Preparando-se para saber como o GDPR pode ser bom para os negócios
Publicados: 2018-05-24Privacidade e proteção de dados não são apenas chavões. São preocupações sérias do consumidor, impulsionadas por um número crescente de violações de dados e ameaças à segurança cibernética - que então comprometem as informações pessoais dos consumidores e corroem a confiança deles.
De acordo com a pesquisa de privacidade e segurança de dados da RSA, que entrevistou 7.500 pessoas em cinco países, os consumidores relatam que estão prestando mais atenção às violações de segurança online. E eles estão responsabilizando as empresas quando suas informações são roubadas.
Aqui estão duas descobertas principais dessa pesquisa:
- 73% dos entrevistados estão mais cientes das violações de dados do que há cinco anos.
- 62 por cento disseram que culpariam a empresa que perdeu seus dados antes de culpar os hackers.
Em geral, os consumidores estão mostrando que estão se tornando mais protetores com sua privacidade digital. Lembre-se de que uma violação de dados do consumidor não precisa implicar em roubo premeditado ou violação em massa de informações privadas. Quando um terceiro compra a lista de assinantes de e-mail de uma empresa e envia e-mails não solicitados para essa lista, isso também pode constituir uma violação de dados.
Nenhuma dessas atividades agradam aos consumidores, e os sentimentos dos consumidores estão forçando as empresas a repensar a forma como protegem os dados dos consumidores online.
Esses sentimentos também estão forçando os governos a adotar uma abordagem mais ativa na regulamentação da proteção das informações do consumidor. Alguns governos estão começando a promulgar leis que dão aos consumidores mais propriedade sobre seus dados, independentemente de quem os armazena.
Um desses regulamentos é o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, que entra em vigor em 25 de maio de 2018. Este padrão de proteção de dados - projetado para capacitar os consumidores para que possam conceder ou negar consentimento sobre quem pode acessar seus dados - apresenta sérios desafios para empresas de comércio eletrônico.
Mas é um desafio que as empresas devem acolher como uma oportunidade de estreitar o relacionamento com os consumidores.
Se os consumidores são mais propensos a culpar uma empresa pelas violações de dados, eles também podem elogiar uma empresa que trabalha com eles para proteger seus dados. Portanto, as organizações deveriam mostrar que desejam proteger seus consumidores trabalhando rapidamente para a conformidade com o GDPR.
O escopo do GDPR
O Regulamento Geral de Proteção de Dados padroniza as leis de proteção de dados em todos os 28 estados membros da União Europeia. O principal objetivo do regulamento é criar uma proteção mais consistente dos dados do consumidor nos países da UE.
O GDPR é um regulamento muito abrangente, contendo mais de 200 páginas e mais de 90 artigos. Nate Lord, da Digital Guardian, identifica alguns dos principais requisitos do GDPR que terão um impacto significativo nas empresas:
- Consentimento para processamento de dados
- Dados anônimos e transparentes
- Notificações de violações de dados
- Direito de apagar
- Diretores de proteção de dados
- Penalidades por não conformidade
Como a MarTech Today observa, em seu núcleo as proteções GDPR impõem processos e comunicações claras e concisas, que são feitas com o consentimento explícito e afirmativo dos consumidores. Para esse fim, o GDPR protege qualquer informação que possa ser usada para identificar direta ou indiretamente um indivíduo. Isso inclui informações básicas de identificação, dados da web, dados de saúde, dados étnicos e opiniões políticas.
Para estar em conformidade com o GDPR, as empresas devem lidar com todos os dados pessoais dos consumidores com cuidado e fornecer aos consumidores várias maneiras de controlar, monitorar e excluir suas informações, se assim desejarem.
O GDPR se aplica a dois grupos principais de entidades:
- Firmas localizadas na UE
- Empresas não localizadas na UE que oferecem produtos ou serviços gratuitos ou pagos, ou que monitoram o comportamento de residentes da UE
Portanto, mesmo para empresas de comércio eletrônico sediadas nos EUA que vendem principalmente para consumidores nos EUA, algo tão simples como uma campanha de retargeting do AdWords poderia ser qualificada como monitorar o comportamento de residentes na UE.
Para empresas de comércio eletrônico fora da UE, então, há duas opções: Obtenha a conformidade com o GDPR ou perca completamente o acesso ao mercado consumidor da UE.
A segunda opção seria incômoda e míope. Pense em quanto trabalho seria necessário para impedir que os cidadãos da UE olhassem para as vitrines do seu site.
Em vez disso, a jogada inteligente é ficar em conformidade com o GDPR - e, consequentemente, atender às demandas dos consumidores para os quais você está fazendo marketing e vendas.
Por que o GDPR é bom para comércio eletrônico
Kris Lahiri, cofundador e diretor de segurança da Egnyte, diz que o GDPR dá aos consumidores um controle significativamente maior sobre os dados que confiam às empresas.
A ideia-chave aqui é “confiança”: o GDPR pretende definir novas regras básicas para as relações entre empresas e consumidores e, nesse novo cenário, o sucesso das vendas diretas ao consumidor dependerá da capacidade do varejista de demonstrar confiabilidade. Como vimos, quase dois terços dos consumidores argumentam que a responsabilidade pela proteção dos dados recai sobre a empresa que os coleta. Levando essa responsabilidade tão a sério quanto a lei exige, os varejistas online podem demonstrar sua confiabilidade aos consumidores.
Novamente, o GDPR não é simplesmente uma medida de segurança de dados. Esta é uma lei progressiva que obriga as empresas a honrar os direitos dos consumidores da UE à propriedade dos seus próprios dados. Esta lei diz, entre outras coisas, que um cidadão da UE tem o direito de não ser alvo de mensagens de marketing sem antes optar por essa conversa.
Em setores como o comércio eletrônico, em que a lealdade do consumidor deve ser conquistada ao longo do tempo, honrar o direito do consumidor à privacidade não é apenas uma coisa boa.
É um elemento fundamental de confiança.
Analisando números: o caso de negócios para ser proativo em relação à conformidade
A carga de trabalho para que as empresas se tornem compatíveis é potencialmente pesada, dependendo das estruturas e processos de segurança atuais de uma organização e de quão divergentes são do GDPR. A conformidade com o GDPR também pode ser muito cara para as empresas. De acordo com uma pesquisa da Propeller Insights de março de 2018, 36% das empresas planejam gastar entre US $ 50.000 e US $ 100.000 em esforços de conformidade com o GDPR. Outros 24% gastarão entre US $ 100.000 e US $ 1 milhão.
Mas esses investimentos monetários podem ser insignificantes em comparação com a perda de negócios se os consumidores perderem a confiança em uma organização. Ter sua privacidade online protegida é fundamental para os consumidores, e eles têm o poder de prejudicar as empresas que não estão fazendo o suficiente para protegê-los.
Ao fazer esforços para conformidade com o GDPR, as organizações podem transformar a regulamentação em práticas comerciais sólidas que podem ser usadas para construir melhores relacionamentos com os consumidores.
Além disso, de uma perspectiva de negócios, investir tempo e dinheiro antecipadamente para conformidade pode economizar o dinheiro das empresas a longo prazo, evitando violações dispendiosas. De acordo com o estudo de custo de violação de dados de 2017 do Ponemon Institute, o custo médio de uma violação de dados é de US $ 3,62 milhões. É uma quantia significativa de dinheiro para uma causa evitável.
Ao implementar os requisitos de segurança do GDPR, as empresas podem estar gastando uma quantia de cinco dígitos agora para evitar ter que pagar uma quantia de sete dígitos posteriormente.
Como se preparar para a conformidade com o GDPR
A preparação para o GDPR varia de acordo com a organização, mas aqui estão algumas etapas básicas que as empresas de comércio eletrônico podem seguir para seguir na direção certa.
1. Envolva todas as partes interessadas
A primeira coisa a fazer é criar uma força-tarefa GDPR que inclua membros da equipe de todos os níveis da organização. Qualquer grupo dentro da empresa que coleta, analisa, processa ou de outra forma interage com os dados do consumidor deve ser incluído. Esses membros da equipe podem compartilhar facilmente qualquer informação que possa ser útil para implementar as mudanças necessárias para conformidade com o GDPR, bem como lidar com o impacto para suas respectivas equipes.
Para motivar a força-tarefa, Peter Beshar, da Marsh & McLennan, incentiva as empresas a estabelecer um tom de conscientização e urgência no nível executivo que se estende por toda a organização e promove a importância da conformidade.
Personalize o regulamento para mais impacto. Ninguém quer que suas informações privadas sejam comprometidas. Use esse ângulo ao enfatizar a importância da conformidade. Ao torná-lo pessoal, os membros da sua equipe compreenderão melhor o valor do trabalho necessário para tornar a organização compatível.
O GDPR é extenso. Todas as partes interessadas precisam ser treinadas sobre os requisitos do GDPR, o que envolve o desenvolvimento de sessões de treinamento, fornecimento de recursos informativos e consultoria regular aos funcionários, explica David Lat, editor fundador da Above the Law. É crucial que as informações sejam apresentadas de uma forma que todos possam entender e digerir os materiais, portanto, imagens como pôsteres e vídeos podem ser ótimas ferramentas para explicar os meandros do GDPR.
2. Implementar uma ferramenta SIEM
O GDPR exige que os controladores rastreiem e registrem todas as atividades de processamento sob suas responsabilidades, e a maioria das organizações utiliza uma ferramenta de gerenciamento de eventos e informações de segurança (SIEM) para fazer isso, observa Javvad Malik, defensor de segurança da empresa de segurança da informação AlienVault.
Uma ferramenta SIEM coleta dados de uma rede de sistemas de hardware e software e analisa os dados em tempo real para correlacionar eventos e detectar anomalias ou padrões de comportamento que podem indicar uma violação de segurança, explica o escritor de tecnologia Paul Rubens em um relatório para eSecurity Planet. As ferramentas SIEM gerenciam logs de segurança em vários dispositivos, identificando ameaças, prevenindo e detectando violações e fornecendo evidências forenses para determinar como um evento de segurança ocorreu e seu impacto potencial, Rubens observa.
Antes de implementar uma ferramenta SIEM, certifique-se de criar um inventário de todos os ativos críticos que têm acesso às informações pessoais dos consumidores, sugere Malik. E não se esqueça de incluir dispositivos móveis no inventário. Uma pesquisa da empresa de segurança móvel Lookout, Inc. mostra que 63 por cento dos funcionários da empresa acessam dados de clientes, parceiros e funcionários em um dispositivo móvel.
O conhecimento dessas informações garante que todos os sistemas necessários sejam incluídos para a coleta de dados por um sistema SIEM.
3. Realizar avaliações de risco
Em um sentido muito amplo, os regulamentos do GDPR exigem que as empresas implementem medidas de segurança adequadas aos riscos enfrentados por seus sistemas. Os regulamentos propositalmente não definem o risco, deixando para a organização determinar a melhor forma de abordar o risco e atingir a conformidade com o GDPR.
Uma avaliação de risco completa inclui a identificação de riscos e a criação de planos de mitigação para combater os riscos identificados. Matt Middleton-Leal, gerente geral EMEA da empresa de conformidade e segurança cibernética Netwrix, sugere algumas etapas para as empresas em seus esforços para realizar avaliações de risco:
- Revise os padrões de conformidade alternativos para inspiração (por exemplo, PCI, DSS).
- Classifique os dados para que todos conheçam e entendam todos os pontos de dados e sua sensibilidade.
- Identifique riscos específicos e avalie-os em uma relação risco / benefício.
- Avalie continuamente.
É melhor consultar sua equipe jurídica durante todo o processo de conformidade com o GDPR, mas nesta etapa em particular, o jurídico pode ser um parceiro crucial. O departamento jurídico pode ajudar a orientar sua avaliação de risco, ajudar no planejamento contínuo e verificar continuamente sua conformidade.
4. Implementar controles de detecção de ameaças
O GDPR exige que as empresas relatem violações de segurança dentro de 72 horas. Para atender a essa demanda, as organizações devem ter os controles de detecção de ameaças adequados para disparar alertas imediatos quando ocorre uma violação. Os controles devem ser suficientes para permitir a resposta dentro dessa pequena janela de tempo.
Sara Pan, da empresa de segurança de dados Imperva, sugere fazer perguntas como:
- “Quem está acessando os dados?”
- “O acesso é apropriado para o usuário?”
- “Como podemos alcançar a resposta de incidência mais rápida?”
A detecção de ameaças não é um processo de definir e esquecer. Requer monitoramento contínuo para ameaças internas e externas, por isso é importante que as empresas também configurem processos para avaliações contínuas e tenham um plano detalhado de resposta a incidentes. O plano de resposta precisa se concentrar na investigação do incidente para determinar a origem e o processo de contê-lo.
Testando regularmente esses processos e planos, as empresas estão mais bem posicionadas para responder a ameaças e ataques de maneira compatível com o GDPR.
Esta é uma chance de defender a proteção de dados do consumidor
O GDPR planeja impor penalidades monetárias a empresas que não estejam em conformidade a partir de 25 de maio de 2018. Existem dois níveis de multas que as organizações precisam conhecer e são explicados com mais detalhes em GDPREU.org.
- Nível inferior: até € 10 milhões ou 2% da receita anual mundial do ano financeiro anterior, o que for mais alto.
- Nível superior: até € 20 milhões ou 4% da receita anual mundial do ano financeiro anterior, o que for mais alto.
Embora as multas sejam pesadas, o foco das empresas precisa ser mais na implementação de processos adequados para garantir a proteção e privacidade dos dados, não tomando atalhos apenas para evitar penalidades. Ao tentar contornar os processos apenas para evitar multas, as organizações arriscam a ira não apenas das agências reguladoras, mas também dos consumidores que as mantêm nos negócios. O GDPR não foi aprovado para punir empresas, mas para proteger os consumidores.
Com esse objetivo em mente, as organizações devem ser motivadas a mostrar aos consumidores que se preocupam com a proteção de informações privadas e estão dispostas a adotar medidas de segurança que atendam aos melhores interesses dos consumidores. Toda a energia e recursos gastos em conformidade valerão a pena quando os consumidores estiverem mais dispostos a fazer negócios com as empresas em que confiam.
Mas vai exigir um esforço dedicado das empresas. Com o prazo final de 25 de maio se aproximando, as organizações precisam buscar ativamente a conformidade com o GDPR.
Isenção de responsabilidade: esta publicação não constitui nenhum tipo de aconselhamento jurídico e não deve impedir que você obtenha seu próprio aconselhamento jurídico de um advogado qualificado. Além disso, este artigo não é um documento legalmente vinculativo e não é para execução. O conteúdo fornecido neste artigo está sujeito a alterações e não reflete em sua totalidade os requisitos da legislação aplicável. Ao fornecer esta publicação, Scalefast não faz nenhuma representação de que executará qualquer documento legalmente vinculativo e se reserva o direito de retirar-se das discussões sem incorrer em qualquer tipo de responsabilidade a qualquer momento.
Imagens por: Comfreak, rawpixel.com, Free-Photos