Views: 409
0
0
0
0
Read Time:3 Minute, 59 Second
Você leu direito: a aplicação do GDPR está em chamas! Embora as multas nem sempre sejam particularmente altas, nossa análise mostra que, em termos de volume, as autoridades de proteção de dados (DPAs) estão aumentando rapidamente suas atividades de execução do GDPR. Algumas tendências interessantes também estão surgindo:
- Os DPAs cobraram 190 multas e penalidades até o momento. Com 43 decisões de execução tomadas até agora, a Espanha lidera o grupo como o regulador mais ativo da Europa, seguido por Romênia (21) e Alemanha (18). O Reino Unido impôs a maior quantidade total de multas – mais de 315 milhões de euros – se as multas da British Airways e da Marriott forem mantidas após recurso. A seguir estão a Comissão Nacional de l’Informatique et des Libertés, com pouco mais de € 51 milhões em multas, e a DPA da Alemanha, em quase 25 milhões de euros.
- Falhas na governança de dados, não segurança, desencadeiam o maior número de multas e penalidades. Os DPAs têm agido principalmente contra a violação do artigo 5º ( princípios de processamento de dadospessoais) e do artigo 6º ( legalidadedo processamento). Essas regras contêm princípios fundamentais de governança de dados, como precisão e qualidade de dados e equidade de processamento, quando as empresas coletam e processam a quantidade mínima de dados necessários para um propósito específico e claramente definido. As empresas lutam muito para atender aos requisitos em torno do consentimento e de outras bases legais disponíveis.
- As brechas fazem a bola rolar, mas são apenas um ponto de partida. Muitos profissionais de segurança e risco (S&R) e privacidade esperavam que as infrações de segurança e notificações de violação perdidas fossem os principais gatilhos da aplicação do GDPR. Os DPAs realizaram cerca de 50 ações por violação do artigo 32º (requisitosde segurança) e algumas mais relacionadas à não denúncia de violações. Esses casos mostram que um incidente de segurança real é apenas o ponto de partida para determinar multas. As investigações que seguiram algumas das maiores violações da era pós-GDPR se concentraram não apenas nas condições específicas da violação, mas também destacaram “maus arranjos de segurança”. Procedimentos adequados de autenticação – ou a falta deles – têm sido o foco dos DPAs desde a primeira ação de execução em 2018.
- Dados comprometidos de um único cliente podem ser caros. Os DPAs avaliam o impacto de uma brecha, não apenas seu volume. Por exemplo, o regulador de proteção de dados da Espanha multou dois provedores de telecomunicações, cada um deles com um único cliente. Uma telco divulgou erroneamente credenciais de terceiros a um cliente, permitindo que o cliente tenha acesso a dados confidenciais de terceiros. Este único evento custou ao provedor €60.000. O DPA multou outro provedor de telecomunicações de quase € 40.000 por processar os dados de um único cliente sem o seu consentimento. Um hospital na Alemanha também foi multado em € 105.000 por violações do GDPR associadas ao uso indevido de dados de um único paciente.
- O não respeito aos direitos dos indivíduos levará à próxima onda de multas e penalidades. Forrester espera que a próxima onda de aplicação venha de não abordar os direitos de privacidade dos indivíduos. A maioria das ações de execução atuais refere-se a solicitações de acesso a dados e exclusão de dados. Por exemplo, uma empresa imobiliária alemã que , entre outros problemas, arquivou dados de clientes de uma forma que não permitia a exclusão de dados foi multada em € 14,5 milhões. A aplicação até o momento veio principalmente de solicitações dos clientes, mas as ações de execução das solicitações dos funcionários também estão aumentando. A Comissão búlgara de Proteção de Dados Pessoais multou um empregador por uma resposta atrasada e incompleta ao pedido de acesso de um empregado.
- Gestão de riscos de terceiros é a próxima grande coisa na arena de privacidade. A gestão de riscos de terceiros não é novidade para profissionais de S&R e privacidade, mas eles só agora estão começando a ver como terceiros afetam seu programa de privacidade. Terceiros que não seguem as mesmas políticas de privacidade que você faz podem destruir não apenas seu programa de privacidade, mas também sua marca, a confiança de seus clientes e seu ecossistema parceiro. De fornecedores a subcontratados a fornecedores de dados aos parceiros com os seus parceiros com os seus parceiros, é evidente que o risco de terceiros tem implicações de longo alcance para a privacidade. As práticas atuais de due diligence não vão cortá-lo. Não seja pego de surpresa. Em vez disso, procure maneiras de misturar tecnologia, conhecimento saqueado e dados e insights externos com seus pares de S&R para automatizar a gestão de terceiros para privacidade.
FONTE: ZDNET