Académique Documents
Professionnel Documents
Culture Documents
conformidade
com a GDPR
Insights de uma pesquisa do SAS
e uma abordagem ponta-a-ponta
Conformidade não precisa ser uma e sua diretoria passam a confiar em Continue lendo para conhecer os
palavra assustadora – mesmo ao encarar decisões baseadas em dados. No conselhos de especialistas sobre as
os desafios de atender ao prazo da União outono de 2017, o SAS conduziu uma melhores práticas para a conformidade.
Europeia para a Regulamentação Geral de pesquisa global sobre a GDPR com 340 Nós também compartilhamos em que
Proteção aos Dados (GDPR), em maio de executivos de diversas indústrias. Com passo estão seus pares nos diversos
2018. Na verdade, traçar um curso para base nos resultados dessa pesquisa, setores da indústria, além de uma
a conformidade pode trazer benefícios de este e-book explora os maiores desafios abordagem integrada, em cinco etapas,
longo prazo para a sua organização: isso e oportunidades que as organizações que pode ajudá-lo nesta jornada.
lhe coloca no caminho certo para obter encaram no caminho para atender às
uma vantagem competitiva conforme você medidas da GDPR.
Índice
3 7 10
Os desafios para entrar em 5 etapas para lidar com a GDPR Apêndice: sumário dos resultados da
conformidade com a GDPR pesquisa
14 17 20
Princípios básicos
da GDPR
Quem é afetado, por que e o que
significam dados pessoais?
Princípios básicos da GDPR Entrando em conformidade com a GDPR
A Regulamentação Geral de Proteção aos Dados (GDPR) foi adotada na Europa em abril de 2016 e se torna efetiva em
25 de maio de 2018. A GDPR eleva a proteção de dados pessoais às condições legais de prioridade estratégica e adesão
imprescindível para empresas do mundo todo, que trabalham com dados pessoais de cidadãos da UE.
> Atenda às medidas da GDPR com o SAS® Personal Data Protection > TOC 4
Princípios básicos da GDPR Entrando em conformidade com a GDPR
Por exemplo, funcionários que trabalham para uma empresa em Nova York, mas Prazo
moram na Alemanha. Ou um cliente irlandês fazendo uma transação online com um A GDPR é feita para garantir aplicação e proteção contínuas e rigorosas – e para
varejista cuja matriz está na Califórnia. simplificar o ambiente regulatório para empresas globais. À medida que o prazo
para atender às exigências da regulamentação se aproxima, os valores das
Uma definição revisada de dados pessoais possíveis multas tornam-se motivos de preocupação em muitas organizações.
Dados pessoais, de acordo com a GDPR, são quaisquer informações que Nosso estudo mostra que 56% das empresas pesquisadas já estão tomando
permitem a identificação de um indivíduo, direta ou indiretamente. Diversos medidas para entrar em conformidade com a GDPR.
fatores que podem identificar uma pessoa – endereço IP ou dados de
localização, por exemplo – agora estão tutelados de modo a garantir sua Conscientização da GDPR
proteção. É uma definição abrangente, à qual espera-se que seja trabalhada Apesar das multas pesadas, nem todo mundo está ciente do alcance e
ao longo do tempo. implicações reais da GDPR. Segundo o estudo, pouco menos de 50% dos
entrevistados estão convencidos de que suas organizações entendem
completamente o impacto que a GDPR terá. Em geral, grandes organizações
estão mais conscientes da regulamentação e suas implicações do que empresas
"A nova definição de dados pessoais é um indicativo menores. Quanto aos setores industriais, apenas 26% das organizações
do tom dessa nova legislação", diz Kalliopi Spyridaki, governamentais estão completamente cientes desses impactos, comparado
Estrategista-Chefe de Privacidade do SAS. "Sob a 56% das empresas de telecomunicação e mídia. No geral, a taxa de
a Regulamentação Geral de Proteção aos Dados, conscientização gira em torno de 42% entre outros ramos de atividade.
dados pessoais são considerados ativos valiosos.
E as exigências e obrigações acerca desses ativos
56%
Kalliopi Spyridaki,
estão aumentando consideravelmente. Não por
Estrategista - Chefe de
Privacidade do SAS. coincidência, isso acontece ao mesmo tempo que
computação em nuvem, big data e Internet das
Assista a Coisas são tendências tecnológicas. Com cada uma
uma
entrevista dessas tecnologias, a coleta e a análise adequada de
com dados estão se tornando diferenciais estratégicos.
Spyridaki.
Ao reconhecer isso, a GDPR está basicamente
alcançando a realidade". das organizações já estão tomando medidas para aderir à GDPR
> Atenda às medidas da GDPR com o SAS® Personal Data Protection > TOC 5
Princípios básicos da GDPR Entrando em conformidade com a GDPR
Conclusões
A maioria dos entrevistados acredita que a GDPR terá um grande impacto em Organizações governamentais estão menos cientes do impacto da GDPR.
suas organizações. No entanto, muitos (58%) dizem que suas empresas não estão
totalmente cientes da extensão dos impactos da nova lei. Grandes organizações
estão pouco à frente de pequenas empresas: elas são melhores preparadas e
informadas sobre as implicações da GDPR.
67% das grandes 54% das grandes Apenas 26%das organizações governamentais
organizações (acima de 5.000 organizações estão dizem estar cientes, comparado a 42%
funcionários) já estão tomando completamente cientes do
do setor privado.
as medidas necessárias impacto da GDPR, enquanto
para atender à GDPR, apenas 37% das pequenas
contra 47% das empresas podem
pequenas empresas. dizer o mesmo.
> Atenda às medidas da GDPR com o SAS® Personal Data Protection > TOC 6
Um processo
estruturado é
essencial
para a
conformidade
Mas apenas 45% das organizações estão
utilizando essa abordagem
Um processo estruturado é essencial para a conformidade Entrando em conformidade com a GDPR
> Atenda às medidas da GDPR com o SAS® Personal Data Protection > TOC 8
Nesta entrevista, Oliver Penel, Diretor Corporativo de Gestão de Dados do SAS na
Europa, Oriente Médio e África, compartilha conselhos sobre como atender à GDPR
> Atenda às medidas da GDPR com o SAS® Personal Data Protection > TOC 9
Os 3 maiores
benefícios da GDPR
Governança de dados aprimorada é
apenas o começo
Os 3 maiores benefícios da GDPR Entrando em conformidade com a GDPR
Mesmo com as novas regras mais firmes e desafiadoras, os princípios básicos permanecem os mesmos. Nesse sentido,
a GDPR será muito mais uma revisão dos procedimentos de conformidade para muitas empresas do que a construção
de um processo novo. O que quer que isso signifique para a sua empresa, a GDPR traz consigo muitos benefícios que
podem ajudar você a prosperar.
1Aprimore governança de
Question: What opportunities do you anticipate from your organization becoming GDPR compliant?
> Atenda às medidas da GDPR com o SAS® Personal Data Protection > TOC 11
Os 3 maiores benefícios da GDPR Entrando em conformidade com a GDPR
2
Ganhe uma vantagem competitiva
Question:
GDPR could be considered as a catalyst for digitalization.
Based on this premise, which one of your analytical business
initiatives should benefit the most from GDPR?
A GDPR dá às organizações a oportunidade de reavaliarem todas as políticas de
governança de dados em uso. Não apenas para dados pessoais, mas para todos os dados.
Dados – cujo volume está em crescimento constante – são um dos mais importantes ativos Customer Intelligence 45%
que qualquer empresa pode ter. Com as políticas corretas em vigor, as empresas podem
não apenas entrar em conformidade, mas também criar uma vantagem competitiva.
Risk Management 44%
Pense nas possibilidades de melhora nos processos analíticos, otimização de eficiência
operacional e redução de custos.
Advanced Analytics [Machine Learning] 29%
Os entrevistados estão cientes de tais benefícios, reconhecendo que os departamentos
responsáveis por customer intelligence e risco terão os maiores ganhos com a GDPR. Fraud Detection 23%
Organizações, em especial financeiras e de comunicações, acreditam que a GDPR será
benéfica para os departamentos que trabalham com inteligência analítica avançada. Isso
Forecasting 12%
não é surpresa, uma vez que dados pessoais estão no cerne de muitas iniciativas analíticas.
> Atenda às medidas da GDPR com o SAS® Personal Data Protection > TOC 12
Os 3 maiores benefícios da GDPR Entrando em conformidade com a GDPR
3
Atinja uma maior satisfação do cliente
INTERAMERICAN
expande a proteção de
dados pessoais com o
A GDPR não beneficia apenas as empresas - os clientes SAS
também colhem as recompensas dos esforços para a
conformidade. O estudo mostra que 29% das organizações "Nossa organização está trabalhando
acreditam que a satisfação de seus clientes será maior para fazer a transição para a nova
conforme a regulamentação for sendo atendida. Outras 29% era digital e criar relacionamentos
dizem que suas propostas de valor externo melhorarão. Novos duradouros com nossos clientes,
serviços e iniciativas direcionadas à satisfação do consumidor baseados na confiança". Para
– como repositórios individuais de dados – irão emergir como atender aos desafios da nova
resultado da necessidade das empresas em lidar com dados Regulamentação Geral de Proteção
pessoais com extremo cuidado. aos Dados em tempo hábil, nós
escolhemos o SAS para fornecer uma
Com uma visão holística dos dados dos clientes – e insights solução integrada de ponta-a-ponta.
sobre se e como um cliente quer receber mensagens e O SAS Personal Data Protection irá
ações promocionais – as empresas podem melhorar essas nos ajudar a entrar em conformidade
experiências ao engajá-los em interações mais relevantes. com os requisitos da nova lei e a
Agências governamentais, por exemplo, poderiam otimizar nutrir a confiança do consumidor."
seus processos e melhorar a satisfação dos cidadãos
centralizando e protegendo informações pessoais Xenophon Liapakis, CIO da
compartilhadas. Isso funcionaria tanto se os cidadãos INTERAMERICAN
interagissem pessoal ou virtualmente.
> Atenda às medidas da GDPR com o SAS® Personal Data Protection > TOC 13
Os desafios
para entrar em
conformidade
com a GDPR
Como você sabe se as ações que
tomou são suficientes?
Os desafios para entrar em conformidade com a GDPR Entrando em conformidade com a GDPR
A GDPR torna as organizações responsáveis pela proteção de dados pessoais. Elas terão o ônus da prova ao entenderem
os se, como e quão bem podem proteger dados pessoais. Isso inclui colocar medidas de segurança em funcionamento
para prevenir violações de dados e tomar medidas rápidas para notificar indivíduos e autoridades na eventualidade de
uma violação ocorrer. E isso faz com que a conformidade legal seja um assunto no topo da lista de afazeres para empresas
de todos os tamanhos, em diversos setores. Mas colocar tudo isso em prática requer a superação de alguns obstáculos.
> Atenda às medidas da GDPR com o SAS® Personal Data Protection > TOC 15
Os desafios para entrar em conformidade com a GDPR Entrando em conformidade com a GDPR
Portabilidade e o
direito de
ser esquecido
Das organizações pesquisadas, 58% tem problemas de fotos, para outro provedor quando um cliente assim solicita.
gerenciar a portabilidade dos dados e o [assim batizado] direito O provedor dor original é obrigado a entregar os dados
de ser esquecido. Controlar o acesso aos dados pessoais de forma portátil. Adotar a portabilidade de dados será um
também é um grande desafio, principalmente para médias desafio enorme para muitos provedores de telecomunicações.
empresas, que possuem entre 51 e 500 funcionários. Isso também vale para muitas outras organizações, incluindo
Grandes organizações e instituições financeiras têm mais serviços, varejistas, bancos e seguradoras.
dificuldades para encontrar dados pessoais armazenados
do que outras empresas. Uma razão para isso é um
requerimento novo e complexo – e é a primeira vez que
organizações precisam consolidar e mapear informações
completas de indivíduos com propósito regulatório.
Question:
A GDPR dá ao cidadão europeu o direito de saber e decidir Which of the following challenges do you see
in preparing for GDPR?
como seus dados pessoais são usados, armazenados,
protegidos, transferidos e apagados. Indivíduos têm Total EU Non-EU
agora os direitos de restringir um maior processamento e Knowing the actions we take to comply are sufficient 59% 54% 71%
de exigir que todos os seus dados sejam deletados. Isso Managing data portability and right to be forgotten 58% 59% 64%
levanta questões sobre as ferramentas, a responsabilidade Controlling access to personal data 50% 52% 45%
(pessoal) e os processos que organizações precisam ter em Finding stored personal data 48% 48% 50%
funcionamento. Quase metade das empresas entrevistadas Complying with new profiling requirements 44% 45% 38%
disseram que foi um desafio encontrar dados pessoais Executing accurate Privacy Impact Assessments 44% 43% 45%
dentro de suas próprias bases de dados (conjuntos de Dealing with consent management 39% 38% 40%
dados copiados, dados de CRM etc). Ensuring benefits beyond legal compliance 39% 38% 45%
> Atenda às medidas da GDPR com o SAS® Personal Data Protection > TOC 16
5 etapas para
lidar com a GDPR
Utilize uma abordagem integrada
5 etapas para lidar com a GDPR Entrando em conformidade com a GDPR
É óbvio que o não-atendimento às normas da GDPR pode ser uma ameaça real ao futuro de muitas organizações. Mas,
por outro lado, dados pessoais têm um valor altíssimo e podem criar vantagens competitivas significativas se gerenciados
corretamente. Vamos olhar uma abordagem que algumas empresas estão usando para atender às demandas da GDPR (e
obter uma vantagem competitiva).
1 2
Acesse > Para atender à GDPR, você não pode contar com o senso comum Identifique > Uma vez que você tenha acesso a todas as fontes de dados,
ou achismo sobre onde os dados pessoais podem estar. A regulamentação você precisará identificar os dados pessoais que podem ser encontrados em
requer que as organizações provem que sabem onde estão esses dados – e cada uma delas. Frequentemente, dados pessoais são enterrados em áreas
onde eles não estão. Isso torna importante o acesso a todas as fontes de dados. semi-estruturadas. Você precisará analisar essas áreas para extrair, categorizar e
Independente da tecnologia empregada – armazéns de dados tradicionais e catalogar elementos como nomes, e-mails, endereços e documentos pessoais.
clusters do Hadoop, dados estruturados e não-estruturados, dados móveis e Considerando o volume de dados, esse processo de organização não pode ser
imóveis – você precisa investigar e auditar quais dados pessoais estão sendo manual. E você não só precisará analisar e classificá-los – você também precisará
armazenados e utilizados por todo o seu painel. O acesso irrestrito a todas acomodar diferentes níveis de qualidade de dados. Reconhecimento de padrões,
as fontes de dados é um pré-requisito para a construção de um inventário regras e padronização de qualidade são elementos essenciais desse processo. Ter
de dados pessoais para que você possa avaliar sua exposição ao risco de as ferramentas certas em funcionamento vai fazer uma grande diferença na sua
segurança e aplicar regras de privacidade por toda a empresa. capacidade de atender ao prazo de maio de 2018 da GDPR.
> Atenda às medidas da GDPR com o SAS® Personal Data Protection > TOC 18
5 etapas para lidar com a GDPR Entrando em conformidade com a GDPR
3 5
Governe > Compreender dados pessoais começa com a capacidade de definir Audite > Outro elemento vital da GDPR é a auditoria. Nesse estágio, o regulador irá
seu significado e, na sequência, compartilhar esse conhecimento com toda a orga- requisitar provas de que você:
nização. Para a GDPR, regras de privacidade precisam ser documentadas e compar-
tilhadas entre todas as linhas de negócio. Essa é a maneira de garantir que os dados • Sabe quais dados pessoais você tem e onde eles estão localizados no seu
pessoais só possam ser acessados por aqueles com autorização, com base na natureza painel de dados;
dos dados, os direitos associados aos grupos de usuários e o contexto de uso. Para • Gerencia corretamente o processo de requisição de consentimento dos indivíduos
atingir isso, funções e definições devem ser estabelecidas em um modelo de gover- envolvidos;
nança. Só então você poderá conectar termos de negócio a fontes de dados físicos
• Rastreia e documenta como os dados pessoais são utilizados, quem os utiliza,
e estabelecer linhagens de dados que vão desde sua criação até o momento de uti-
e com que propósito;
lização. Isso lhe garante o nível necessário de controle sobre os dados.
• Tem os processos apropriados em funcionamento para gerenciar o direito de
ser esquecido, aviso de violação de dados e mais.
4 Implementar a GDPR afetará sua organização por inteira. Você precisará voltar à estaca
zero e repensar como lidar com dados pessoais da criação ao momento de utilização.
Proteja > Depois que você estabelecer o inventário de dados pessoais e modelos Você também precisará considerar como sua estrutura de gestão e governança de
de governança, é hora de definir o nível correto de proteção para os dados. Você dados suportará os requerimentos da GDPR. Embora possa parecer complicado, nossa
pode usar três técnicas para protegê-los: abordagem de cinco etapas pode fazer com que o caminho para o cumprimento da
GDPR seja mais tranquilo.
• Anonimização: remove dos dados as informações que permitem a identificação
pessoal;
• Pseudomização: substitui nos dados as informações que permitem a identificação Abordagem integrada
pessoal; Ser capaz de criar relatórios detalhados sobre o uso de dados pessoais não é um
simples requisito da GDPR – isso também ajuda você a gerenciar a exposição ao risco
• Criptografia: codifica nos dados as informações que permitem a identificação
de toda a sua organização. Nossa abordagem em cinco etapas é projetada para
pessoal.
guiá-lo por esses esforços, desde o acesso às fontes de dados à auditoria dos
resultados. Além disso, nossa abordagem pode fortalecer seu negócio, criar vínculos
Você precisa empregar a técnica apropriada a partir dos direitos do usuário e do
mais profundos com clientes e estimular inovações que podem ter implicações
contexto de uso – sem comprometer sua necessidade crescente de análise, previsão,
positivas e de longo alcance para o crescimento futuro.
investigação e criação de relatórios. O jeito mais fácil de fortalecer a privacidade dos
dados é, na verdade, usar o botão de apagar, mantendo apenas aqueles que você
precisa para executar processos de negócio essenciais e análises de valor agregado.
> Atenda às medidas da GDPR com o SAS® Personal Data Protection > TOC 19
Apêndice:
sumário dos
resultados
da pesquisa
apêndice: sumário dos resultados da pesquisa Entrando em conformidade com a GDPR
Survey stats: (NR) 347 (NR) 103 (NR) 41** (NR) 62 (NR) 44** (NR) 71
Number of employees
Financial Telco, media & Government & Chemical &
Total services communication health care manufacturing IT & services
250 to 500 6% 7% 5% 8% 5% 4%
I don’t know 2% 3% 5% 2% 2% 0%
Number of respondents (NR): 347 ** Base size <50 * Sig. Different from at least one other group (95%)
> Atenda às medidas da GDPR com o SAS® Personal Data Protection > TOC 21
apêndice: sumário dos resultados da pesquisa Entrando em conformidade com a GDPR
(NR) 347 (NR) 103 (NR) 41** (NR) 62 (NR) 44** (NR) 71
Role in
organizations
Financial Telco, media & Government & Chemical &
Total services communication health care manufacturing IT & services
Information Security 3% 2% 2% 3% 3% 7%
Human Resources 2% 1% 0% 3% 3% 0%
Other 3% 1% 0% 5% 5% 1%
Number of respondents (NR): 347 ** Base size <50 * Sig. Different from at least one other group (95%)
> Atenda às medidas da GDPR com o SAS® Personal Data Protection > TOC 22
apêndice: sumário dos resultados da pesquisa Entrando em conformidade com a GDPR
Total
Other 7%
Number of respondents (NR): 347 ** Base size <50 * Sig. Different from at least one other group (95%)
> Atenda às medidas da GDPR com o SAS® Personal Data Protection > TOC 23
apêndice: sumário dos resultados da pesquisa Entrando em conformidade com a GDPR
Total EU Non-EU
Knowing the actions we take to comply are sufficient. 59% 54% 71%*
71%
Finding stored personal data 48% 48% 50%
Number of respondents (NR): 347 ** Base size <50 * Sig. Different from at least one other group (95%)
> Atenda às medidas da GDPR com o SAS® Personal Data Protection > TOC 24
apêndice: sumário dos resultados da pesquisa Entrando em conformidade com a GDPR
(NR) 347 (NR) 103 (NR) 41** (NR) 62 (NR) 44** (NR) 71
Do you agree with the
statements below?
Financial Telco, media & Government & Chemical &
Total services communication health care manufacturing IT & services
GDPR will have large effects 67% 72% 76% 61% 64% 65%
on the IT of my organization
GDPR will have large effects on the 49% 66% 61% 52% 56%
55%
business of my organization
I am well informed about GDPR 54% 53% 56% 60% 48% 54%
GDPR will positively affect the trust between 47%* 59%* 55% 50% 58%
53%
my organization and its customers
Number of respondents (NR): 347 % top 2 answers on a 5-point agreement scale ** Base size <50 * Sig. Different from at least one other group (95%)
> Atenda às medidas da GDPR com o SAS® Personal Data Protection > TOC 25
apêndice: sumário dos resultados da pesquisa Entrando em conformidade com a GDPR
GDPR could be considered as a catalyst for digitalization. Based on this premise, which one of your analytical business
initiatives should benefit the most from GDPR?
Advance Analytics [Machine Learning] 29% 38%* 39%* 27% 27% 21%
Number of respondents (NR): 347 ** Base size <50 * Sig. Different from at least one other group (95%)
> Atenda às medidas da GDPR com o SAS® Personal Data Protection > TOC 26
Face the multifaceted challenges of GDPR compliance and gain long-term benefits
for your organization with SAS® for Personal Data Protection.
Follow us:
SAS and all other SAS Institute Inc. product or service names are registered trademarks or trademarks of SAS Institute Inc. in the USA and other countries. ® indicates USA registration. Other brand and product names are trademarks of their respective companies. Copyright © 2017, SAS Institute Inc. All rights reserved. 109109_G64716.1117