Em minha publicação anterior, explicamos como a Veeam, uma empresa sediada na Suíça que possui muitos clientes europeus, precisa estar em conformidade com a GDPR, assim como muitas outras empresas que cuidam de dados de cidadãos europeus.
Eu também havia prometido que icompartilharia o que aprendemos para ajudar vocês com o processo de conformidade. Vamos relembrar dos 5 princípios fundamentais:
- Tenha conhecimento dos seus dados
- Gerencie seus dados
- Proteja seus dados
- Documentação e conformidade
- Melhoria constante
Hoje, eu quero detalhar o primeiro princípio: Conheça seus dados.
O primeiro passo essencial que você precisa dar é determinar se sua organização possui informações de identificação pessoal (PII) de algum residente da UE. Conversei com várias organizações que acreditavam não possuir esses dados. Entretanto, após nos aprofundarmos um pouco mais, rapidamente percebemos que eles portavam essas informações, sendo afetados diretamente pela conformidade com a GDPR.
As informações de identificação pessoal são uma categoria muito ampla de informações. É QUALQUER dado que possa ser usado para identificar um indivíduo. Geralmente, concentra-se em torno de informações óbvias como nome, dados de contato ou fotos; mas a PII também inclui muitas outras formas de dados. Sem tentar fornecer uma lista abrangente, a PII também inclui endereços IP, dados de localização através de aplicação, formulários de feedback, dados de programas de recompensa e muito mais. O artigo 2(a) define PII da seguinte maneira:
Dados pessoais são qualquer informação relacionada a uma pessoa identificável ou identificada (“titular dos dados”); uma pessoa identificável é uma pessoa que pode ser identificada, diretamente ou indiretamente, particularmente por referência a um número de identificação ou um ou mais fatores específicos de sua identidade física, fisiológica, mental, econômica, cultural ou social.
Não é importante determinar apenas a presença de PII, o GDPR também inclui normas ainda mais rigorosas para algo classificado como PII confidencial. O PII confidencial inclui dados pessoais que revelam origem étnica ou racial, opiniões políticas, crenças religiosas ou políticas, filiação sindical e dados sobre a saúde e vida sexual. Esses dados são uma categoria especial de PII que está sujeita a proteções adicionais.
Além disso, saiba que você deve considerar mais do que apenas os dados externos ou de clientes. Dentro de sua organização, os dados de seus funcionários (a maior parte no RH) também são categorizados como PII. Se você contrata funcionários europeus, isso significa que você precisa estar ciente de seus dados.
Por último, mas não o menos importante, você deve saber quem tem acesso a esses dados e onde eles estão localizados.
Certamente isso é mais fácil de falar do que fazer. Uma das abordagens pode ser usar uma solução técnica que pode mapear seus dados. Essas soluções são tão eficazes quanto suas políticas de definição. Algumas soluções evoluem de acordo com a coleta e análise de dados, adicionando definições extras para melhorar resultados, enquanto outras dependem de ajustes manuais. Nos dois casos, é de suma importância que as soluções tenham capacidade de descobrir e mapear TODOS os seus dados.
A Veeam passou pelo processo de criação de pesquisas específicas (adaptadas para cada unidade de negócios) e as enviou para organizações do mundo todo. Alguns exemplos dessas pesquisas estarão disponíveis em nosso próximo white paper, assim você pode adaptá-las a suas necessidades e usá-las internamente para fazer o mesmo exercício.
Uma dica importante: você deve incluir todas as unidades operacionais, inclusive unidades regionais e as que não são da UE. Por exemplo: nossa equipe de marketing regional na América do Norte também teve que realizar a pesquisa. Como são responsáveis por eventos na América do Norte, eles possuem dados de cidadãos europeus que atravessam continentes para participar desses eventos.
Outro fator adicional para se notar é que, à medida que você estabelece procedimentos para entender seus dados, é importante criar fluxogramas que mapeiem o fluxo dos dados PII por toda a sua organização e seus parceiros terceirizados. Provavelmente, algumas das soluções tecnológicas que você já possui podem fazer isso pra você, automaticamente. No caso da Veeam, o Veeam Availability Platform pode lhe fornecer uma visão completa do seu ambiente de backup e do fluxo desses dados.
Conclusão
Conhecer seus dados é um dos primeiros, e talvez mais importantes, passos a dar. Muitas organizações não têm noção dos dados que possuem, a variedade e amplitude desses dados, e onde eles estão localizados. Se você tem um bom conhecimento e compreensão de seus dados, os próximos passos se tornam mais fáceis.
