Políticas de proteção de dados: Você está fazendo o suficiente para garantir a conformidade?
A conformidade com as normas globais relevantes de privacidade de dados continua sendo um desafio para empresas de todos os portes. Desde a navegação em uma linguagem regulatória complicada até a implementação de salvaguardas adequadas, não é simples proteger os dados pessoais.
A cobertura regular da mídia destaca as violações de dados, sendo que as grandes organizações frequentemente aparecem nas notícias por violações da legislação de privacidade, acompanhadas de multas enormes. A questão que toda organização precisa abordar é se está fazendo o suficiente para cumprir as leis de privacidade de dados. Este artigo oferece alguns indicadores para ajudar a responder a essa pergunta, além de dicas para aperfeiçoamento.
Leis de proteção de dados: Um breve resumo
A primeira parte do desafio de desenvolver uma política adequada de proteção de dados para a sua empresa é saber com quais regulamentos você precisa estar em conformidade. As leis de privacidade que você precisa cumprir dependem, em grande parte, da natureza do seu negócio, das áreas geográficas em que você opera e do tipo de dados da sua organização. Cada uma das leis a seguir tem suas próprias regras distintas e as medidas de segurança necessárias para a conformidade.
- Regulamento Geral sobre a Proteção de Dados (GDPR): A regulamentação de conformidade mais rigorosa protege os dados dos cidadãos e residentes da União Europeia. O GDPR tem um alcance extraterritorial, o que significa que as organizações fora da UE correm o risco de não estar em conformidade se processarem dados pertencentes a cidadãos/residentes na Europa e não cumprirem as regras.
- Lei de Privacidade do Consumidor da Califórnia (CCPA) e Lei de Direitos de Privacidade da Califórnia (CPRA): Ambas as regulamentações protegem os dados dos consumidores pertencentes aos cidadãos que moram na Califórnia. A CPRA introduziu regras mais robustas que reforçam as medidas de proteção à privacidade com relação ao processamento de dados pessoais. Essas leis estabelecem o padrão para que leis estaduais semelhantes sigam o exemplo com suas próprias leis de privacidade abrangentes semelhantes, incluindo Virgínia, Connecticut, Colorado e Utah. A Lei de Privacidade de Nova York agora também se aplica a empresas que controlam dados pessoais.
- Lei Gramm-Leach-Bliley (GLBA): Essa estrutura permite que as instituições financeiras protejam as informações financeiras dos consumidores por meio do que é conhecido como “Regra de Privacidade” e “Regra de Salvaguardas”. A Federal Trade Commission (FTC) estabeleceu essas duas importantes regras.
- Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA): Sendo um dos tipos de dados mais confidenciais que enfrentam ameaças à segurança cibernética, as informações de saúde (incluindo dados biométricos) exigem proteção rigorosa nos Estados Unidos por meio dos requisitos da HIPAA.
- O padrão de segurança de dados do setor de cartões de pagamento (PCI DSS): Esse conjunto de padrões de segurança visa garantir que todas as empresas que aceitam, processam, armazenam ou transmitem informações de cartão de crédito mantenham um ambiente seguro.
- Lei de proteção da privacidade on-line das crianças (COPPA): Essa lei recebe relativamente pouca publicidade, mas é importante estar ciente dela. A COPPA protege a privacidade de crianças com menos de 13 anos de idade nos Estados Unidos, exigindo o consentimento dos pais para a coleta ou uso de qualquer informação pessoal de crianças.
Parte do desafio é que cada uma dessas leis pode ter suas próprias regras específicas sobre retenção de dados, portabilidade de dados, transferências de dados, compartilhamento de dados, exclusão, criação de perfis etc. Você também precisa entender completamente as definições de informações de identificação pessoal, dados de saúde e outros tipos de dados antes de processar dados pessoais de acordo com as regras que os protegem. Além disso, em um mundo cada vez mais consciente da privacidade, sem dúvida surgirão novas leis e atos de proteção de dados para fortalecer ainda mais a privacidade dos dados do consumidor.
Exemplos reais de falhas de conformidade
Para ter uma ideia das maneiras pelas quais as empresas não fazem o suficiente para garantir a conformidade, aqui estão alguns exemplos reais de falhas de conformidade nos últimos anos:
- A Meta, proprietária do Facebook, recebeu uma multa de 1200 milhões de euros em 2023 depois de lidar mal com os dados dos usuários de acordo com os requisitos do GDPR. As violações estavam relacionadas à proteção insuficiente dos dados transferidos da UE para os EUA.
- Em 2021, a Amazon foi multada em 746 milhões de euros nos termos do GDPR por não ter aplicado o consentimento adequado em suas campanhas de publicidade direcionada.
- O WhatsApp foi multado em 228 milhões de euros em 2021 por não ter sido transparente com os usuários sobre as informações coletadas sobre eles. As violações relevantes foram dos artigos 12 a 14 do GDPR.
Esses exemplos do mundo real mostram que mesmo as maiores empresas não estão fazendo o suficiente para garantir a conformidade. Falhas técnicas e organizacionais podem afetar qualquer empresa, e é fundamental fazer esforços contínuos para melhorar a conformidade.
Dicas para melhorar a conformidade
Aqui estão algumas dicas para aprimorar sua política e estratégia de proteção de dados e garantir a conformidade:
- Atualize as políticas de privacidade regularmente. Certifique-se de que sua política de privacidade esteja atualizada e alinhada com as leis e regulamentos atuais com base nos dados que podem ser coletados. Além disso, torne essa política facilmente acessível e escrita em uma linguagem clara e precisa.
- Minimização de dados. Colete e processe somente os dados absolutamente necessários para suas operações comerciais. A coleta desnecessária de dados aumenta o risco de violações de dados e de não conformidade legal.
- Proteja o armazenamento e transmissão de dados. Use criptografia forte para armazenamento e transmissão de dados para evitar acesso não autorizado. Fortaleça a autenticação para não depender apenas de senhas para verificar as identidades dos usuários. Teste e atualize regularmente os sistemas de segurança e as políticas de segurança para se adaptar às ameaças emergentes.
- Auditorias regulares de conformidade. Realize auditorias regulares para verificar a conformidade com as leis e normas de privacidade de dados. Isso pode envolver auditorias internas, bem como avaliações de terceiros de prestadores de serviços que tenham acesso a seus sistemas ou dados confidenciais. Em particular, identifique todos os seus ativos de dados para que você possa sinalizar qualquer informação confidencial que não esteja adequadamente protegida de acordo com as leis relevantes.
- Treinamento de funcionários. Treine regularmente os funcionários sobre as práticas recomendadas de segurança de dados e as leis específicas que sua empresa deve cumprir. O treinamento eficaz ajuda a evitar violações não intencionais causadas por membros da equipe, que é uma das causas mais comuns de falhas de conformidade.
- Plano de resposta a violações de dados. Desenvolva um plano abrangente de resposta a violações de dados. Isso inclui medidas imediatas a serem tomadas após uma violação, quem deve ser contatado, como identificar o que foi violado e como se comunicar com as partes afetadas. Um plano de resposta eficaz é uma das práticas de privacidade mais importantes a serem implementadas porque muitas falhas de conformidade geralmente envolvem atrasos na notificação de violações às autoridades relevantes.
- Gerenciamento de fornecedores. Certifique-se de que todos os fornecedores terceirizados que tenham acesso aos seus dados também cumpram as leis de privacidade de dados necessárias. Incorpore cláusulas nos contratos que os responsabilizem por quaisquer violações de sua parte.
- Nomear um diretor de proteção de dados (DPO). Dependendo do tamanho da sua empresa e da natureza dos dados que estão sendo tratados, geralmente é vantajoso nomear um DPO. O DPO assume a responsabilidade de supervisionar a estratégia e a implementação da proteção de dados para garantir a conformidade com as leis aplicáveis.
- Avaliação do impacto na privacidade. Ao lançar novos produtos, serviços ou iniciativas, realize uma Avaliação de Impacto na Privacidade para identificar possíveis riscos à privacidade e maneiras de atenuá-los.
- Direitos do titular dos dados. Garantir que os processos estejam em vigor para lidar com as solicitações dos clientes em relação aos seus dados, como acessar seus dados, retificar informações incorretas ou excluir seus dados quando solicitado.
Opte pela prevenção de perda de dados dedicada
As ferramentas de Prevenção contra perda de dados (DLP) desempenham um papel importante para ajudá-lo a cumprir as leis de privacidade de dados, impedindo o acesso não autorizado e a divulgação de dados confidenciais. Essas ferramentas funcionam de três maneiras principais:
- Identificação de dados: As ferramentas de DLP podem identificar dados confidenciais, como informações de identificação pessoal (PII), informações financeiras ou registros de saúde na rede, no armazenamento e nos pontos finais de uma organização. Ao saber onde residem os dados confidenciais, as organizações podem garantir que as proteções adequadas estejam em vigor.
- Aplicação da política: As ferramentas de DLP permitem que as organizações estabeleçam e apliquem políticas que controlam como os dados confidenciais são manipulados. Por exemplo, uma ferramenta de DLP pode impedir o envio de informações confidenciais a destinatários não autorizados ou bloquear a cópia de tais dados em um local não seguro.
- Resposta e relatório de incidentes: As ferramentas de DLP podem fornecer relatórios detalhados sobre possíveis incidentes de perda de dados e, em alguns casos, podem tomar medidas automáticas para remediar os riscos, como alertar os administradores ou criptografar os dados em tempo real. Esse recurso de visibilidade e resposta é fundamental para demonstrar a conformidade com as leis de privacidade de dados.
Ao identificar e controlar proativamente as informações confidenciais, o DLP ajuda as organizações a gerenciar seus dados de acordo com as leis de privacidade e a reduzir o risco de não conformidade e as pesadas penalidades frequentemente associadas.
O Endpoint Protector da CoSoSys oferece à sua empresa o DLP líder do setor que funciona em vários sistemas operacionais. Desde a proteção de dados até a abordagem de riscos de trabalho remoto, ameaças internas e evitar violações causadas por erros de funcionários, o controle de dispositivos, a proteção com reconhecimento de conteúdo, a criptografia imposta e a descoberta eletrônica do Endpoint Protector ajudam a garantir que sua empresa faça o suficiente para assegurar a conformidade.