É preciso atenção com regulamentação de proteção de dados

Ações já começaram a acontecer na Europa. Em solo nacional, empresas têm 18 meses para se adaptar ao LGDP. Você já está nessa jornada?

Author Photo
9:54 am - 28 de setembro de 2018

O Regulamento Geral de Proteção de Dados  (GDPR – na sigla em inglês) entrou em vigor no final de maio de 2018, dando poderes sem precedentes aos reguladores. De auditorias regulatórias em andamento a pesadas multas e uma série de novos requisitos de privacidade, o GDPR é a mudança mais dramática na proteção de dados e governança nos últimos 20 anos. Em solo nacional, a Lei Geral de Proteção de Dados (LGPD) também chegou para mudar as regras do jogo quando o assunto é privacidade.

Algumas empresas ainda estão concluindo seus planos de preparação, outras estão apenas esperando para ver o que acontece a seguir, e muitos estão se perguntando por que os reguladores ficaram tão quietos nos últimos três meses. Porém, enquanto as autoridades de proteção de dados (DPAs) destacam que as investigações dessa natureza levam meses para serem concluídas, mesmo em casos de infrações claras, há muita atividade em andamento, segundo Enza Iannopollo, analisa da Forrester.

A consultoria indica que as ações de execução já começaram e cita alguns exemplos. A DPA do estado de Schleswig-Holstein (Alemanha), por exemplo, emitiu a primeira ação de execução. De acordo com a GDPR, ela proibiu uma empresa de coletar e processar dados adquiridos por uma webcam conectada à internet. O regulador julgou a intrusão da privacidade dos indivíduos desproporcional para alcançar o interesse legítimo da empresa que opera a webcam. Eles agora estão fora para investigar organizações que usam o “Facebook Insights” como parte de seus sites, como páginas de fãs.

Os reguladores do Reino Unido também estão usando os novos poderes do GDPR. Eles já relataram inúmeras atividades relacionadas a avaliações e auditorias das práticas de proteção de dados das empresas.

Os reguladores europeus estão coletando um grande número de notificações de violação de dados. Só o regulador irlandês recebeu mais de mil nos dois primeiros meses de execução do GDPR. Nem todas as notificações acionam ações de fiscalização, mas algumas certamente o farão.

Proteção de dados

Os consumidores já registraram milhares de reclamações de proteção de dados. O regulador do Reino Unido recebeu quase três vezes mais queixas do que no ano passado. Os relatórios dos consumidores sobre as más práticas das empresas com seus dados pessoais são uma maneira óbvia de iniciar auditorias regulatórias, investigações e gerar grandes multas.

Com esse tipo de atividade mantendo os reguladores ocupados, é apenas uma questão de tempo até vermos severas ações de fiscalização e multas. Firmas céticas que não fizeram nada para se preparar para o GDPR, esperando por falta de fiscalização, devem agir agora. É preciso criar um roteiro para atender aos requisitos e iniciar com o mapeamento de fluxo de dados.

Além das infrações reais, os reguladores também estarão dispostos a sancionar fortemente as empresas por inatividade ou ignorância sobre os riscos de privacidade e segurança. As companhias que estão concluindo seus planos de preparação para o GDPR devem mudar para conformidade contínua.

GDPR, uma jornada

O GDPR não é um exercício único. Em vez disso, é uma jornada contínua e, como tal, exige descoberta e classificação contínuas de dados, avaliações automatizadas de riscos (incluindo avaliações de impacto de proteção de dados), due diligence dinâmica em terceiros, etc.

A maior perda potencial não é uma multa grande de GDPR; será a oportunidade perdida de usá-lo como uma poderosa alavanca para aumentar a confiança do cliente e impulsionar o crescimento. As empresas que foram as primeiras a adotar o GDPR consistentemente relatam melhorias em seus resultados de negócios, incluindo a experiência do cliente e as estratégias de dados. O GDPR também está incentivando as empresas a inovar e se preparar para fornecer serviços do futuro.

Por exemplo, o chefe da experiência digital do cliente de um banco do Reino Unido incluiu a privacidade e o GDPR como variáveis proeminentes na determinação da evolução futura dos serviços e experiências do cliente do banco e fez dele um elemento central de seu trabalho de design centrado no ser humano.

Uma seguradora espanhola está usando a análise de jornada do cliente para potencializar a experiência de privacidade de seus clientes e um provedor de serviços dos EUA alavancou o GDPR para atualizar sua estratégia de contato com o cliente, introduzindo uma nova disciplina na criação de perfis e preferências de clientes, o que se traduz em melhor envolvimento do cliente com mais interações relevantes e transparentes que promovem a confiança.

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.