Nesta sexta-feira, 25, após anos de planejamento, entrará em vigor a regulamentação GDPR – uma das maiores leis de proteção de dados da Europa. Qualquer organização que manipule dados de cidadãos da União Europeia, principalmente os que têm sede na Europa, poderão enfrentar pesadas multas de até € 20 milhões (24,7 milhões de dólares) ou 4% do faturamento anual global por não conformidade. No entanto, a conscientização continua irregular.
Pesquisa feita pela Trend Micro revelou que as empresas ainda não estão investindo nas áreas certas antes da regulamentação, demonstrando a necessidade – preocupante – de estarem mais alinhadas à.
Direitos e obrigações
O GDPR é uma enorme legislação destinada a melhorar os direitos do consumidor em relação às organizações que detêm suas informações pessoais.
Como resultado, coloca novas obrigações estritas para estas empresas, muitas das quais giram em torno da segurança e proteção de dados. O regulamento não determina exatamente quais tecnologias as empresas devem implementar – exceto no caso de ferramentas de criptografia – mas exige que as empresas implementem "medidas técnicas e organizacionais apropriadas para garantir um nível de segurança apropriado".
Em termos leigos, isso significa seguir as abordagens atuais de segurança de práticas recomendadas. Os resultados da pesquisa da Trend Micro, no entanto, mostraram uma desconexão entre a lei e a realidade da maioria das companhias.
Despreparadas e sem financiamento
A Trend Micro preparou uma enquete com mais de 1.000 formadores de opinião no universo de TI, ao redor do mundo, incluindo os EUA. Apenas 51% disseram ter aumentado os investimentos em segurança e compliance.
Isso ocorre mesmo com um quarto dos entrevistados terem reclamado da "falta de proteção suficiente de segurança de TI" (25%) e "falta de uma segurança de dados eficiente" (24%), que se configuram como os maiores desafios para os esforços de conformidade.
Indo além, descobriu-se que menos de um terço (31%) investiu em criptografia, apesar da menção frequente no GDPR. A prevenção de perda de dados (33%) e tecnologias avançadas projetadas para detectar intrusos de rede (34%) também foram amplamente ignoradas.
Além dos investimentos em ferramentas de segurança é fundamental investir na conscientização dos colaboradores de uma empresa. Igualmente preocupante, apenas 37% das organizações globais disseram que investiram em programas de conscientização dos funcionários.
Parte disso pode se dar pela falta de fundos: um quarto dos entrevistados (25%) afirmou que os recursos limitados são o maior desafio para o cumprimento.
As preocupações não terminam aí. Existem novas regras em relação à notificação de violação no GDPR que declara que os indivíduos devem ser notificados dentro de 72 horas se uma violação resultar em um alto risco aos seus direitos e liberdades. No entanto, um quinto (21%) dos entrevistados disseram ter um processo formal para notificar apenas a autoridade de proteção de dados, enquanto 6% disseram não ter nenhum processo em vigor, e 11% nem sequer sabiam se tinham ou não um processo.
Uma abordagem holística
A prioridade do GDPR é incentivar uma maior responsabilidade e transparência entre as organizações que lidam com dados de clientes e funcionários. Com isso, os órgãos reguladores irão fiscalizar se as organizações estão se esforçando para aplicar o regulamento, tendo em mente os melhores interesses de seus clientes.
As descobertas da Trend Micro demonstram que ainda existe um longo caminho a ser percorrido, antes que isso se traduza na adoção generalizada das melhores práticas para proteção de dados. É importante também lembrar que a conformidade com o GDPR é muito maior do que a segurança de TI e exigirá o compromisso e o envolvimento das partes interessadas de toda a organização.
Data Protection Forum
Esse assunto será apresentado no Data Protection Forum, promovido pela TI Inside, que acontece nessa terça-feira, 29, no Blue Tree Morumbi, em São Paulo.