GDPR – Início de uma nova era na proteção de dados

O novo Regulamento Geral de Proteção de Dados da Europa (GDPR) introduz novas obrigações para empresas que coletam, utilizam ou processam informações pessoais de cidadãos da União Européia. Devido às pesadas multas que podem resultar do não cumprimento dessas novas regras, a conformidade com o GDPR deve ser uma prioridade máxima para todas as organizações que fazem negócios na Europa.

Ao contrário das leis europeias de proteção de dados anteriores, o GDPR aplica-se a qualquer empresa que recolha ou processe informações pessoais de cidadãos da UE, mesmo que a empresa esteja sediada fora da EU.

  • As empresas deverão obter o consentimento dos individuos antes de coletar ou processar dados pessoais.
  • Os indivíduos podem solicitar que suas informações pessoais sejam excluídas do banco de dados de uma empresa e inclusive solicitar cópias de seus dados.
  • As empresas devem notificar as autoridades e os indivíduos afetados dentro de 72 horas após a violação de dados, a menos que os dados comprometidos sejam protegidos por criptografia ou recursos similares.
  • As empresas deverão ter um Diretor de Proteção de Dados para supervisionar a conformidade com o GDPR
  • As empresas devem criar proteção de dados em seus produtos e serviços “por design e por padrão”
  • As autoridades de supervisão têm o poder de multar as organizações em até 4% de sua receita anual bruta por violações e podem impor obrigações de auditoria e relatório mais apurados após uma violação.

A importância da criptografia para atender aos requisitos GDPR

A criptografia permite combinar descoberta, classificação e proteção de dados em um único fluxo de trabalho, oferecendo controle de toda a organização sobre informações pessoais e outras formas de dados confidenciais.

É importante que a solução de criptografia adotada permita acesso a dados sensíveis no momento em que são criados ou salvos. Ter acesso aos dados mesmo quando copiados ou movidos para outros dispositivos, servidores de arquivos ou sistemas externos. Ideal também que a solução de criptografia permita mover, colocar em quarentena, mascarar ou excluir dados confidenciais com base em suas obrigações de conformidade e políticas de segurança.

Considerando os requerimentos GDPR:

  • Segurança do processamento de dados (Artigo 32) – As organizações devem ser capazes de demonstrar que adotaram “medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado ao risco”, incluindo a criptografia de dados pessoais.
  • Notificações de violação de dados (Artigo 34) – As organizações devem notificar as autoridades de supervisão e os indivíduos afetados dentro de 72 horas após a violação de dados. No entanto, as organizações estão isentas do requisito de notificar os indivíduos se os dados roubados forem protegidos com criptografia.
  • Proteção de dados por design e por padrão (Artigo 25) – As organizações devem “adotar políticas internas e implementar medidas que atendam em particular aos princípios de proteção de dados por design e proteção de dados por padrão”, que deverão ser considerados ao “desenvolver, projetar, selecionar e usar aplicativos, serviços e produtos”.
  • Direito ao esquecimento (Artigo 17) – A pedido de um cidadão da UE, o responsável pelo tratamento de dados “tem a obrigação de apagar os dados pessoais sem demora injustificada”, a menos que sejam aplicadas determinadas condições especiais. As organizações também são obrigadas a solicitar a remoção das informações do titular dos dados de quaisquer parceiros de negócios com os quais compartilharam os dados.

A SCI apresenta o PKWARE Smartcrypt, projetado com a máxima flexibilidade, permitindo que as organizações implementem rapidamente soluções que atendam aos seus requisitos exclusivos de proteção de dados.

Agentes Smartcrypt são instalados em cada dispositivo que será utilizado para acessar ou armazenar informações confidenciais. Os agentes monitoram a atividade de arquivos e detectam dados confidenciais assim que são criados ou salvos. Depois de detectar informações confidenciais, o Smartcrypt toma medidas (que podem incluir marcação, criptografia, exclusão ou outras opções) com base nas diretivas de segurança da organização.

O console de gerenciamento Smartcrypt permite que os administradores criem e apliquem políticas de criptografia em toda a organização. Além disso, o kit de desenvolvimento do Smartcrypt permite que as organizações criem criptografia em seus aplicativos proprietários com apenas algumas linhas de código.

Ao contrário das soluções que aumentam o tamanho dos arquivos após a criptografia, o Smartcrypt usa a melhor tecnologia de compactação do mercado para reduzir os volumes de dados antes da criptografia, resultando em menores custos de armazenamento e transmissão de dados.

Quer saber mais informações sobre como adequar-se aos requerimentos GDPR e outras informações de segurança da informação? Entre em contato conosco.