07.12.17

Opinião do Expert

Eficácia é a vertente esquecida dos projetos GDPR

  • #GDPR
  • #KeyrusManagement
Jean-Bernard Guidt, Parceiro de Negócios e Tecnologia | Keyrus Management
Eduard Yanchevsky, Chefe de Serviços ao Cliente | Keyrus Reino Unido
 
As empresas que abordam as novas regras europeias sobre a proteção de dados pessoais focando apenas na conformidade com essa nova regulamentação estão ignorando o aspecto que lhes ajudarão a cumprir com suas obrigações a longo prazo: ou seja, a eficácia da configuração e dos sistemas implementados para proteger, controlar e reportar o uso de dados.
 
 
Novas obrigações serão introduzidas para as empresas a partir de Maio de 2018, embora a “questão GDPR” é frequentemente considerada por algumas empresas como um tema puramente administrativo, que simplesmente requer uma revisão dos formulários CNIL, ou um exercício de implementação de acordos organizacionais e documentais para demonstrar conformidade com os regulamentos. Outras empresas incorretamente acreditam que a adoção dos padrões ISO 270001 é suficiente para garantir a conformidade de sua infraestrutura de informações com o GDPR. Estas abordagens estão erradas, pois não estabelecem uma ligação entre os requisitos do GDPR, a obrigação de cumpri-los e a realidade operacional das empresas. Na realidade, as empresas hoje são inteiramente dependentes de sistemas e processos de informação que capturam e utilizam dados - especialmente dados de clientes - em todos os níveis da corporação. Ao focar somente no aspecto de “conformidade” do GDPR, essas companhias ignoram um aspecto crítico, a eficácia ou, pior ainda, acreditam que qualquer coisa que está em conformidade com as regras também seria efetivo. Obviamente, isso não é o caso: os primeiros cintos de segurança (sem o mecanismo de retração) eram compatíveis com a regulamentação, mas não eram práticos nem efetivos...
 
AS ESCOLHAS DE INFRAESTRUTURA DETERMINAM A EFICÁCIA
 
O desafio é garantir que os múltiplos sistemas que utilizam dados de clientes - comércio eletrônico, Automação de Marketing, CRM, sistema de fidelidade, etc. - efetivamente protegem esses dados pessoais contra qualquer ação indevida ou violação das normas ao longo do tempo. O sistema de informação e os processos de negócios evoluem, e é por esse motivo que as infraestruturas de TI devem ser escolhidas de acordo com princípios comprovadamente efetivos. Por Exemplo:
• Gerenciando o repositório de clientes de forma centralizada oferece, além de um único “ponto de verdade”, um único ponto para controlar a qualidade dos dados do cliente e como essas informações são usadas. Essa maneira de trabalhar é mais eficaz, em vez de manter um sistema diferente para cada aplicativo individual que usa ou processa os dados do cliente.
• Centralizar a gestão de consentimento/preferências do cliente e configurar uma única via de acesso às informações para todos os aplicativos é uma forma de que todas suas comunicações externas refletem a versão mais recente do consentimento obtido de cada cliente para canais de contato específicos. Dessa maneira, além de gerenciar e controlar o consentimento de cada canal, as companhias também conseguem eliminar as inconsistências e até as não conformidades regulatórias resultantes disso.
• Segmentar os aplicativos usando dados do cliente usando critérios como a quantidade de usuários, nível de exposição, sensibilidade, etc. permite criar agrupamentos e gerenciar as regras de aplicativos de maneira global, em vez de manter sistemas individuais para cada aplicativo. Uma arquitetura construída de acordo com esses princípios aumenta a efetividade das equipes de TI, facilitando a adoção de regras comuns e automatizando os processos para controlar dados e como são usados. Isso também garante maior produtividade e mais segurança para as equipes corporativas, protegendo-as de riscos vindo do uso indevido dos dados nos termos do GDPR e da política de dados da empresa.
 
OS DESAFIOS DA DIMENSÃO DOS “DADOS” ALÉM DO GDPR
 
As regras, nesse caso o GDPR, são apenas um aspecto dos sistemas de gerenciamento e governança que devem ser adotados para criar valor a partir dos dados - especialmente os dados pessoais que se hoje são indispensáveis para o marketing, vendas e o relacionamento com o cliente. De fato, os dados deixaram de ser apenas um recurso, e passaram a ser um “ativo” estratégico que merece uma abordagem integral. Uma empresa que não possui uma estratégia para valorizar este ativo, uma visão clara de suas necessidades em relação aos dados e não desenvolveu uma cultura de dados entre seus funcionários, nem estabeleceu regras de governança para assegurar a disponibilidade, segurança, qualidade e rastreamento de seus dados, estará criando um sistema de compliance vulnerável, sem qualquer conexão com a realidade operacional. Além disso, a empresa terá que renovar seus esforços a cada nova evolução normativa. Mas, se a empresa inclui o Departamento Jurídico, o DPO2, o Departamento de SI e os departamentos que utilizam os dados do cliente no projeto GDPR, ela terá os meios para construir uma organização que minimiza os riscos específicos ligados aos dados pessoais, permite o uso desses dados de forma segura e efetivamente atende aos requisitos de auditoria externa, passando a satisfazer as necessidades de cada um de seus departamentos no uso de dados.
 
NENHUMA FERRAMENTA ASSEGURA A CONFORMIDADE COM O GDPR POR SI SÓ
 
Assuntos regulatórios sempre geram um grande volume de comunicação por provedores de soluções. Todos os provedores enfatizam que seu software é compliant com o GDPR, sejam soluções de gerenciamento de repositórios, transporte de informações ou emissão de relatórios. Em 80% dos casos, essas afirmações são inadequadas, sendo essencial entender que a adoção de várias soluções certificadas como “compatíveis com o GDPR” não garante a conformidade da companhia em termos gerais. Por outro lado, determinadas soluções que foram projetadas para atingir as expectativas da CNIL, oferecem um sistema de suporte efetivo e permitem emitir os relatórios de auditoria exigidos pelo regulamento. Em termos operacionais, o GDPR aborda tantas ferramentas e processos que uma única ferramenta seria incapaz de garantir o cumprimento de todas suas regras sozinha, seja durante a fase de estabelecer ou manter a conformidade. O trabalho de identificar quais são as ferramentas adequadas depende da natureza dos dados, do seu uso dentro da companhia e das opções de infraestrutura. Para as empresas que abordam todas essas vertentes, seus investimentos em conformidade estarão criando valor em longo prazo. Do outro lado, aqueles que se limitam somente aos aspectos normativos e administrativos estão se incorrendo em despesas que não serão efetivas e não agregam valor ou benefícios para a organização a longo prazo.
 
SOBRE OS AUTORES
 
Jean-Bernard Guidt, Gerente de Vendas da Eurobios (2006-2009), posteriormente responsável pelo Centro de Competência Urbana e Estrutural da Divisão de Negócios e Tecnologia da Capgemini (2009-2016), juntou-se à Keyrus Management em 2017 como Sócio Gerente. Ele aconselha seus clientes sobre como definir melhor suas estratégias, a evolução de seus sistemas operacionais e infraestruturas de TI, e de como adaptar os funcionários às organizações. Ele ajuda seus clientes a criar uma visão e construir uma trajetória empresarial.
Eduard Yanchevsky tem 15 anos de experiência em consultoria empresarial e gestão de desempenho, desenvolvendo soluções corporativas bem-sucedidas em empresas locais e internacionais de serviços públicos, telecomunicações, bancos, indústria de bens de consumo e serviços de pagamentos.
 
SOBRE A KEYRUS MANAGEMENT
 
A Keyrus Management é uma empresa de consultoria e parte do Grupo Keyrus , que combina experiência empresarial com expertise tecnológico em gestão de dados. A complementação dessas duas competências cria uma vantagem em termos de valor, criando um posicionamento único para a Keyrus Management no setor de consultoria. A Keyrus Management oferece assessoria para empresas de qualquer porte, sejam Grandes Contas ou empresas de porte médio ou pequeno, auxiliando sua transformação, aprimorando sua agilidade e acelerando o uso de tecnologias Digitais. A companhia está presente na França e em outros países, e conta com o apoio do Grupo Keyrus, que é especializado em Dados e Digital e atua em aproximadamente quinze países em quatro continentes.
 
1O grupo de padrões ISO 27000 é projetado para organizar e estruturar a segurança dos sistemas de informações. As normas não abordam a infraestrutura de segurança.
2Diretor de Proteção de Dados: um representante responsável pela proteção de dados, substituindo o Diretor de Privacidade Correspondant Informatique et Libertés/CIL. O GDPR exige a seleção de um DPO em empresas envolvidas em processamento de dados em grande escala para o monitoramento sistemático de dados sensíveis ou pessoais.