Lista de Verificação de Conformidade com o GDPR – Requisitos de Auditoria Explicados

Tutoriais

Lista de Verificação de Conformidade com o GDPR – Requisitos de Auditoria Explicados. O Regulamento Geral de Proteção de Dados (GDPR) tem como objetivo proteger a privacidade dos cidadãos da UE. Portanto, qualquer empresa que atenda ao mercado da União Europeia deve cumprir os requisitos do GDPR. Primordialmente, é um quadro legal criado para proteger os cidadãos da UE e dar-lhes controle sobre seus dados online.

Assim, as regras do GDPR impedem as organizações de adquirir informações do usuário sem consentimento. Você deve obter permissão do usuário para coletar e usar seus dados. Acima de tudo, o GDPR visa fornecer proteção completa à privacidade e permitir que os cidadãos escolham quem pode reunir, analisar e usar seus dados.

Este artigo discute os requisitos de conformidade com o GDPR que as organizações devem cumprir para obter certificação.

Vamos começar com a Lista de Verificação de Conformidade com o GDPR – Requisitos de Auditoria Explicados?

Leia também Lista de Verificação de Conformidade com SOX – Requisitos de Auditoria Explicados (Melhores Práticas)A quem se Aplica o GDPR?

A quem se aplica o GDPR?

Em primeiro lugar, o GDPR visa proteger cidadãos nos países da União Europeia (UE) e no Reino Unido. Portanto, qualquer organização que opere nessas regiões deve estar em conformidade com os requisitos. Além disso, as empresas fora da UE e do Reino Unido também estão sujeitas à conformidade com o GDPR, se processarem dados dessas regiões. Por exemplo, uma empresa sediada nos EUA que processa dados da UE e do Reino Unido deve estar em conformidade com o GDPR.

É importante notar que nem todos os requisitos do GDPR podem ser aplicáveis se o processamento de dados não for uma parte fundamental do seu negócio. Basicamente, você não precisa nomear um Responsável pela Proteção de Dados (DPO) se não realizar nenhum processamento de dados.

Leia também Top 10 Melhores Plataformas de Ferramentas de Inteligência de Ameaças (Vantagens e Desvantagens)

10 Requisitos de Conformidade com o GDPR

Bem, com a Lista de Verificação de Conformidade com o GDPR – Requisitos de Auditoria, você deve saber que o GDPR tem dez requisitos que as organizações devem cumprir para se tornarem compatíveis. Estes são:

1. Processamento de Dados Justo, Transparente e Legal

Acima de tudo, o GDPR exige que as organizações documentem os motivos legais ao processar os dados dos usuários. Primeiro, você deve informar os indivíduos sobre a coleta de dados pessoais. Em seguida, você fornece razões válidas pelas quais sua organização coleta e processa dados pessoais. Depois, todo o processamento de dados deve ser baseado em um propósito legítimo.

Tudo considerado, sua organização deve especificar o período específico para armazenamento de dados. Além disso, você deve notificá-los sempre que houver alterações em seus processos de coleta ou processamento de dados.

2. Revisar Políticas de Proteção de Dados

Para estar em conformidade com o GDPR, você deve implementar uma política de proteção de dados. Se você já possui uma política de proteção de dados, deve revisá-la regularmente e mantê-la atualizada. Como resultado, sua política de proteção de dados deve fornecer privacidade da informação por design. Todas as medidas técnicas e organizacionais implementadas devem integrar medidas de conformidade de dados.

Conforme observado, você também deve realizar auditorias regulares em conformidade com o GDPR. O objetivo principal é validar que a coleta, armazenamento e processamento de dados são seguros. Além disso, certifique-se de que seus sistemas processem as categorias de dados necessárias para propósitos específicos.

3. Realize uma Avaliação de Impacto de Proteção de Dados (AIPD)

o próximo requisito da Lista de Verificação de Conformidade do GDPR – Requisitos de Auditoria é para organizações que lidam com dados extremamente sensíveis devem realizar uma avaliação de impacto na proteção de dados (AIPD). A AIPD examina o possível impacto das atividades de processamento de dados de sua organização nos usuários.

A DPIA is a cybersecurity risk assessment process, that helps your organization identify and minimize data protection risks. It is mandatory when you introduce changes in the data processing process. The DPIA also ensures you do not violate the users’ data protection rights.

4. Implementar Medidas Adequadas de Segurança de Dados

Ao mesmo tempo, o GDPR exige que as organizações implementem medidas adequadas de segurança de dados. Você deve implementar ferramentas e medidas apropriadas de segurança cibernética para evitar que usuários não autorizados acessem os dados. Idealmente, você deve implementar ferramentas de segurança de rede e dados, controles de acesso e ferramentas de gerenciamento de riscos internos.

As ferramentas de segurança de dados incluem backups de dados, antivírus, sistemas de Prevenção de Perda de Dados (DLP) e criptografia e tokenização de dados. Além disso, você pode proteger a rede da sua empresa usando VPN, firewalls e segurança em camadas de rede. Um passo essencial é implementar monitoramento de rede em tempo real para ajudar a detectar atividades anormais dentro da sua rede.

Os controlos de acesso garantem que apenas utilizadores autorizados acedem aos dados. Dependendo da natureza da sua organização, pode implementar o acesso com o mínimo de privilégios, autenticação multifatorial e gestão de identidade e acesso. Para minimizar ameaças internas, pode implementar monitorização de funcionários e análise de comportamento do utilizador.

5. Implementar os Direitos de Privacidade dos Utilizadores

Da mesma forma, o GDPR fornece aos utilizadores vários direitos de privacidade para garantir que têm controlo sobre os seus dados. Em essência, existem oito direitos que a sua organização deve conceder aos utilizadores de dados. Estes incluem:

Também Ler Criar Relatórios de Política de Grupo do Active Directory com PowerShell (GPO)

Direito à Informação

Informar os indivíduos sobre o tipo de dados que recolhe e como os utiliza. Além disso, deve informá-los sobre como necessita dos dados e se são partilhados com terceiros.

Direito de Acesso

Claramente, o GDPR exige que as organizações concedam aos usuários acesso aos dados. De qualquer forma, qualquer indivíduo pode enviar uma pedido de acesso do titular dos dados (DSAR) que obriga as organizações a fornecer cópias dos dados aos indivíduos preocupados. Você deve fornecer esses dados dentro de um mês a partir do pedido, exceto quando houver exceções.

Direito de Retificação

A organização deve retificar os dados do usuário, se estiverem incorretos ou incompletos. O usuário pode solicitar às organizações que façam correções.

Direito ao Esquecimento

A data subject can request the organization to erase data, if it’s no longer necessary or unlawfully processed. Being that, the organization grants this right, provided it’s based on factual grounds.

Direito de Oposição

Os usuários têm o direito de se opor à coleta e processamento de dados, independentemente de ser para um fim legítimo. Isso, a menos que a organização forneça um motivo válido que sobreponha os direitos e liberdades do usuário.

Direito à Portabilidade

No caso de os indivíduos fornecerem dados pessoais aos controladores de dados por meio de consentimento, eles têm o direito de obter e reutilizar seus dados.

Direito de Restringir o Processamento

Em geral, o indivíduo tem o direito de restringir o processamento quando não estiver mais usando o projeto. Isso é aplicável quando a organização precisa usar os dados para uma reivindicação legal.

Direitos de Tomada de Decisão

O GDPR estabelece regras rigorosas em casos em que os dados são processados automaticamente para a tomada de decisões sem envolvimento humano. Os indivíduos têm o direito de contestar o processamento e solicitar uma revisão do processamento, se acreditarem que a organização não segue as regras.

Leia também Execute o Relatório de Licença do Office 365 e Reduza seus Custos de Licença

6. Documente sua Conformidade com o GDPR

Manter um documento adequado é crucial para a conformidade com o GDPR. Demonstre a autoridades que todos os dados são processados legalmente dentro das regras. Você pode manter um mapa de diário GDPR mostrando que o processo de fluxo de dados da sua organização cumpre com as regras estabelecidas.

7. Designe um Oficial de Proteção de Dados

A data protection officer (DPO) is a person or entity contracted to oversee compliance and stay in touch with any data breach risks. The DPO can be an in house employee or an outsourced third party who understands GDPR data protection requirements.

A data protection officer is mandatory if the organization is a public body or an authority. Also, organizations that perform large scale data processing or that handle special data should have a data protection officer.

As funções do DPO incluem:

  • Monitorar procedimentos de manipulação de dados.
  • Atuar como intermediário entre a organização e os reguladores do GDPR.
  • Aconselhar a organização sobre as melhores práticas de conformidade com o GDPR.
  • Fornecer avaliações de impacto na proteção de dados precisas.

Devido à natureza da tarefa, o DPO deve entender corretamente as leis do GDPR e as melhores práticas.

Leia também Encontre o SID no Active Directory Usuários e Computadores Usando o PowerShell

8. Relatar Violações de Dados

Além disso, o GDPR exige que os usuários relatem violações de dados instantaneamente. Tanto os processadores quanto os controladores devem relatar violações de dados dentro de 72 horas após a detecção. No entanto, isso não é obrigatório, se o incidente não prejudicar os direitos e liberdades dos usuários. Os processadores de dados devem notificar o controlador de dados, que por sua vez deve informar o Autoridade de Proteção de Dados (DPA).

Daí em diante, você deve fornecer ao DPA uma descrição da natureza da violação de dados. Além disso, você deve fornecer informações sobre o número de sujeitos de dados e quaisquer possíveis consequências. No documento, detalhe todas as medidas em vigor para conter o impacto da violação de dados.

9. Treinamento de Funcionários

A GDPR requer que as organizações treinem os funcionários sobre os requisitos e procedimentos de proteção de dados para minimizar os riscos de violações de dados. Eduque todos os funcionários sobre privacidade de dados pessoais, potenciais ameaças de cibersegurança e as consequências da não conformidade. No programa de treinamento, enfatize a conscientização sobre o processamento de dados. Além disso, os materiais de treinamento devem ser atualizados regularmente com exemplos relevantes de violações de cibersegurança.

10. Avalie Regularmente os Riscos de Terceiros

Igualmente importante, a GDPR espera que as organizações avaliem os riscos de segurança representados por terceiros. A organização deve implementar mecanismos de remediação para evitar violações de dados decorrentes do trabalho com terceiros.

Seguindo com a Lista de Verificação de Conformidade com a GDPR – Requisitos de Auditoria Explicados, explicaremos os princípios da GDPR.

Melhore sua Conformidade com o Active Directory e Segurança e o Azure AD

Experimente-nos gratuitamente, Acesso a todos os recursos. – Mais de 200 modelos de relatórios AD disponíveis. Personalize facilmente seus próprios relatórios AD.Leia também Use a Ferramenta de Monitoramento do Azure AD para melhorar drasticamente a segurançaPrincípios da GDPR




Leia também Use a ferramenta de monitoramento do Azure AD para melhorar drasticamente a segurança

Princípios do GDPR

O GDPR possui váriosprincípios que resumem seus muitos requisitos. Por exemplo, ele define princípios para o manuseio, armazenamento e processamento de informações pessoais. Existem sete princípios-chave do GDPR:

Legalidade, Justiça e Transparência

Todo o processamento de dados pessoais deve ser feito em bases justas e legais. Além disso, deve ser transparente para os proprietários como seus dados pessoais são coletados, utilizados e processados. Este princípio também exige que as informações relacionadas a dados pessoais sejam acessíveis e exibidas em linguagem clara e simples. Além disso, os usuários que fornecem seu consentimento, a organização também deve cumprir uma obrigação legal. Você não deve reter informações sobre os dados que está coletando.

Limitação de Finalidade

O segundo princípio do GDPR estabelece limites às atividades de uso de dados. Significa que você só processa dados para fins estabelecidos, que são comunicados por meio de um aviso de privacidade. Não processe dados para outros fins além dos declarados e deve se comunicar com os sujeitos de dados para obter consentimento.

Minimização de Dados

Apenas colete a menor quantidade de dados necessária para seus propósitos. Por exemplo, se você precisar de informações de contato para usuários, como e-mail, não deve pedir informações desnecessárias, como localização física, números de telefone etc., pois elas não estão relacionadas ao propósito específico.

Precisão

Verifique sempre a precisão dos dados que coletar e armazenar. Idealmente, você deve ter um processo de auditoria para verificar se os dados estão corretos e completos.

Limitação de Armazenamento

Declare e justifique a quantidade que pretende manter de dados de usuários. Isso garante que você não os mantenha por mais tempo do que necessário. Após a organização atender às suas necessidades, ela deve excluir os dados imediatamente. Caso a organização precise manter os dados por mais tempo do que necessário, ela deve estabelecer um período de retenção e justificá-lo.

Integridade e Confidencialidade (Segurança)

A RGPD exige que as organizações processem dados de usuários de forma a garantir segurança e proteção. Idealmente, qualquer atividade de processamento deve proteger os dados contra danos ou destruição, processamento ilegal e perda acidental. Em essência, sua organização deve implementar as melhores medidas possíveis para proteger informações pessoais. Essas medidas incluem avaliação de vulnerabilidades, criptografia de dados, criar backups em locais fora do site e muito mais.

Responsabilidade

Este princípio se relaciona com a organização assumindo a responsabilidade ao processar dados de usuários. Como processador de dados, você deve agir de forma responsável ao processar dados pessoais em conformidade com o RGPD. Basicamente, você deve se comprometer a cumprir os vários requisitos e documentá-los adequadamente.

Leia também Experimente a Ferramenta de Gerenciamento do Office 365

Como Realizar uma Auditoria RGPD

Da mesma forma, um auditoria de conformidade com o GDPR difere de uma organização para outra, dependendo da natureza da auditoria de dados pessoais. Antes de obter a certificação, uma organização deve realizar auditorias para avaliar seus níveis de conformidade. As auditorias do GDPR focam muito na cibersegurança e na governança de dados. Aqui, com a Lista de Verificação de Conformidade com o GDPR – Requisitos de Auditoria, existem etapas envolvidas na auditoria do GDPR:

1. Crie um Plano de Auditoria do GDPR

O primeiro passo para a auditoria do GDPR é criar um plano de auditoria. Basicamente, isso é um conjunto de processos escritos e passo a passo sobre o que cobrir durante a auditoria. A organização precisa estar ciente dos dados que detém ao longo de seu ciclo de vida. Além disso, certifique-se de classificar os dados pessoais dependendo de como você os coleta e de onde eles provêm.

2. Verifique as lacunas de conformidade com o GDPR

Depois de criar um relatório de auditoria, revise seu programa de conformidade com o GDPR atual. Você deve revisar os registros de processamentos de dados, mecanismos de transferência de dados, processo de DSAR do usuário, princípios de privacidade e controles de segurança. Idealmente, este é uma fase de descobrimento para que você possa descobrir se a organização está alinhada com as regras do GDPR.

Após a verificação de conformidade, o auditor deve criar um relatório detalhando os processos atuais e áreas que não estão alinhadas com as regras do GDPR.

3. Remediar as lacunas de conformidade

Uma vez que os auditores identificaram lacunas de conformidade, a organização deve adotar uma abordagem de remediação baseada em riscos. Verifique o relatório contra os requisitos e princípios do GDPR e corrija quaisquer áreas não conformes. Idealmente, você deve começar com as áreas de alto risco que poderiam ter efeitos prejudiciais na organização.

4. Testar os esforços de remediação

O processo final envolve verificar se o processo de remediação elimina as lacunas de conformidade. Você deve testar se os sistemas e processos da organização atendem aos requisitos do GDPR. Teste os processos e controles implementados para garantir que não haja lacunas. Depois de concluir esse processo, realize uma auditoria para garantir que sua organização atenda a todos os requisitos.

É importante notar que a auditoria de conformidade com o GDPR é um processo contínuo. Você deve realizar essas auditorias regularmente, especialmente se você alterar processos e sistemas organizacionais principais.

Obrigado por ler a Lista de Verificação de Conformidade com o GDPR – Requisitos de Auditoria Expl

Também leia Top 15 Melhores Ferramentas de Scanner de Vulnerabilidades em Cibersegurança

Lista de Verificação de Conformidade com o GDPR – Requisitos de Auditoria Explicados Conclusão

O cumprimento dos requisitos do GDPR é um processo desafiador que requer uma equipe altamente técnica, um DPO qualificado e funcionários informados. Sua organização deve implementar todos os sistemas de proteção de dados necessários e garantir que colete, armazene e processe os dados do usuário de forma segura e legítima.

Para mais dicas de cibersegurança como essas, leia nosso blog!

Source:
https://infrasos.com/gdpr-compliance-checklist-audit-requirements-explained/