Agora que o prazo final do GDPR de 25 de Maio de 2018 já passou, admito que nunca pensei que as organizações conseguissem estar no prazo, em conformidade com o regulamento. Na verdade, imagino que a maioria das organizações não estavam 100% em conformidade na data estabelecida. Mas acredito que muitas tenham começado a jornada da gestão da protecção e privacidade de dados, de acordo com o GDPR.
Muitas organizações que estão a trabalhar para cumprir os requisitos de conformidade do GDPR não têm todas as ferramentas ou pessoas necessárias para atingir os seus objectivos. A maioria assume que o GDPR afectou, significativamente, a forma como fazem negócio. E muitas vezes dizem que o departamento de TI foi o “mais atingido”.
Independentemente da fase em que se encontra, considere o seguinte:
- Todos os seus sistemas de aplicativos e armazenamento de dados devem ser identificados e documentados – veja quais as ferramentas que estão disponíveis para ajudar. Acredito que se uma ferramenta pode fazer 70 a 80% do que precisamos é fazível irmos nessa direcção. Os outros 20 a 30% das tarefas demorarão mais tempo e serão mais difíceis de incluir, mas, pelo menos, terá 70 a 80% das suas necessidades cobertas.
- As interfaces deverão ser identificadas para compreender o movimento dos dados. Todos os armazenamentos de dados que incluam dados de funcionários ou clientes que possam conter dados pessoais europeus devem ser identificados e documentados. Todos os níveis de dados – incluindo tabelas de trabalho, tabelas temporárias e outros ambientes de armazenamento temporário – precisam de ser identificados e documentados. As interfaces podem ser quaisquer programas que movam dados, incluindo ETL, etc.
- Em algum momento terá de reportar todas estas informações. Os dias de pensar em reportar a posteriori desapareceram. Precisa de ter a certeza que pode obter a informação num formato que possa ser facilmente reportado e/ou auditado. Os relatórios necessitam de ser abordados no nível requerido pelas auditorias, mas também a um nível que um leigo inquirindo sobre os seus dados pessoais possa ver e compreender.
- Há desafios em ser capaz de contratar pessoas que são especializadas em conformidade e gestão de dados – vale a pena compreender estes desafios. Se o seu fornecedor de software tiver consultores, talvez seja necessário considerar usá-los para ajudar a implementar, rapidamente, o processo de conformidade com o GDPR. Isso ajudaria a aliviar alguma pressão imediata.
A conformidade com o GDPR exige uma boa gestão e governação de dados
As organizações que possuem práticas de gestão e governação de dados bem estabelecidas estão numa melhor posição para concluir, mais rapidamente, os requisitos do GDPR. Na verdade, muitos dos mesmos princípios que se aplicam à governação de dados também se aplicam ao GDPR. Portanto, considere todas as directrizes que definiu para a governação de dados como um óptimo ponto para começar. Por outras palavras, encontre o que já tem de bom e aproveite-o.
Se ainda não estiver pronto, esteja o mais preparado possível com o que já tem. Considere delinear os seus próximos passos como uma abordagem faseada que, eventualmente, o ajudará a alcançar a conformidade total.
Na minha opinião, algo é melhor do que nada. Se poder reportar sobre esses armazenamentos e interfaces de dados que usam ou movem dados pessoais europeus então tem uma base. O caos criativo pode ser um ambiente estimulante que incentiva os funcionários a pensar fora da caixa. Então, junte os seus “pensadores” e comece.
Assuma responsabilidade da sua resposta ao GDPR.
Joyce Norris-Montanari
Presidente da DBTech Solutions, Inc
Joyce Norris-Montanari, CBIP-CDM, é presidente da DBTech Solutions, Inc. É assessora em todos os aspectos da integração arquictetónica, business Intelligence e gestão de dados. A Joyce aconselha os clientes sobre tecnologia, incluindo ferramentas ETL, criação de perfis, base de dados, qualidade e metadados.
