Como implementar o GDPR
Há alguns dias publicamos um artigo explicando o regulamento GDPR, hoje vamos falar sobre como implementar na prática.
GDPR e o gerenciamento de dados
Para ser compatível com GDPR a empresa precisará revisar suas políticas de tratamento, gerenciamento e armazenamento de dados, focando:
Os dados devem estar localizados na UE
Os dados pessoais associados aos cidadãos da UE devem ser processados e armazenados dentro da UE, se por exemplo a empresa utilizar o serviço Amazon S3 para armazenar backups e seu armazenamento primário estiver localizado nos EUA, todos os dados que se enquadram no GDPR deverão ser movidos para um armazenamento da Amazon localizado na UE. No entanto, mais adiante no artigo, explicaremos como você pode ignorar esse requisito.
Os dados devem ser encontrados, recuperados, alterados e apagados rapidamente
A empresa deve ser capaz de pesquisar, alterar ou excluir dados sob demanda. O chamado “direito a ser esquecido” significa que a empresa deve excluir qualquer dado pessoal associado a um usuário o mais rápido possível mediante requisição. A empresa também deve estar pronta para fornecer uma lista completa de dados pessoais que processados ou armazenados, bem como a base jurídica para armazenar os dados.
A capacidade de excluir dados também ajudará ao encerrar um contrato com um processador. Nesse caso, todos os dados devem ser removidos da nuvem e o processador deve fornecer prova suficiente de que os dados foram excluídos. Se você precisar de mais informações sobre as diferenças entre “controlador de dados” e “processador de dados”, consulte nossa visão geral dos termos GDPR.
O GDPR torna problemático, e talvez impossível, armazenar backups em fita. Qualquer pessoa que tenha lidado com backups de dados em fita deve saber o quão difícil seria encontrar, alterar, excluir ou recuperar dados do usuário especificado sob demanda. Recomendamos migrar dados em fita para a nuvem.
O “Direito de ser esquecido” pode ser adiado desde que a empresa tenha o direito legal em processar ou armazenar dados pessoais, podendo guardá-los por 5 anos, devendo excluí-los após esse prazo. Esses detalhes precisam ser definidos junto a uma autoridade legal onde a empresa deve comprovar o direito legal de armazenar e processar os dados pessoais.
Impedir qualquer infração de dados a todos os custos
O ponto chave da próxima conformidade GDPR é a segurança de dados. O GDPR não indica diretamente como proteger os dados e as políticas de retenção exatas (ao contrário do HIPAA, por exemplo). Em GDPR, todas as precauções necessárias devem ser tomadas para evitar uma possível violação do dados.
Basicamente, a empresa define a retenção necessária para diferentes tipos de dados em seu contrato com usuários e processadores de dados, atenção para:
- Ao criptografar dados o acesso não autorizado fica mais difícil, lembrando que mesmo o nome dos arquivos pode ser uma questão de problema em uma violação de dados. Por exemplo, o conteúdo de um arquivo é criptografado, mas o próprio nome do arquivo revela informações pessoais, como um nome ou número de conta. Lembrando que mesmo com os nomes dos arquivos criptografados, a empresa deve ser capaz de encontrar os dados, deletá-los e alterá-lo segundo o “Direito de ser esquecido”.
- No caso de uma violação de dados, as autoridades competentes devem ser notificadas dentro de 72 horas. Os envolvidos também devem ser contactados e informados sobre o que foi violado, se os arquivos estão totalmente criptografados e a empresa tem certeza de que nenhum assunto é afetado, basta entrar em contato com as autoridades. Nota: deve-se notificar os assuntos afetados de uma violação de dados onde os dados poderiam causar danos à segurança da informação do assunto.
Rastreamento de e-mails precisa atenção
Quem utiliza serviços de rastreamento de e-mail como Yesware ou Pipedrive também devem ficar atentos. As autoridades responsáveis pelo regulamento GDPR expressaram a opinião de que o rastreamento de e-mails exige que os destinatários tenham optado pela coleta de dados de rastreamento. Apesar de não estar no mesmo nível da GDPR em si, essas opiniões são geralmente levadas em consideração ao se resolver disputas.
Como a HF pode ajudar
A solução de backup que utilizamos possui uma série de recursos que podem ajudar sua empresa a alcançar e manter a conformidade.
Controle de local de armazenamento flexível para conformidade
Trabalhamos com os dois principais fornecedores de armazenamento em nuvem do mercado (Microsoft Azure e Amazon AWS), ambos datacenters em todas as regiões do mundo, incluindo a União Européia. A seleção de um desses fornecedores de armazenamento na nuvem facilita a migração de dados para a UE, quando estiverem alocados fora da UE.
Nota: não é preciso necessariamente recarregar todos os dados e mover a localização de armazenamento, se o usuário tiver dado “permissão explícita” para armazenar e processar dados no exterior, há compatibilidade com GDPR. Sugerimos consultar um advogado para isso.
Criptografia para proteger os dados
Nossa solução suporta alguns tipos diferentes de criptografia o que torna o acesso aos dados praticamente impossível em casos de violação de dados:
- Criptografia do conteúdo de arquivos com chaves de criptografia controladas pelo cliente.
- Criptografia do lado do servidor para criptografar os dados em repouso.
- Criptografia de nome de arquivo para armazenamento local e na nuvem.
- Conexões seguras e criptografadas entre a nossa solução e o armazenamento em nuvem.
Proteção contra ameaças Ransomware
O ransomware (veja nossa publicação Ransomware, tudo sobre a mais temida ameaça digital) é uma das ameaças mais graves para a segurança de dados hoje. Um ataque de ransomware em arquivos pode levar a corrupção de backups da nuvem, que é considerada uma violação de dados no GDPR.
Nossa solução monitora os backups de arquivos para ver quais foram alterados por criptografia, quando encontrados, esses arquivos não substituirão os bons backups, garantindo um ponto de recuperação, mesmo no caso de um ataque de malware.
Pesquisar dados internos de backups e eliminar rapidamente
Sempre que o proprietário dos dados pessoais optar por exercer o “direito a ser esquecido” ou exigir que todas as suas informações pessoais sejam excluídas, temos um recurso de pesquisa para encontrar arquivos e pastas que precisam ser excluídos. É importante entender que para ficar em conformidade, é necessário saber onde e como os dados pessoais são armazenados.
Recomendamos o suporte e consultoria de uma empresa confiável para realizar uma auditoria informativa de todos os processos de dados que devem estar em conformidade com GDPR. A HF fornece soluções de backup em nuvem há mais de 05 anos, entendemos de segurança de dados e estamos prontos para ajudá-lo, faça contato com nossos especialistas.
Atualizado em 27/02/2018 às 10:32.