GDPR: Lição 2, GERENCIE Seus Dados

Vamos continuar nossa jornada, que foi iniciada nas duas publicações anteriores. Na primeira publicação, apresentamos um panorama geral da jornada da Veeam rumo à conformidade com GDPR e compartilhamos as 5 lições que aprendemos. Na segunda publicação, nós detalhamos o primeiro desses cinco princípios.

  1. Tenha conhecimento de seus dados
  2. Gerencie seus dados
  3. Proteja seus dados
  4. Documentação e conformidade
  5. Melhoria constante

Agora, vamos dar uma analisada no segundo princípio: Gerencie seus dados.

Se você concluiu as tarefas do primeiro princípio e identificou as informações de identificação pessoal (PII) que possui e onde elas residem, agora você pode começar a estabelecer regras e procedimentos para o acesso e uso desses dados PII.

As principais perguntas aqui são:

  1. Quem tem acesso a essa informação (e sabe quando estão sendo acessadas)?
  2. Por que eles acessam essa informação?
  3. Com qual finalidade?

Através desse processo, nós aprendemos que existem muitos departamentos distintos dentro de sua organização, cada um processando e gerenciando dados PII por motivos específicos. Isso inclui os departamentos de marketing, vendas e recursos humanos. Sendo que um dos departamentos mais cruciais entre esses é o de recursos humanos. Alguns dos dados que o RH possui ou obtém de seus funcionários não são considerados apenas dados PII, mas dados confidenciais PII. Isso acarreta medidas e proteções rigorosas de segurança. Nós aprendemos que o RH precisa receber atenção especial em relação ao gerenciamento de dados.

Gerenciar nossos dados é algo que não fazemos de forma totalmente interna. A Veeam se associou a fornecedores terceirizados para gerenciar esses dados específicos. Certifique-se de analisar a conformidade com GDPR dessas empresas terceirizadas ao estabelecer uma parceria com eles, e também de estar ciente de que isso ainda precisa fazer parte dos seus processos e fluxos de trabalho. Você se torna responsável pelos dados, estejam eles em posse de fornecedores terceirizados ou não.

Quem, o que e por quê?

Não é surpresa que, depois de compreender e classificar a dimensão total de seus dados organizacionais, muitas empresas percebem que o acesso a esses dados não é gerenciado cuidadosamente. Se você está usando os modelos que fornecemos em nosso white paper, também já deve ter descoberto por que eles acessam as informações e o que fazem com elas (o propósito). Agora é o momento de criar esses fluxos de trabalho e procedimentos, e garantir que as pessoas só tenham acesso aos dados quando forem necessários para concluir suas funções na empresa.

Analise também seus acordos de divulgação aderidos e revise-os quando necessário. Agora o GDPR força você a relatar exatamente o que está coletando, o propósito dos dados e onde serão utilizados, e finalmente, por quanto tempo você os armazenará. Além disso, implemente o procedimento para permitir respostas às solicitações de pessoas que querem saber o que você está armazenando, bem como a possibilidade de alterações ou exclusões de seus dados.

Por último, mas não menos importante, você deve verificar as Listas de Controle de Acesso das equipes internas. Não é raro que a equipe interna de TI tenha acesso a todos os dados. Documente esse acesso e garanta que ocorram auditorias quando a TI precisar desse acesso para poder realizar seu trabalho.

Conclusão

Após ter o conhecimento do que seus dados são e onde eles estão, você precisa entender os motivos de serem usados e quem possui acesso a eles. Use soluções técnicas e faça parcerias com fornecedores terceirizados, para saber como eles lidam com a conformidade. Lembre-se de que você continua sendo o responsável pelos dados. Adapte soluções onde você pode identificar locais e adicione identificações para dados PII e PII confidenciais. Crie relatórios para ter o controle de quando alguém acessou os dados. Planeje-se para a restauração de dados. (Saber quem tem acesso a seus dados de produção não é o suficiente, quando os operadores de restauração podem recuperar tudo que quiserem). E por último, como muitas “ameaças” acontecem dentro da empresa, certifique-se de que você tem uma boa proteção física para sua infraestrutura.

Exit mobile version