Lista de Verificação de Conformidade com o GDPR – Requisitos de Auditoria Explicados

Tutoriais

Lista de Verificação de Conformidade com o GDPR – Requisitos de Auditoria Explicados. O Regulamento Geral de Proteção de Dados (GDPR) tem como objetivo proteger a privacidade dos cidadãos da UE. Portanto, qualquer empresa que sirva o mercado da União Europeia deve cumprir os requisitos do GDPR. Primordialmente, é um quadro legal criado para proteger os cidadãos da UE e dar-lhes controle sobre seus dados online.

Assim, as regras do GDPR impedem que as organizações adquiram informações do usuário sem consentimento. É necessário obter permissão do usuário para coletar e usar seus dados. Acima de tudo, o GDPR tem como objetivo fornecer proteção completa da privacidade e permitir que os cidadãos escolham quem pode reunir, analisar e usar seus dados.

Este artigo discute os requisitos de conformidade do GDPR que as organizações devem cumprir para obter certificação.

Começamos com a Lista de Verificação de Conformidade com o GDPR – Requisitos de Auditoria Explicados?

Leia também Lista de Verificação de Conformidade com o SOX – Requisitos de Auditoria Explicados (Melhores Práticas)A quem se aplica o GDPR?

Quem é afetado pelo GDPR?

Em primeiro lugar, o GDPR visa proteger cidadãos nos países da União Europeia (UE) e no Reino Unido. Portanto, qualquer organização que atue nessas regiões deve estar em conformidade com os requisitos. Além disso, empresas fora da UE e do Reino Unido também estão sujeitas à conformidade com o GDPR, se processarem dados dessas regiões. Por exemplo, uma empresa com sede nos EUA que processa dados da UE e do Reino Unido deve estar em conformidade com o GDPR.

É bom notar que nem todos os requisitos do GDPR podem ser aplicáveis se o processamento de dados não for parte fundamental do seu negócio. Basicamente, você não precisa nomear um Oficial de Proteção de Dados (DPO) se você não realizar nenhum processamento de dados.

Leia também Top 10 Melhores Plataformas de Ferramentas de Inteligência de Ameaças (Vantagens e Desvantagens)

10 Requisitos de Conformidade com o GDPR

Bem, com a Lista de Verificação de Conformidade com o GDPR – Requisitos de Auditoria, você deve saber que o GDPR tem dez requisitos que as organizações devem cumprir para se tornarem compatíveis. São eles:

1. Processamento de Dados Justo, Transparente e Legal

Acima de tudo, o GDPR exige que as organizações documentem os motivos legais ao processar os dados dos usuários. Primeiro, você deve informar os indivíduos sobre a coleta de dados pessoais. Em seguida, você fornece razões válidas pelas quais sua organização coleta e processa dados pessoais. Depois, todo o processamento de dados deve ser baseado em um propósito legítimo.

Tudo considerado, sua organização deve especificar o período específico para o armazenamento de dados. Além disso, você deve notificá-los sempre que houver alterações nos processos de coleta ou processamento de dados.

2. Rever as Políticas de Proteção de Dados

Para estar em conformidade com o GDPR, você deve implementar uma política de proteção de dados. Se você já possui uma política de proteção de dados, deve revisá-la regularmente e mantê-la atualizada. Como resultado, sua política de proteção de dados deve fornecer informações sobre privacidade por design. Todas as medidas técnicas e organizacionais implementadas devem integrar medidas de conformidade de dados.

Conforme observado, você também deve realizar auditorias regulares em conformidade com o GDPR. O objetivo principal é validar que a coleta, armazenamento e processamento de dados são seguros. Além disso, certifique-se de que seus sistemas processem as categorias de dados necessárias para fins específicos.

3. Realize uma Avaliação de Impacto de Proteção de Dados (DPIA)

o próximo requisito da Lista de Verificação de Conformidade do GDPR – Requisitos de Auditoria é para organizações que lidam com dados extremamente sensíveis devem realizar uma avaliação de impacto de proteção de dados (DPIA). A DPIA examina o possível impacto das atividades de processamento de dados de sua organização nos usuários.

A DPIA is a cybersecurity risk assessment process, that helps your organization identify and minimize data protection risks. It is mandatory when you introduce changes in the data processing process. The DPIA also ensures you do not violate the users’ data protection rights.

4. Implemente Medidas Adequadas de Segurança de Dados

Ao mesmo tempo, o GDPR exige que as organizações implementem medidas adequadas de segurança de dados. Você deve implementar ferramentas e medidas de segurança cibernética apropriadas para evitar que usuários não autorizados acessem dados. Idealmente, você deve implementar ferramentas de segurança de rede e de dados, controles de acesso e ferramentas de gerenciamento de riscos internos.

As ferramentas de segurança de dados incluem backups de dados, antivírus, sistemas de Prevenção de Perda de Dados (DLP) e criptografia e tokenização de dados. Além disso, você pode proteger a rede da sua empresa usando VPN, firewalls e segurança de rede em camadas. Um passo essencial é implementar monitoramento de rede em tempo real para ajudar a detectar qualquer atividade anormal dentro da sua rede.

Os controles de acesso garantem que apenas usuários autorizados acessem os dados. Dependendo da natureza da sua organização, você pode implementar acesso com o mínimo de privilégios, autenticação de múltipiplos fatores e gerenciamento de identidade e acesso. Para minimizar as ameaças internas, você pode implementar monitoramento de funcionários e análise de comportamento do usuário.

5. Implementar os Direitos de Privacidade dos Usuários

Da mesma forma, o GDPR fornece aos usuários diversos direitos de privacidade para garantir que tenham controle sobre seus dados. Em essência, existem oito direitos que sua organização deve conceder aos usuários de dados. Estes incluem:

Também Leia Criar Relatórios de Política de Grupo do Active Directory com PowerShell (GPO)

Direito à Informação

Informar indivíduos sobre o tipo de dados que você coleta e como os utiliza. Além disso, você deve informá-los sobre como precisa dos dados e se são compartilhados com terceiros.

Direito de Acesso

Claramente, o GDPR exige que as organizações concedam aos usuários acesso aos dados. De qualquer forma, qualquer indivíduo pode enviar uma pedido de acesso do titular dos dados (DSAR) que obriga as organizações a fornecer cópias dos dados aos indivíduos interessados. Você deve fornecer esses dados dentro de um mês do pedido, exceto quando houver exceções.

Direito de Retificação

A organização deve retificar os dados do usuário, se estiverem incorretos ou incompletos. O usuário pode solicitar às organizações que façam correções.

Direito ao Esquecimento

A data subject can request the organization to erase data, if it’s no longer necessary or unlawfully processed. Being that, the organization grants this right, provided it’s based on factual grounds.

Direito de Oposição

Os usuários têm o direito de se opor à coleta e processamento de dados, independentemente de ser para um fim legítimo. Isso, a menos que a organização forneça um motivo válido que sobreponha os direitos e liberdades do usuário.

Direito à Portabilidade

No caso de os indivíduos fornecerem dados pessoais aos controladores de dados por meio de consentimento, eles têm o direito de obter e reutilizar seus dados.

Direito de Restrição de Processamento

Em geral, o indivíduo tem o direito de restringir o processamento quando não mais utiliza o projeto. Isso é aplicável quando a organização precisa usar os dados para uma reivindicação legal.

Direitos de Tomada de Decisão

O GDPR estabelece regras rigorosas em casos em que os dados são processados automaticamente para tomada de decisão sem envolvimento humano. Os indivíduos têm o direito de contestar o processamento e solicitar uma revisão do processamento, se acreditarem que a organização não está seguindo as regras.

Leia também Execute o Relatório de Licença do Office 365 e Reduza seus Custos de Licença

6. Documente sua conformidade com o GDPR

Manter um documento adequado é crucial para a conformidade com o GDPR compliance. Demonstre a autoridades que todos os dados são processados legalmente dentro das regras. Você pode manter um mapa de diário do GDPR mostrando que o processo de fluxo de dados da sua organização cumpre com as regras estabelecidas.

7. Designe um Oficial de Proteção de Dados

A data protection officer (DPO) is a person or entity contracted to oversee compliance and stay in touch with any data breach risks. The DPO can be an in house employee or an outsourced third party who understands GDPR data protection requirements.

A data protection officer is mandatory if the organization is a public body or an authority. Also, organizations that perform large scale data processing or that handle special data should have a data protection officer.

As funções do DPO incluem:

  • Monitorar procedimentos de manipulação de dados.
  • Atuar como intermediário entre a organização e os reguladores do GDPR.
  • Orientar a organização sobre as melhores práticas de conformidade com o GDPR.
  • Fornecendo avaliações de impacto na proteção de dados precisas.

Devido à natureza da tarefa, o DPO deve entender corretamente as leis do GDPR e as melhores práticas.

Leia também Encontre o SID no Active Directory Users and Computers Usando o PowerShell

8. Relatar Violações de Dados

Além disso, o GDPR exige que os usuários relatem violações de dados instantaneamente. Tanto os processadores quanto os controladores devem relatar violações de dados dentro de 72 horas após a detecção. No entanto, isso não é obrigatório, se o incidente não prejudicar os direitos e liberdades dos usuários. Os processadores de dados devem notificar o controlador de dados, que, por sua vez, deve informar o Autoridade de Proteção de Dados (APD).

Daí em diante, você deve fornecer à APD uma descrição da natureza da violação de dados. Além disso, você deve fornecer informações sobre o número de sujeitos de dados e quaisquer possíveis consequências. No documento, detalhe todas as medidas em vigor para conter o impacto da violação de dados.

9. Treinamento de Funcionários

A GDPR exige que as organizações treinem os funcionários sobre os requisitos e procedimentos de proteção de dados para minimizar os riscos de violações de dados. Eduque todos os funcionários sobre a privacidade dos dados pessoais, ameaças potenciais de cibersegurança e as consequências da não conformidade. No programa de treinamento, você enfatiza a conscientização sobre o processamento de dados. Além disso, os materiais de treinamento devem ser atualizados regularmente com exemplos relevantes de violações de cibersegurança.

10. Avalie Regularmente os Riscos de Terceiros

Igualmente importante, a GDPR espera que as organizações avaliem os riscos de segurança apresentados por terceiros. A organização deve implementar mecanismos de remediação para evitar violações de dados devido ao trabalho com terceiros.

Seguindo com a Lista de Verificação de Conformidade com a GDPR – Requisitos de Auditoria Explicados, explicaremos os princípios da GDPR.

Melhore sua Conformidade com o Active Directory e Segurança & Azure AD

Experimente-nos gratuitamente, Acesso a todos os recursos. – 200+ modelos de Relatórios AD Disponíveis. Personalize facilmente seus próprios relatórios AD.Leia também Use a Ferramenta de Monitoramento do Azure AD para melhorar drasticamente a segurançaPrincípios da GDPR




Leia também Use a ferramenta de monitoramento do Azure AD para melhorar drasticamente a segurança

Princípios do RGPD

O RGPD possui vários princípios que resumem suas muitas exigências. Por exemplo, ele define princípios para o manuseio, armazenamento e processamento de informações pessoais. Existem sete princípios-chave do RGPD:

Legalidade, Justiça e Transparência

Todo o processamento de dados pessoais deve ser feito em bases justas e legais. Além disso, deve ser transparente para os proprietários como suas informações pessoais são coletadas, utilizadas e processadas. Este princípio também exige que as informações relativas a dados pessoais sejam acessíveis e exibidas em linguagem clara e simples. Além disso, ao conceder o consentimento, a organização também deve cumprir uma obrigação legal. Você não deve reter informações sobre os dados que está coletando.

Limitação de Finalidade

O segundo princípio do RGPD estabelece limites nas atividades de uso de dados. Significa que você só processa dados para fins estabelecidos, que são comunicados por meio de um aviso de privacidade. Não processe dados para outros fins que não os declarados e deve se comunicar com os titulares de dados para obter consentimento.

Minimização de Dados

Colete apenas a menor quantidade de dados necessários para seus propósitos. Por exemplo, se você precisar de informações de contato para usuários, como e-mail, não deve solicitar informações desnecessárias, como localização física, números de telefone, etc., pois elas não estão relacionadas ao propósito específico.

Precisão

Verifique sempre a precisão dos dados que coletar e armazenar. Idealmente, você deve ter um processo de auditoria para verificar se os dados estão corretos e completos.

Limitação de Armazenamento

Declare e justifique a quantidade que pretende manter de dados de usuários. Isso garante que você não os mantenha por mais tempo do que necessário. Após a organização cumprir suas necessidades, ela deve excluir os dados imediatamente. Caso a organização precise manter os dados por mais tempo do que necessário, ela deve estabelecer um período de retenção e justificá-lo.

Integridade e Confidencialidade (Segurança)

O RGPD exige que as organizações processem os dados dos usuários de forma a garantir a segurança e a proteção. Idealmente, qualquer atividade de processamento deve proteger os dados contra danos ou destruição, processamento ilegal e perda acidental. Em essência, sua organização deve adotar as melhores medidas possíveis para proteger as informações pessoais. Essas medidas incluem avaliação de vulnerabilidades, criptografia de dados, a criação de backups em locais fora do site e muito mais.

Responsabilidade

Este princípio se relaciona com a organização assumindo a responsabilidade ao processar os dados dos usuários. Como processador de dados, você deve agir de forma responsável ao processar dados pessoais em conformidade com o RGPD. Basicamente, você deve se comprometer a cumprir os vários requisitos e documentá-los adequadamente.

Leia também Experimente a Ferramenta de Gerenciamento do Office 365

Como Realizar uma Auditoria RGPD

Da mesma forma, um auditoria de conformidade com o GDPR difere de uma organização para outra, dependendo da natureza da auditoria de dados pessoais. Antes de obter certificação, uma organização deve realizar auditorias para avaliar seus níveis de conformidade. As auditorias do GDPR focam muito em cibersegurança e governança de dados. Aqui, com a Lista de Verificação de Conformidade com o GDPR – Requisitos de Auditoria, existem etapas envolvidas na auditoria do GDPR:

1. Crie um Plano de Auditoria do GDPR

O primeiro passo para a auditoria do GDPR é criar um plano de auditoria. Basicamente, este é um conjunto de processos escritos e passo a passo sobre o que cobrir durante a auditoria. A organização precisa estar ciente dos dados que detém ao longo de seu ciclo de vida. Além disso, garanta a classificação de dados pessoais dependendo de como você os coleta e de onde eles vêm.

2. Verifique as lacunas de conformidade com o GDPR

Após criar um relatório de auditoria, revise seu programa atual de conformidade com o GDPR. Você deve revisar registros de processamentos de dados, mecanismos de transferência de dados, processo de DSAR do usuário, princípios de privacidade e controles de segurança. Idealmente, esta é uma fase de descoberta para permitir que você descubra se a organização está alinhada com as regras do GDPR.

Após a verificação de conformidade, o auditor deve criar um relatório detalhando os processos atuais e as áreas que não estão alinhadas com as regras do GDPR.

3. Remediar as lacunas de conformidade

Uma vez que os auditores identificaram lacunas de conformidade, a organização deve adotar uma abordagem de remediação baseada em riscos. Verifique o relatório contra os requisitos e princípios do GDPR e corrija quaisquer áreas não conformes. Idealmente, você deve começar com as áreas de alto risco que poderiam ter efeitos deletérios na organização.

4. Testar os esforços de remediação

O processo final envolve verificar se o processo de remediação elimina as lacunas de conformidade. Você deve testar se os sistemas e processos da organização atendem aos requisitos do GDPR. Teste os processos e controles implementados para garantir que não haja lacunas. Depois de concluir esse processo, realize uma auditoria para garantir que sua organização atenda a todos os requisitos.

É importante notar que a auditoria de conformidade com o GDPR é um processo contínuo. Você deve realizar essas auditorias regularmente, especialmente se você alterar processos e sistemas organizacionais principais.

Obrigado por ler a Lista de Verificação de Conformidade com o GDPR – Requisitos de Auditoria Explicados. Vamos concluir este artigo.

Também leia Top 15 Melhores Ferramentas de Scanner de Vulnerabilidades em Segurança Cibernética

Lista de Verificação de Conformidade com o GDPR – Requisitos de Auditoria Explicados Conclusão

O cumprimento dos requisitos do GDPR é um processo desafiador que requer uma equipe altamente técnica, um DPO qualificado e funcionários informados. Sua organização deve implementar todos os sistemas necessários de proteção de dados e garantir que colete, armazene e processe os dados do usuário de forma segura e legítima.

Para obter mais dicas de segurança cibernética como essas, leia nosso blog!

Source:
https://infrasos.com/gdpr-compliance-checklist-audit-requirements-explained/