Compreender os direitos fundamentais do titular dos dados e estabelecer o seu programa de privacidade de dados com a SOAR.

O O Regulamento Geral de Proteção de Dados (RGPD) global celebrou recentemente seu segundo aniversário.. Muitas organizações ainda parecem estar se adaptando à regulamentação de dois anos, à medida que começam a receber solicitações de titulares de dados — indivíduos cujas informações de identificação pessoal (IIP) foram coletadas por uma organização. O que você precisa saber sobre essas solicitações? Ao longo deste artigo, descreverei os oito "direitos fundamentais" do titular dos dados estabelecidos no GDPR e discutirei o impacto e a influência global desses direitos em organizações de todos os portes, desde pequenas e médias empresas (PMEs) até grandes corporações. E como os requisitos regulatórios e de conformidade associados a esses direitos geralmente envolvem tarefas demoradas e tediosas, explorarei como as organizações podem aproveitar uma solução de orquestração, automação e resposta de segurança (SOAR) para aumentar a eficiência e a conformidade regulatória.

Os 8 direitos do titular dos dados

1. Direito de Acesso (Artigo 15): Este direito prepara o terreno para direitos posteriores relativos a dados, como o direito ao apagamento ou à retificação, mas também apresenta algumas considerações importantes. Primeiro, o controlador deve identificar se algum dado pessoal está sendo processado, fornecendo os resultados ao titular dos dados. Segundo, se dados pessoais estiverem sendo processados, o controlador deve apresentar uma série de informações ao titular dos dados. Não se esqueça de considerar terceiros ou processadores de dados que possam estar envolvidos.
2. Direito à retificação (artigo 16.º): Esse direito garante que o titular dos dados possa solicitar a correção de dados imprecisos ou a retificação de dados incompletos.
3. Direito ao apagamento (artigo 17.º): Também conhecido como o Direito ao Esquecimento, Este direito permite que os titulares dos dados solicitem a exclusão de seus dados pessoais pelo controlador. Existem casos específicos previstos no RGPD que justificam um atraso indevido por parte do controlador na exclusão dos dados, mas também existem considerações, como investigações judiciais, que podem impedir o exercício desse direito. Este é provavelmente um dos pedidos mais comuns que as organizações podem esperar atender.
4. Direito à restrição do tratamento (artigo 18.º): Este direito permite ao titular dos dados solicitar ao controlador a restrição do processamento dos seus dados pessoais com base em determinados critérios, tais como o controlador já não necessitar dos dados pessoais para a finalidade do processamento ou o processamento dos dados ser ilícito, mas o titular dos dados não desejar exercer o direito ao apagamento. Lembre-se que o controlador deve informar o titular dos dados caso as restrições ao processamento sejam levantadas.
5. Direito à informação (artigo 19.º): Este direito descreve uma série de circunstâncias em que o Controlador é obrigado a informar o Titular dos Dados sobre como seus dados estão sendo usados e para quem foram enviados. Isso garante que os Titulares dos Dados sejam informados e, portanto, possam tomar uma decisão adequada ou exercer outros direitos pertinentes.
6. Direito à portabilidade dos dados (artigo 20.º): Este direito garante que o titular dos dados possa solicitar que os dados pessoais sejam transferidos de um controlador para outro, em formato legível e, sempre que tecnicamente viável.
7. Direito de objeção (artigo 21): Caso o pedido do titular dos dados para interromper o processamento de seus dados seja negado pelo controlador de dados, o titular dos dados tem o direito de se opor a essa recusa, nos termos do Artigo 18.
8. Direito relativo à tomada de decisões automatizada (artigo 22): Este direito permite que o titular dos dados não seja sujeito exclusivamente a decisões automatizadas, incluindo a definição de perfis, quando estas possam produzir efeitos jurídicos ou similares significativos sobre ele. O Artigo 22 também prevê exceções a este direito, como decisões necessárias para a execução de um contrato ou quando autorizadas por lei. Isso pode ser particularmente desafiador para as organizações, especialmente aquelas com campanhas de marketing direcionadas.

Outras considerações

Para além dos oito direitos fundamentais do titular dos dados, existem vários outros direitos ou considerações que as organizações devem ter em conta. Há subconjuntos de dados pessoais denominados “dados sensíveis” que requerem considerações especiais. Estes incluem dados pessoais relativos a condenações e infrações penais (Artigo 10.º) e dados pessoais relativos a crianças (Artigo 8.º).

Preste atenção aos requisitos de tempo.

Ao responder às solicitações de titulares de dados, as organizações devem estar cientes das informações que são obrigadas a incluir, confirmar o atendimento das solicitações e ser capazes de explicar todas as medidas a serem tomadas. Lembre-se de que o tempo é essencial. O GDPR estabelece prazos rigorosos com base na resposta às solicitações dos titulares de dados (30 dias) e na notificação de uma violação de dados (72 horas) às autoridades de supervisão.

Organizações que integram seus processos de conformidade à sua plataforma SOAR podem facilmente acompanhar esses cronogramas e usar as métricas, relatórios e painéis do SOAR para garantir o cumprimento dos prazos de conformidade. Além da visualização em tempo real dos cronogramas dos processos, a organização pode usar sua plataforma SOAR para acionar tarefas baseadas em fluxo de trabalho, como notificações e envio de relatórios, garantindo que os processos sejam seguidos com precisão e pontualidade.

Estabelecer recursos-chave

Ao estabelecer seu Programa de Privacidade de Dados, um dos primeiros recursos essenciais é um processo de descoberta de dados que identifique e mapeie informações sensíveis ao longo de todo o seu ciclo de vida, incluindo qualquer troca de informações com terceiros. Um fluxo de dados documentado, juntamente com uma classificação de dados, são recursos fundamentais para definir o tom daqui para frente.

Ao identificar os dados sensíveis da sua organização e mapear o ciclo de vida dos dados, o próximo passo é classificar os sistemas envolvidos. Isso pode incluir diversos fatores na definição de prioridades, mas, de modo geral, você pode começar com os fatores de risco e os valores de criticidade para os negócios. Em conjunto, isso ajudará sua organização a priorizar as áreas de alto risco que necessitam de controles e proteções rigorosos. À medida que você desenvolve controles e implementa tecnologias de suporte para a redução de riscos, essas lições aprendidas podem ser aplicadas também aos processos de negócios de risco médio e baixo.

A documentação é fundamental para confirmar que sua organização está ciente e compreende a privacidade de dados. A mudança cultural ocorre quando a privacidade de dados deixa de ser uma reflexão tardia e passa a ser considerada em qualquer alteração nos processos de negócios, nos relacionamentos com terceiros e nos dados usados para a tomada de decisões automatizada.

Uma vez que sua organização tenha estabelecido as bases para o programa de privacidade e segurança de dados, certifique-se de levar esses requisitos em consideração ao selecionar parceiros de negócios, processadores de dados ou outros fornecedores terceirizados. Você pode terceirizar processos de negócios, mas não necessariamente a responsabilidade pelos riscos. A escolha da sua plataforma SOAR pode ser crucial para o sucesso da sua conformidade. Você está usando sua plataforma SOAR para identificar e rastrear seus recursos? Seus controles estão sendo rastreados e monitorados pela sua plataforma SOAR? Toda a documentação de conformidade está totalmente integrada à sua plataforma SOAR? Sua plataforma SOAR está criando e enviando automaticamente todos os documentos e relatórios de conformidade necessários? Caso contrário, talvez você deva se perguntar: "Por quê?"“

Outros recursos importantes são as políticas e os procedimentos de apoio que dão suporte à governança, gestão de riscos e conformidade. Sem entrar em muitos detalhes, esses documentos de apoio são o primeiro passo para os auditores validarem o desenho e a implementação dos controles. A ausência de políticas e procedimentos é um caminho rápido para a não conformidade. Um procedimento que deve ser estabelecido é como a organização recebe, processa, responde e documenta as solicitações dos titulares dos dados.

Por fim, existe uma equipe ou indivíduo responsável por lidar com essas solicitações? Considerando que essa função geralmente recai sobre profissionais de operações de TI ou operações de segurança (SecOps), é importante avaliar o impacto caso essa função seja secundária em relação às suas principais responsabilidades. Ter um canal centralizado para receber e responder às solicitações garante que nenhuma solicitação de titulares de dados seja negligenciada. O SOAR pode ser muito útil nesse sentido.

As equipes de TI Ops e/ou SecOps não precisam de mais um conjunto de processos manuais e tediosos que consumam o pouco tempo precioso que têm para concluir suas outras funções, incluindo a manutenção da segurança da rede da organização. Automatizar essas tarefas repetitivas com uma plataforma SOAR ajuda a aumentar a eficácia das equipes de TI Ops e SecOps, além de melhorar a conformidade da organização, reduzindo e eliminando o número de incidentes que precisam ser rastreados e relatados. Isso permite que a organização demonstre que os controles estão sendo atendidos, ao mesmo tempo que fornece um método padronizado para atender às solicitações e fornecer as evidências necessárias.

Tem interesse em saber mais?

Se você está lendo isto, é provável que sua organização esteja sobrecarregada com o fluxo diário de alertas provenientes de um cenário de ameaças em constante evolução e se sinta intimidada pelos processos e procedimentos regulatórios e de conformidade. A Swimlane pode ajudar! Assista a este webinar sob demanda., “Simplificando os requisitos de resposta a incidentes e de notificação em conformidade com as normas.” Saiba como o SOAR pode ajudar a automatizar seus relatórios de conformidade.

Webinar: Simplificando os Requisitos de Resposta a Incidentes e de Relatórios em Conformidade

À medida que as equipes de SOC continuam a mitigar e se adaptar às ameaças cibernéticas, uma coisa permanece constante: a resposta a incidentes continuará exigindo documentação e relatórios. Um desses requisitos de conformidade comuns no setor de energia é o Programa de Proteção de Infraestrutura Crítica da North American Electric Reliability Corporation (NERC CIP), um conjunto de requisitos projetados para proteger os ativos necessários para a operação e estabilização do sistema elétrico de grande porte da América do Norte. Nesta reprise do webinar, Bob Swanson, Consultor de Pesquisa de Conformidade, e Jay Spann, Evangelista do SOAR, discutem como o SOAR pode simplificar e apoiar a criação de relatórios de conformidade e pacotes de auditoria. Assista agora!

Assista agora