Jaime desenvolveu um pequeno roteiro para que executivos de Segurança da Informação possam saber o que levar em conta na hora de criar um plano de atendimento aos marcos regulatórios, a partir do conceito Data Classification:
1. Atenção e consciência. Todos os funcionários – do alto escalão até a base da companhia – precisam ser amplamente orientados e conscientizados da importância dos padrões regulatórios e do papel fundamental que todos têm perante as regras e como podem atuar no processamento dos dados;
2. Inventário e responsabilidade. As empresas devem fazer um inventário de todos os dados pessoais que possuem em sua rede e fazer as seguintes perguntas:
– Por que você está com elas? Como você as conseguiu? Por que e como foi originalmente guardada? Quanto tempo você irá mantê-las? Quão seguras elas estão, tanto em termos de criptografia quanto à acessibilidade? Você já as compartilhou com terceiros e em que base você poderia fazer este compartilhamento?
3. Comunicação. Todos os avisos e comunicados sobre coleta e privacidade de dados atuais dentro da companhia devem ser revistos. Identifique possíveis lacunas entre o nível de coleta de dados, seu processamento e o nível de conhecimento e consciência sobre o assunto. Isso vale para clientes, funcionários e usuários de serviços. Olhe para a cadeia de logística e veja quais ações estão sendo aplicadas para combinar o bom trabalho e se elas estão processando alguns de seus dados;
4. Proteger o direito de privacidade. Revise os procedimentos de proteção de todos os direitos e privilégios que os indivíduos possuem, incluindo como se poderia excluir dados pessoais ou fornecer dados eletronicamente para dentro e fora da companhia. O direito de ser esquecido, por exemplo, pode entrar em conflito com outros padrões regulatórios, como, por exemplo, os registros de RH de antigos funcionários. Então, identifique quais sistemas possam ter estes dados armazenados;
5. Os direitos de acesso mudam. Revise e atualize os procedimentos e planeje como os pedidos dentro dos novos prazos serão tratados. As mudanças nas regras de acesso podem acontecer em uma questão de tempo muito curto (talvez de um dia para o outro) e devem monitoradas e controladas;
6. Compreenda a lei regulatória ao pé da letra. Isso garante que as empresas possam analisar os vários tipos de processamento de dados que realizam, identificar as suas bases legais para realizá-lo e documentá-lo;
7. Consentimento controlado. As empresas que utilizam o consentimento do cliente ao registrar dados pessoais devem avaliar como o consentimento é solicitado, obtido e gravado. Qualquer alteração dever acompanhada;
8. Dados pessoais das crianças. As organizações que processam dados de menores de idade devem assegurar que regras e sistemas estejam em vigor para verificar as idades individuais e também reunir o consentimento dos pais e responsáveis;
9. Alertar sobre as brechas. As empresas devem assegurar que os procedimentos adequados estejam disponíveis para detectar, relatar e investigar uma violação de dados pessoais. Assuma sempre que uma violação pode acontecer em algum momento e saiba procedimento correto para alertar a autoridade nacional dentro dos limites de tempo e da legislação;
10. Data Protection Impact Assessments (DPIA). O DPIA é o processo que considera sistematicamente o impacto potencial que um projeto ou iniciativa que pode ter sobre a privacidade de indivíduos. Conhecê-lo permite que as organizações identifiquem potenciais problemas de privacidade antes deles surgirem e que elas possam criar uma maneira de mitigá-los;
11. Contratar agentes de proteção de dados. O importante é garantir que alguém na organização ou um consultor externo de proteção de dados se responsabilize pela conformidade a partir da proteção de dados e que possa entender a responsabilidade de dentro para fora da organização;
12. Capacite as equipes sobre padrões regulatórios. O regulamento inclui uma disposição "one-stop-shop" – tudo em um só lugar – para auxiliar as organizações submetidas aos padrões regulatórios globais. As organizações multinacionais terão o direito de lidar com uma autoridade de proteção de dados, ou a Autoridade Supervisora Líder (LSA) como seu único órgão regulador no país onde elas são principalmente estabelecidas;
“Como visto nesta lista comentada”, diz ele, “os administradores da segurança de dados devem debater com seus colegas os meios de colocá-la em pratica. Certamente, as novas tecnologias disponíveis podem ajustar neste processo”.