Tema que certamente está em cima da mesa da maioria dos departamentos jurídicos das empresas da EU, o GDPR (em Português RGPD) bate também à porta dos departamentos de TI. O novo regulamento geral para proteção de dados, que entrará em vigor dia 25 de Maio de 2018, introduz novidades que se traduzem em grandes desafios para as Organizações onde as tecnologias de Informação terão um papel determinante para garantir o cumprimento da lei.
Este novo regulamento, substitui a diretiva atualmente em vigor e introduz mudanças significativas e com impacto ao nível do funcionamento das empresas. Como é um regulamento e não uma diretiva, é para cumprir de igual forma em todos os estados membros o que se irá traduzir numa lei europeia forte para a proteção de dados pessoais. As multas por incumprimento mostram que se quer um regulamento para cumprir: até um máximo de 20 milhões de euros ou 4% do valor global de faturação. No caso de um grupo económico, caso uma empresa não cumpra, os 4% são o global do grupo e não da empresa que não cumpriu.
Pondo de lado os detalhes jurídicos e a subjetividade ou objetividade de cada um dos 99 artigos que compõem o regulamento, a sensibilização para o tema e a visão de alto nível do problema e da sua solução a nível tecnológico é algo que todos os CIOs deverão já ter completado neste momento.
Em traços muito gerais o GDPR implica que:
“Todos os consumidores e cidadãos têm o direito de saber como os seus dados estão a ser usados - bem como o direito de ter os seus dados completamente apagados se tal for solicitado”
“As organizações são obrigadas a garantir que os dados pessoais estão seguros e a manter registos de todo o tipo processamento envolvendo este tipo de dados”
“O consentimento para recolha, armazenamento e processamento dos dados pessoais tem de ser explícito e registado”
“Uma violação de dados pessoais, deve ser comunicada à autoridade de controlo num prazo de 72 horas”
O entendimento do que é um dado pessoal - “qualquer tipo de informação que relacione e identifique um indivíduo, quer seja da sua vida privada, profissional ou pública” - também não nos facilita a tarefa. Estamos a falar de qualquer informação que identifique um individuo, para além dos clássicos números de identificação pessoal e bancária e dados médicos, também a localização, endereços de correio eletrónico, fotografias, posts em redes sociais são considerados como informação a proteger.
Para dar um exemplo do peso do GDPR, o simples envio de uma newsletter para uma lista de endereços vai obrigar a que exista um consentimento prévio e explícito de cada destinatário. Os destinatários terão também de ser informados da finalidade do tratamento dos dados, do prazo de conservação dos dados e da possibilidade de apresentar queixa junto da CNPD. As organizações serão obrigadas a manter os dados de forma segura e registar todos os processamentos com estes mesmos dados.
Assim, para as TI os desafios são de garantir e provar que a informação relativa dados pessoais está identificada, protegida e que os procedimentos que o regulamento exige estão a ser cumpridos.
Para a informação estruturada que reside, por exemplo, nos ERP, apesar de poder ser um tema complexo, acaba por ser a informação que temos mais controlada e onde cada fabricante apresenta soluções diretas para endereçar os pontos em falha.
Para a informação não estruturada, o problema é bem mais complexo. Como garantir que os dados pessoais que vivem nos e-mails, nos documentos word, excel e pdf que se espalham pelas áreas de rede, áreas pessoais e intranets estão identificados e protegidos? Como garantir que o ciclo de vida destes documentos está de acordo com o regulamento? Como garantir que a informação não é partilhada com terceiros e representado assim uma possível violação de dados pessoais?
Como começar em três simples passos
O primeiro passo é educar, é imperativo dar formação a todos os colaboradores. Explicar o regulamento e ensinar a identificar e tratar de forma conveniente todos os dados pessoais que processam no seu dia-a-dia.
Depois teremos também de identificar a informação que possuímos: Onde está, como foi recolhida, com quem é partilhada, se existe consentimento e se pode ou não ser eliminada. Esta é uma ótima fase para as organizações se verem livres de informação que não precisam e que existe só porque sim. Apagar toda a informação que não é necessária ajuda bastante, pois é menos informação para gerir e menos possibilidade de entrar em incumprimento. Felizmente muitas organizações já passaram por este processo quando migraram os dados para a cloud.
Proteger a informação será a terceira fase e o passo que nos acompanhará para sempre a partir de 2018. Tarefas como classificar, encriptar, registar, controlar e monitorizar acessos são imperativas para fazer prova de que estamos a cumprir com a nova regulamentação.
É no Proteger da informação não estruturada que as tecnologias de segurança da informação como o DLP, IRM, MDM, UEBA, entre outras podem e vão ajudar muito. Eu diria até em tom de desabafo que em alguns casos, finalmente vão ter a relevância que merecem na área da segurança de TI.
Com o Data Loss Prevention (DLP), conseguimos evitar que a informação identificada como confidencial seja partilhada com terceiros. Já o Information Rights Management (IRM) permite-nos classificar e proteger (encriptar) os documentos, garantindo também a monitorização e registo dos acessos. Com uma solução de Mobile Device Management (MDM) garantimos a proteção dos dados em equipamentos móveis e com uma solução de user and entity behavior analytics (UEBA), podemos responder rapidamente a um incidente e detetar em tempo útil uma falha na segurança que possa levar a uma violação de dados pessoais.
Para as organizações que já migraram este tipo de dados não estruturados para a Cloud, pode ser que tenham o trabalho facilitado, por exemplo a Microsoft viabiliza todas estas tecnologias no Office 365 e Azure e compromete-se a cumprir com todos as exigências do GDPR do ponto de vista de subcontratante para armazenamento dos dados.
Na minha opinião o GDPR é também mais um motivo para impulsionar a migração do e-mail e dos documentos não estruturados para um cloud provider que cumpra os requisitos do regulamento no papel de subcontratante. Ao migrar para a cloud, não só as organizações beneficiam de tecnologias de ponta para proteção dos documentos, como aliviam um pouco a pressão e o custo de ter de a implementar em tempo record.
