exige que os dados pessoais sejam mantidos apenas pelo tempo necessário para a finalidade inicial e devem ser protegidos de acordo com as novas regras.

De acordo com o artigo 32, tanto o controlador quanto o processador são obrigados a implementar medidas técnicas e organizacionais adequadas para garantir a integridade e a segurança dos dados, a resiliência dos sistemas e a capacidade de restaurar os dados rapidamente, incluindo criptografia ou pseudonimização. Os procedimentos e tecnologias de backup são claramente um requisito indireto do regulamento.

O GDPR se concentra no conceito de responsabilidade, pelo qual as empresas terão que “demonstrar” conformidade com os princípios relacionados à proteção de dados pessoais. Isso envolverá a implementação de processos mais demonstráveis e a manutenção de uma abordagem proativa.

Conformidade com o GDPR e backups

Chegou a hora de discutir como garantir a conformidade com o GDPR e falar sobre a função dos backups nessa estrutura. Sugerimos um modelo de cinco etapas para que você esteja em conformidade com o GPDR:

  • Conheça seus dados e mapeie a posição deles
    A primeira etapa é a análise e a identificação de todos os processos que coletam e processam dados pessoais, com o objetivo de mapear onde eles estão armazenados, tanto no armazenamento da empresa quanto no de terceiros. Esse mapa será incluído na documentação.
  • Regular o acesso aos dados
    Após a conclusão do mapeamento, é importante que você verifique quem tem acesso aos dados e por qual motivo. A auditoria permitirá que você identifique pontos críticos e, também nesse caso, as informações coletadas serão preciosas para a documentação. Não se esqueça de levar em conta os administradores de TI e os parceiros externos.
  • Proteja os dados
    A proteção dos dados deve ser garantida com a adoção de qualquer sistema disponível, como software antimalware, firewalls, política de segurança, treinamento e, é claro, manutenção de backups. O Uranium Backup permite que você proteja todos os dados pessoais coletados pela sua empresa, pois ele pode realizar backups de arquivos e pastas, bancos de dados, máquinas virtuais, imagens do sistema e caixas de correio do Exchange. Você pode conferir esta página para descobrir as práticas recomendadas para uma estratégia de backup em conformidade com o GDPR.
  • Documentação
    O GPDR exige que os controladores e proprietários demonstrem a aplicação de medidas adequadas para proteger os dados pessoais, portanto, é extremamente importante ter uma ampla documentação sobre os processos e as medidas de segurança. Também precisamos nos lembrar de comunicar violações de dados em até 72 horas após a descoberta e o direito de ser esquecido, o que inclui backups.
  • Mantendo-se atualizado, sempre
    As empresas são organismos vivos, sempre em evolução, e o mesmo acontece com o contexto em que competem. Para garantir uma proteção significativa dos dados pessoais, é necessária uma abordagem proativa, pois uma abordagem passiva simplesmente não é suficiente. Estar ciente das novas tecnologias e ameaças é um requisito para que você possa reagir e se adaptar.