Empresas pensam estar em conformidade com regulamentação de dados

Segundo estudo realizado pela Veritas Technologies empresas em todo o mundo acreditam erroneamente estarem em conformidade com a nova regulamentação de dados General Data Protection Regulation (GDPR).

De acordo com o relatório, quase um terço (31%) dos entrevistados afirmou que a empresa está em conformidade com as principais exigências da nova legislação. No entanto, ao serem indagados sobre requisitos específicos da GDPR, as respostas dadas pela maioria indicaram que as empresas não estão em linha.

De fato, uma investigação mais detalhada mostrou que somente dois por cento dessas empresas parecem estar em conformidade com a nova legislação, revelando assim uma clara falta de entendimento sobre o nível de preparação para a GDPR.

Segundo o relatório, quase metade (48 %) das empresas que afirmam estar em conformidade ainda não possuem visibilidade total em relação a incidentes de perda de dados pessoais.

Além disso, 61 % dessas empresas admitiram ser difícil identificar e comunicar violações de dados pessoais em até 72 horas após a descoberta do incidente – um dos requisitos obrigatórios da GDPR em relação aos riscos para os titulares dos dados.

Falhas na comunicação de perda ou roubo de dados pessoais – como registros médicos, endereços de e-mail e senhas – à agência reguladora dentro do prazo mencionado acima constitui-se em violação deste importante requisito.

Direito ao esquecimento na regulamentação de dados

Segundo a GDPR, os residentes da UE terão o direito de solicitar a remoção dos seus dados pessoais do banco de dados de uma empresa. No entanto, a pesquisa da Veritas constatou que muitas empresas que admitiram já estar em conformidade com a legislação não conseguem buscar, encontrar e nem apagar dados pessoais em resposta a solicitações de “direito ao esquecimento”.

Um quinto (18 %) das empresas que acredita estar preparadas para a GDPR admitiu que dados pessoais não podem ser apagados ou modificados. Outras 13 % afirmaram não ter as condições necessárias para buscar e analisar dados pessoais para a identificação de referências explícitas e implícitas sobre um determinado indivíduo.

Além disso, afirmaram não serem capazes de visualizar com precisão o local de armazenamento dos seus dados. Isso porque, suas fontes e repositórios de dados não são claramente definidos.

Essas deficiências tornam qualquer empresa incompatível com a GDPR. Assim, empresas devem garantir que os dados pessoais sejam utilizados somente para os propósitos para os quais foram coletados, e que os mesmos sejam delatados quando não forem mais necessários.