2 de julho de 2018
Proposta em 2012 e agora em vigor, a Regulamento geral de proteção de dados (GDPR) é o mais novo marco na legislação de proteção de dados. A legislação de conformidade com o GDPR foi elaborada para proteger melhor os dados pessoais de indivíduos na União Europeia (UE), tornando as empresas mais responsáveis pela forma como coletam, usam, compartilham e armazenam dados. As multas por descumprimento podem chegar a € 20 milhões, ou 4% da receita anual global do exercício financeiro anterior.
Prepare-se para o sucesso
Como uma empresa dedicada ao desenvolvimento de soluções para gestão da qualidade e conformidade, AssurX abordou o amplo escopo de prontidão para conformidade com o GDPR com a experiência necessária para identificar, documentar e remediar quaisquer problemas de processo em que a privacidade de dados seja uma preocupação.
Além disso, como a AssurX utiliza automação para rastrear e rastrear todas as políticas que regem a captura e o compartilhamento de dados, a prática de mapeamento de controles de privacidade já estava amplamente implementada. A função de Encarregado da Proteção de Dados (DPO) foi assumida pelo Diretor de Conformidade da empresa. Tendo acabado de passar por uma HIPAA auditoria de conformidade e certificação, a AssurX estava bem informada sobre como abordar avaliações de privacidade do GDPR para identificar os potenciais impactos de violação ou uso indevido de informações privadas.
Proteção de dados além da TI
O GDPR exige conformidade específica para controladores e processadores de dados. Embora se aplique às práticas de segurança de TI, o GDPR se estende a qualquer outra unidade que colete e/ou processe informações pessoais, incluindo, entre outros, marketing, finanças e fornecedores.
Além disso, o GDPR exige atenção especial ao consentimento válido ou ao consentimento informado. Indivíduos na UE têm mais poder sobre como suas informações são usadas. Por exemplo, uma pessoa pode solicitar que suas informações sejam "esquecidas", o que significa que suas informações nunca mais poderão ser usadas para qualquer finalidade. Portanto, controles devem ser implementados para permitir que qualquer pessoa da UE determine quais dados podem ser coletados e processados.
Como resultado, todos os acordos de processamento de dados (APDs) vigentes com fornecedores, clientes e contratados foram revisados e atualizados. A preparação para o GDPR resultou em uma dupla meta: implementar práticas para atender à conformidade com o GDPR e reforçar um compromisso bidirecional com a conformidade.
Fortalecendo a Responsabilidade
Conforme descrito nos regulamentos do GDPR, os processadores de dados são responsáveis por violações de dados. Contratados e fornecedores que estejam digitalmente conectados a dados pessoais e à atividade de processamento também devem cumprir todas as obrigações do processador. Isso cria um ecossistema de responsabilidade onde a transparência é fundamental. Cada pessoa ou entidade contratada pela AssurX concordou por escrito em implementar práticas de proteção de dados alinhadas aos altos padrões utilizados pela AssurX e se submeter a auditorias quando solicitado.
A prontidão para o GDPR tornou-se um teste decisivo para a estrutura de proteção de dados e gestão de fornecedores da AssurX. A auditoria da coleta, segurança, processamento e retenção de informações sob uma perspectiva holística fortaleceu o controle de todos os dados que seriam abrangidos pelo GDPR e da privacidade da informação em geral.
“Uma prática significativa durante a preparação para o GDPR foi a avaliação completa dos contratos com nossos fornecedores e a avaliação dos riscos que podem ou não existir”, explicou Tamar June, Presidente e CEO da AssurX. “Isso nos ajudou a estar em conformidade, revisando e atualizando nossos requisitos para contratos atuais e futuros. Isso nos ajudou a identificar pontos fortes adicionais, bem como oportunidades para aprimorar nossos negócios e o atendimento aos nossos clientes.”
Melhores práticas de conformidade com o GDPR
- Treinar todos os funcionários: Ofereça treinamento de conformidade com o GDPR para todos os funcionários, na medida em que isso impacte suas funções. Aproveite a oportunidade para reforçar as práticas de segurança em toda a empresa (por exemplo, segurança de dispositivos móveis). Capacite os funcionários a relatar preocupações.
- Informar os clientes: Informe aos seus clientes da UE que você está comprometido com o GDPR e responda prontamente às perguntas.
- Tenha um único ponto de contato: O seu Encarregado da Proteção de Dados (EPD) deve ser o único ponto de contato para todas as consultas sobre conformidade com o RGPD. Demorar muito ou não resolver um possível problema de conformidade pode resultar em uma denúncia.
- Garanta que o controle de mudanças esteja em vigor: Antes de fazer alterações nos processos de marketing e em outros processos diversos, incluindo desenvolvimento de software, certifique-se de avaliar qualquer impacto em relação aos requisitos do GDPR.
- Revise suas avaliações periodicamente: Revise suas avaliações de conformidade com o GDPR previamente agendadas para identificar quaisquer lacunas ou vulnerabilidades.
- Audite seus processos com frequência: Pré-agende auditorias para validar se não houve alterações não documentadas ou não aprovadas (por exemplo, software de marketing não autorizado ou DPAs desatualizados).
Conclusão
A AssurX coloca a privacidade de seus clientes em primeiro lugar há mais de 20 anos com protocolos de segurança física, de rede e de informações de nível empresarial para suas soluções de eQMS hospedadas e gerenciamento de conformidade no AssurX Cloud QMS. Clientes em indústrias altamente regulamentadas, incluindo farmacêutico, Aparelho médico, energia e serviços públicos e de alta tecnologia deve estar confiante na arquitetura de privacidade por design da AssurX, que já estava em prática muito antes do GDPR.
Estar em conformidade com o GDPR não é tão simples quanto garantir uma boa segurança de rede. A conformidade com o GDPR envolve uma análise aprofundada de todos os sistemas que processam dados pessoais para aprimorar as práticas de governança de privacidade e o compromisso com a conformidade.
