Em vigor desde Maio de 2016, em implementação desde Maio de 2018 - o Regulamento Geral de Proteção de Dados da UE (RGPD) ainda deixa muitas empresas se perguntando: somos afetados? E em caso afirmativo: como alcançamos a segurança jurídica? E o que podemos fazer para conformidade com a proteção de dados?

Loading...

Desde Maio de 2018, as empresas que lidam com dados pessoais - e são poucas - precisam estar preparadas para uma multa pesada. As penalidades por violação de dados podem ser significativas. E este é sempre o caso se não cumprirem integralmente os requisitos do novo RGPD. Além disso, a nova versão da Lei Federal de Proteção de Dados da Alemanha (BDSG) complementa e fundamenta o RGPD. Aqui, no entanto, a incerteza prevalece em todos os lugares:

  • Afinal, o que são "dados pessoais"?
  • Somos uma "entidade responsável" de acordo com a RGPD?
  • Quem é um "titular dos dados"?
  • O que exatamente significa "processamento automatizado" de dados pessoais?
  • Temos de nomear um responsável pela proteção de dados?

 

Que medidas devem ser implementadas

A lista de questões de conformidade de proteção de dados que precisam ser abordadas é longa.

É verdade que a definição dos termos utilizados no regulamento pode ser encontrada nas listas de perguntas frequentes. No entanto, isso não garante necessariamente clareza no que diz respeito ao significado concreto para a empresa individual. O mais tardar quando estiver pendente a implementação e cumprimento das medidas e deveres necessários (porque exigidos) pelos trabalhadores, devem existir as respostas certas para tais perguntas, por exemplo:

  • O que são "medidas técnico-organizacionais"?
  • Quando são necessárias?
  • E a "proporcionalidade"?
  • E quanto aos muitos "controles" exigidos pelo GDPR, como "controles de acesso ou divulgação"?
  • Como garantir a conformidade com a proteção de dados?

Proteção de dados x segurança da informação

De qualquer forma, o passo certo para uma empresa afetada é estabelecer um efetivo Sistema de gerenciamento de proteção de dados - adaptado às suas necessidades individuais, se necessário já com vista à certificação acreditada.

O que muitas vezes é confundido aqui: Proteção de dados e a segurança da informação são dois pares de sapatos, mesmo que haja sobreposições (por exemplo, várias medidas de controle). Por exemplo, empresas que possuem um sistema de gerenciamento de segurança da informação (SGSI) totalmente abrangente de acordo com ISO 27001 cobrem o tema da proteção de dados até certo ponto.

Mas mesmo aqui, permanece um delta que pode ser descoberto e fechado com ou sem um ISMS usando um análise de lacunas.

"A diferença fundamental entre os dois tópicos: a segurança da informação protege os dados de uma empresa contra o uso indevido por terceiros; a proteção de dados visa proteger os dados pessoais."

Loading...

Gestão de privacidade de dados com ISO 27701

Proteção de dados no contexto da segurança da informação – é um tema interessante? Obtenha mais conhecimento sobre a norma ISO 27701 em nosso White Paper gratuito.

Em Agosto de 2019, com ISO 27701 foi publicada uma nova norma que formula requisitos para proteção de dados na gestão da segurança da informação. A ISO 27701 especifica, portanto, um sistema de gerenciamento de proteção de dados baseado na ISO 27001, ISO 27002 (orientação para medidas de segurança da informação) e ISO 29100 (estrutura para proteção de dados). A ISO 27701 é um suplemento da ISO 27001. A certificação apenas de acordo com a nova norma não é possível.

 

Conformidade com a proteção de dados - benefícios

Recebe

  • Informações confiáveis ​​sobre áreas de atuação
  • Conhecimento sobre o potencial oculto
  • Mais segurança de atuação e segurança jurídica no tratamento dos dados após a implementação das medidas cabíveis 

 

Do lado seguro - com uma auditoria de proteção de dados pela DQS

As empresas que lutam pela conformidade na proteção de dados devem, portanto, fazer duas coisas: familiarizar-se ou seus diretores de conformidade com o assunto o mais rápido possível e ter o status quo determinado por um órgão independente como o DQS na forma de uma análise de lacunas.

O foco dessa auditoria de proteção de dados é uma autoavaliação com revisão de documentos. A empresa é então verificada no local para determinar se cumpre os aspectos essenciais de proteção de dados. Um relatório mostra se há necessidade de ação e, em caso afirmativo, qual ação é necessária.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Proteção de dados de análise de lacunas DQS

Quanto trabalho você precisa fazer para uma análise GAP? Descubra gratuitamente e sem compromisso.

Autor
Gert Krüger

Especialista e gerente de projeto para segurança da informação, BSI-KritisV e proteção de dados na DQS. Além disso, auditor de longa data para gestão de qualidade e ambiental.

Loading...