A resistência é fútil - Proteger sua empresa contra a não conformidade com os regulamentos de proteção de dados

David Hodgson da Syncsort
O dia 25 de maio de 2018 chegou e passou, deixando muitas empresas despreparadas para o nível de conformidade que o Regulamento geral de proteção de dados (GDPR) exige. Mesmo com quatro anos de antecedência, os tecnólogos de TI responsáveis ​​pelas estratégias de resiliência de negócios ainda estão lutando para adicionar novas sofisticações à lista de metas de proteção de dados. Syncsort O Relatório do Estado de Resiliência de 2018 mostra que as preocupações com segurança e privacidade de dados são prioridade para a maioria dos departamentos de TI, especialmente porque eles adotam plataformas em nuvem para coletar, armazenar e analisar dados, disse David Hodgson, diretor de produtos da Syncsort.

O longo braço da lei

De acordo com os autores do GDPR, “o processamento de dados pessoais deve ser projetado para servir à humanidade”. O GDPR se baseia e substitui a diretiva de proteção de dados anterior 95/46 / EC e foi projetado principalmente para unificar e padronizar as leis de privacidade de dados em toda a Europa. Mas, isso aumenta o nível de privacidade de dados para organizações dentro da região e para aquelas fora que desejam fazer negócios com países da UE.

Resumindo:caberia a qualquer empresa, em qualquer lugar, reconsiderar suas práticas de gerenciamento de dados à luz do GDPR. Você sabe quais dados você tem, sobre quem, como eles são usados ​​por você ou compartilhados com outras pessoas? Está devidamente protegido contra roubo? A mesma pesquisa, com quase 6.000 entrevistados globais, descobriu que a maioria das empresas ainda está lutando contra essas questões.

Colocando o indivíduo de volta no comando

O GDPR garante o direito de um indivíduo de saber que uma empresa está mantendo seus dados pessoais, quais são esses dados, o direito de inspecionar e corrigi-los e, mais significativamente, o direito de removê-los ou o direito de ser esquecido.

A nova abordagem começa com o direito de consentimento. Muitos indivíduos experimentaram isso pessoalmente com empresas enviando e-mails para confirmar a aprovação para manter dados pessoais. Certamente, por mais que os dados sejam o combustível para muitos novos modelos de negócios, agora também são a nova casca de banana que pode causar alguns deslizes.

A primeira etapa é rastrear claramente quais dados você possui, sobre quem e confirmar o consentimento. Uma parte importante disso é unificar sua visão de um indivíduo em diferentes sistemas, bancos de dados e fontes de dados. David Hodgson é o mesmo que David M Hodgson ou essas duas pessoas são diferentes? Para obter essa visibilidade, certifique-se de ter as ferramentas adequadas que podem fornecer e manter a integridade dos dados.

Ferramentas de qualidade de dados que podem identificar dados pessoais e ajudar a mantê-los precisos, limpos e desduplicados são essenciais para atingir a conformidade. Igualmente importante é a capacidade de manter uma trilha de auditoria de quem acessou os dados pessoais. No entanto, esses requisitos são dificultados apenas nas áreas de big data e streaming de dados.

O que são dados pessoais e como podem ser usados ​​com segurança?

A disseminação de práticas de coleta de dados que rotineiramente individualizam nossas experiências online sustentou a Revolução Digital, mas também gerou as preocupações que levaram ao GDPR.

O artigo 4.º, n.º 1, do RGPD define informações de identificação pessoal (PII) como dados que identificam, descrevem ou são exclusivos de um indivíduo. Isso inclui o óbvio - nome, idade e números de previdência social - mas também itens como endereços IP e IDs de dispositivos e campos de dados criptografados ou com hash, se sua finalidade for identificar um indivíduo.

O GDPR exige que as empresas protejam a privacidade dos indivíduos e informa que a maior parte do processamento seja feita com a remoção de identificadores diretos para que não haja vínculo com um indivíduo específico. Este conceito é conhecido como pseudonimização de dados e pode reduzir os impactos das violações de segurança que resultam no roubo de dados.

Construir novos sistemas que sejam compatíveis por design é sempre mais fácil e mais eficaz do que adaptar recursos para sistemas mais antigos. Ferramentas de anonimato, mascaramento e ofuscação devem ser componentes-chave em ambos os casos, mas a realidade baseada em custos é que a maioria das empresas estará em busca de ferramentas para se integrar facilmente com os pontos de acesso de dados existentes.

A maioria das empresas tem vários bancos de dados e cada vez mais compartilha dados entre eles para casos de uso em tempo real. Esses casos de uso costumam ser impulsionadores essenciais do crescimento dos negócios para as empresas, mas também são a fonte de vulnerabilidades. As ferramentas que rastreiam quais dados estão sendo compartilhados devem lidar com a escala e as mudanças rápidas que essas novas arquiteturas permitem.

O futuro sempre chega mais rápido do que você pensa

A velocidade do tempo geralmente nos deixa despreparados, e isso sempre parece ser verdade no mundo da TI. O não cumprimento do GDPR pode resultar em uma multa de € 20 milhões ou 4% do faturamento global de uma organização não conforme - sem mencionar o impacto na reputação da empresa. Agora que o prazo de maio já passou - a menos que as empresas atinjam o cumprimento total - é apenas uma questão de tempo antes de vermos as primeiras multas de execução.

O autor deste blog é David Hodgson, diretor de produtos, Syncsort