O novo regulamento de proteção de dados entrará em vigor em 28 de maio de 2018. Cada instituição terá que implementar procedimentos de segurança apropriados e construir um sistema de relatórios. De acordo com os regulamentos, qualquer possível vazamento de dados pessoais terá que ser relatado pela empresa dentro de 72 horas. As sanções istrativas ascenderão a 20 milhões de euros ou 4 por cento comércio mundial.
– Até agora, tivemos regulamentos detalhados que descreviam como implementar especificamente o sistema de proteção de dados pessoais. O GDPR permite que o empresário decida como implementar o sistema e quais medidas aplicar, mas isso deve ser feito de forma eficaz, caso contrário, é preciso levar em consideração grandes sanções. Tal risco certamente funciona na imaginação dos empresários – diz Paweł Mielniczek da Knowledge To Safety Foundation em uma entrevista.
De acordo com o relatório da Knowledge To Security Foundation, mais de metade das empresas (51%) introduziram alterações nos procedimentos de tratamento de dados pessoais em conexão com a alteração das disposições sobre a proteção de dados pessoais. Além disso, 41 por cento. foi introduzido várias vezes com novas obrigações no domínio do tratamento de dados.
– Mais da metade das empresas já começaram a implementar o GDPR, até agora esses são os primeiros preparativos. A maioria das empresas ainda hesita em usar os serviços de especialistas. A preparação é importante porque, de acordo com os resultados de nossa pesquisa, um em cada quatro funcionários sofreu uma violação de dados pessoais em sua empresa – enfatiza Paweł Mielniczek, da Knowledge To Security Foundation.
O estudo “O que sabemos sobre proteção de dados” preparado pela Knowledge To Security Foundation mostra que 26%. de pessoas profissionalmente ativas afirmaram que suas empresas tiveram uma violação de segurança de dados, dos quais 7 por cento afirma que isso já aconteceu várias vezes. 42 por cento dos entrevistados afirmam que nas organizações às quais estão associados, nunca ocorreram incidentes relacionados à proteção de dados pessoais.
– Quase um terço da alta istração pesquisada por nós no relatório indica que não sente totalmente a necessidade de desenvolver seus conhecimentos sobre o GDPR. No entanto, verifica-se que a mudança é tão grande que a necessidade de realizar uma análise de risco, que é utilizada em no máximo metade das empresas até agora quando o assunto é proteção de dados pessoais, ará a ser um padrão – argumenta o especialista.
As disposições do GDPR pressupõem que a função do de Segurança da Informação (ABI) será assumida pelo Diretor de Proteção de Dados. Mais da metade dos ABIs dizem ter conhecimento suficiente para atuar como DPO. A restante parte tenta aumentar as suas competências no domínio da proteção de dados pessoais, dos quais 54% são afirma conhecer em detalhes o alcance das mudanças introduzidas pelo GDPR, mas 46 por cento. ele tem apenas conhecimento geral.
– A maioria dos es sente a necessidade de treinamento, mas vale ressaltar que aprox. 3/4 os es de segurança da informação desempenham outras funções em sua organização. Quanto ao GDPR, sua função mudará para o responsável pela proteção de dados e, portanto, eles terão que ter um nível adequado de conhecimento na área de dados pessoais e experiência na realização de auditorias – explica Paweł Mielniczek.
As disposições do GDPR impõem uma nova obrigação aos controladores de dados, ou seja, uma avaliação do impacto da proteção de dados, a chamada PIA (Praivacy Impact Assessment) ou DPIA (Data Protection Impact Assessment). O objetivo da análise é principalmente garantir a conformidade dos processos de processamento com o GDPR, identificar ameaças e reduzir violações de privacidade. Como ressalta o especialista, a violação de dados pessoais afeta não apenas a pessoa lesada, mas também a empresa, o que significa prejuízos de imagem e financeiros.
– Existe o risco de violação dos direitos e liberdades das pessoas singulares, ou seja, qualquer titular de dados. Por outro lado, temos uma análise de risco para a organização, porque são perdas financeiras, perdas de imagem ou consequências jurídicas negativas – convence Paweł Mielniczek.
