Navegando a proteção de dados e sobrecarga regulatória
Preocupado com as normas de dados como NIS2, GDPR, CCPA/CPRA ou HIPAA (para citar algumas)? Não fique. Saiba como a aplicação de melhores práticas e a parceria com as pessoas certas podem fazer toda a diferença.
As organizações estão coletando e gerenciando mais dados do que nunca. À medida que o uso da tecnologia se expande em todas as funções de negócios, o aumento de dados só continua.
Os governos e indústrias estão continuamente promulgando e desenvolvendo estruturas de privacidade e proteção de dados. Algumas são leis que impõem multas pesadas em caso de não compliance, outras simplesmente propõem diretrizes a serem seguidas. De qualquer forma, a maioria deles compartilha o mesmo objetivo: incentivar as organizações a seguir as melhores práticas na forma como coletam, armazenam, gerenciam e protegem os dados.
Embora o acompanhamento de todas as regulamentações de dados possa parecer uma tarefa árdua, não precisa ser assim. Há muita sobreposição entre vários regulamentos e diretrizes de proteção de dados. Descubra como você pode permanecer em em compliance com com regulamentações novas e existentes.
EBOOK
Resumo dos principais regulamentos de proteção e privacidade
Um grande fator que contribui para essa sobrecarga é que existem muitas regulamentações diferentes de proteção de dados e privacidade. Lembrar de todas as siglas e o que elas representam já é bastante difícil. Conhecer os detalhes, requisitos e consequências de cada uma aumenta a complexidade.
O mais importante é entender que todas compartilham princípios e requisitos semelhantes para proteção de dados. De muitas maneiras, são complementares uma à outra. Antes de nos aprofundarmos nos pontos em comum, vamos explorar algumas regulamentações diferentes ao redor do mundo:
 |
Regulamentação Geral de Proteção de Dados |
A Regulamentação Geral de Proteção de Dados (RGPD) é uma das mais importantes regulamentações de proteção de dados e privacidade na Europa. Ela regulamenta como as organizações coletam, usam e compartilham dados pessoais de residentes da União Europeia (UE). A RGPD é bem conhecida em todo o mundo, principalmente porque se aplica internacionalmente a todas as organizações que lidam com dados de residentes da UE e estabeleceu uma referência para multas por não compliance—até 4% da receita anual ou 20 milhões de euros, o que for maior.
 |
Diretiva de Redes e Sistemas de Informação |
A Diretiva de Redes e Sistemas de Informação (NIS2) é uma expansão de uma diretiva anterior da UE sobre cybersecurity, a NIS1. Ela garante que todas as organizações que prestam serviços ou realizam suas atividades dentro da UE e são consideradas parte de infraestrutura essencial adotem e mantenham práticas rigorosas de cybersecurity. Também aborda aspectos como segurança de perímetro, acesso a edifícios, gerenciamento de visitantes e recuperação de desastres. Você pode avaliar seu sistema atual com esta lista de verificação.
WHITEPAPER
 |
ISO 27001 |
O ISO 27001 é o principal padrão internacional para gerenciamento de segurança da informação. Ele estabelece uma estrutura com requisitos específicos projetados para ajudar as organizações a gerenciar e proteger efetivamente os riscos de segurança da informação. Embora esses requisitos ISO não sejam obrigatórios, muitas empresas obtêm a certificação para gerenciar melhor os riscos e mostrar aos parceiros de negócios e clientes que levam a segurança de dados a sério.
 |
Lei da União Europeia sobre Inteligência Artificial |
A Lei de Inteligência Artificial da União Europeia (Lei de IA da UE) é uma legislação que regula como os sistemas de IA devem ser desenvolvidos e utilizados. Seu objetivo é garantir que os sistemas de inteligência artificial presentes na UE sejam seguros, transparentes, rastreáveis, não discriminatórios e ambientalmente sustentáveis. Aplica diferentes categorias de risco às aplicações de IA e estipula penalidades por não compliance de até 35 milhões de euros ou 7% do faturamento anual mundial.
 |
Mais regulamentações de proteção de dados e privacidade em todo o mundo |
- The Data Protection Act, Reino Unido
- Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA), Canadá
- Bundesdatenschutzgesetz (BDSG), Alemanha; fazendo amplo uso das exceções permitidas, expande significativamente o GDPR
- Lei Geral de Proteção de Dados (LGPD), Brasil; devido ao seu efeito extraterritorial é aplicável também a organizações não registradas no Brasil
- Federal Act on Data Protection (FADP), Suiça
- California Privacy Rights Act (CPRA), Califórnia, USA
- Health Insurance Portability and Accountability Act (HIPAA), Estados Unidos
BLOG
Os princípios fundamentais da regulamentação de proteção de dados
Cada lei, regulamento ou diretiva, normalmente terá requisitos específicos que podem ou não se aplicar ao seu negócio e operações. No entanto, se sua organização já está pensando proativamente ou investindo em práticas de privacidade e proteção de dados, você provavelmente está no caminho certo para o compliance.
Organizações responsáveis fazem a coisa certa. Elas entendem o valor e a urgência de manter todos os dados que estão em sua posse — sejam eles seus ou de seus fornecedores, parceiros ou clientes — seguros. Têm interesse em realizar avaliações, investir em ferramentas e implementar processos que estejam alinhados com os princípios fundamentais das regulamentações de proteção de dados e privacidade. Não é porque precisam fazer isso, mas porque sabem que isso manterá a continuidade dos negócios, bem como a confiança dos parceiros e clientes.
Quais são os princípios fundamentais de proteção de dados que sustentam a maioria das regulamentações de dados? Aqui está um resumo rápido:
 |
Permissão para coletar e usar |
Você precisa ter as permissões corretas para coletar e usar dados, alinhadas a uma finalidade ou objetivo legítimo.
 |
Limitação de armazenamento e uso |
Você deve limitar os dados que retém e usar ou armazenar apenas os dados necessários para atender a requisitos ou objetivos específicos.
 |
Transparência e precisão |
Você precisa permanecer transparente sobre suas práticas de dados e garantir que as informações sejam precisas para que você possa lidar com elas adequadamente.
 |
Proteção e segurança |
Você precisa tomar medidas adequadas para proteger e garantir a segurança dos seus dados, assegurando que apenas pessoas que precisam ter acesso a eles possam fazê-lo.
 |
Direitos individuais |
Você precisa respeitar os direitos dos indivíduos sobre seus próprios dados, incluindo direitos de acesso, retificação, exclusão e outros.
|
Responsabilidade |
Você deve assumir a responsabilidade pelo manuseio dos dados, incluindo adoção de medidas e registros apropriados que comprovem como você lida com os dados e o que faz para manter os princípios de proteção e privacidade dos mesmos.
MARQUE COMO FAVORITO
3 mal-entendidos comuns sobre regulamentações de dados
Seguir as melhores práticas e conhecer os detalhes das regulamentações de proteção de dados são passos na direção certa. Mas mesmo assim, alguma confusão ainda pode surgir. Perguntas como "Esta é uma lei ou diretriz de proteção de dados?", "Os dados precisam residir em nosso país?" ou "Essa solicitação de dados é de nossa responsabilidade?" são algumas das mais comuns.
Aqui estão as principais considerações sobre regulamentações de dados:
 |
Compreendendo regulamentações versus diretivas e diretrizes |
Há muita publicidade hoje sobre a mais recente Diretiva NIS2. Alguns anos atrás, o mesmo aconteceu com o GDPR. Nos próximos anos, provavelmente haverá outras novas estruturas que chamarão a atenção.
WEBINAR
Embora seja essencial se manter atualizado sobre o que está acontecendo, você não precisa acreditar em todas essas novidades. Isso é particularmente verdadeiro se você já estiver aplicando as melhores práticas de segurança e privacidade de dados e escolhendo parceiros confiáveis ao longo do caminho. Adotar uma abordagem prática e abrangente para proteger seus dados pode ajudar muito a manter compliance.
Além disso, é importante ter em mente: nem todas as estruturas são leis. Por exemplo, o GDPR é um regulamento que tem força legal vinculativa em todos os estados-membros da UE. Por outro lado, o NIS2 é uma diretiva. Significa que ele fornece requisitos que devem ser cumpridos, mas também exige que os estados-membros traduzam essas obrigações em leis nacionais. Entre os estados-membros, pode haver diferenças na forma como o NIS2 é implementado e aplicado.
ISO 27001 é uma norma e certificação. Embora não seja legalmente obrigatória, compliance com a ISO 27001 pode ajudar as organizações a atender a várias outras regulamentações porque as recomendações se alinham bem com aquelas descritas no GDPR e na Diretiva NIS2.
Saber disso ajudará você a lidar melhor com as expectativas e exigências à medida que novas legislações ou diretrizes forem publicadas.
GUIA GRATUITO
 |
A verdade sobre governança e geografia de dados |
Hoje em dia, mais organizações estão adotando soluções na nuvem ou implantações de nuvem híbrida. Ao fazer isso, eles questionam se precisam manter os dados dentro de seus próprios países para cumprir as regulamentações. Aqui está a resposta curta: a maioria dos dados são cobertos por embargos de residência de dados e podem, portanto, ser legitimamente exportados e manipulados em outros países, desde que certas medidas de privacidade e segurança sejam implementadas.
Há algumas exceções a isso. Por exemplo, certos tipos de dados manipulados por participantes de indústrias altamente regulamentadas (como bancos, governo e infraestrutura crítica) podem, devido à sensibilidade de suas operações, estar sujeitos a restrições de residência de dados. Em outros casos, certas organizações podem simplesmente ter uma preferência ou política de manter dados dentro de certos limites geográficos, sem que essa medida seja legalmente obrigatória.
Dados pessoais parecem ser outra grande exceção. Na verdade, para a maioria, não há requisitos regulatórios para dados pessoais residentes em seu país. O que realmente importa é se os dados são tratados e protegidos de maneiras que atendem às regulamentações aplicáveis do país de origem.
É por isso que trabalhar com um fornecedor confiável é fundamental. Fornecedores informados e capacitados também devem ser capazes de fornecer várias opções de locais de data center para acomodar suas necessidades e preferências, ao mesmo tempo em que ajudam você a determinar o que é melhor para sua organização à luz de quaisquer requisitos comerciais e regulatórios específicos.
 |
Conhecendo suas funções e responsabilidades |
Em toda a sua supply chain, é provável que existam muitas organizações diferentes com funções variadas lidando com seus dados. Embora, em última análise, seja sua escolha decidir quem tem acesso a quê, os parceiros que você escolher também têm a responsabilidade de garantir que seus dados sejam gerenciados e protegidos adequadamente.
Por exemplo, como controlador de dados, é seu trabalho ser diligente e verificar os parceiros de canal e fornecedores com os quais você trabalha. Você também deve confirmar a quais dados eles têm acesso e como pretendem gerenciá-los, armazená-los e protegê-los. Você também é responsável por avaliar continuamente as práticas deles para garantir que estejam cumprindo as melhores práticas e honrando seus compromissos.
Mas nem tudo depende de você. Esses parceiros e fornecedores de tecnologia geralmente atuam como seus processadores de dados. Significa que eles se tornam responsáveis pelos resultados da tecnologia e devem permanecer transparentes sobre como lidarão e protegerão seus dados. Eles também devem assumir a responsabilidade por quaisquer ações próprias (incluindo as de seus respectivos fornecedores) que possam impactar sua organização e que não estejam alinhadas com os compromissos que possam assumir com você.
Como as soluções que você escolher podem facilitar o compliance
Nem todas as soluções de segurança física no mercado são criadas para oferecer suporte às melhores práticas de cybersecurity e privacidade. Alguns sistemas mais antigos e distintos não foram projetados para atender aos diversos requisitos e estruturas regulatórias.
Se o compliance contínuo com essas regulamentações for uma prioridade, escolher uma plataforma de segurança física unificada, projetada com cybersecurity e privacidade em mente, pode ajudar. Outros fatores, como modelos de implantação e práticas de IA responsáveis, podem ajudar você a avançar em direção às suas metas de compliance.
Veja como:
Ferramentas integradas de proteção de dados e privacidade
Soluções de segurança física desenvolvidas com cybersecurity e privacidade em mente vêm com uma série de ferramentas que ajudam você a aumentar a resiliência e manter os dados seguros. Métodos de criptografia, autorização e autenticação podem ajudar a proteger seus dados e evitar que caiam em mãos erradas.
Ferramentas e serviços avançados alertam você sobre possíveis vulnerabilidades e ajudam a simplificar as atualizações. Outros recursos podem permitir que você restrinja o acesso e privilégios do usuário e forneça scores de segurança para garantir que alcance a resiliência total do sistema.
HUB
Uma abordagem unificada de segurança física
Uma plataforma de segurança física unificada ajuda você a implementar uma estratégia única e global de privacidade e proteção de dados. Ter uma plataforma simplifica esse processo, ajudando você a padronizar suas medidas de cybersecurity em todos os seus sistemas de segurança física.
Usando uma plataforma unificada, você não precisará perder tempo verificando diferentes soluções para garantir a higiene cibernética, monitorar o status de integridade do seu sistema ou gerenciar controles de privacidade. Em vez disso, você poderá gerenciar todas as suas configurações de segurança, proteção de dados e privacidade relacionadas a todos os seus sistemas por meio de uma única interface.
Whitepaper
Implantações de nuvem e nuvem híbrida
Soluções na nuvem aliviam o fardo da manutenção constante e do reforço das suas equipes de TI e segurança. Se você tem uma implantação na nuvem ou nuvem híbrida, consegue supervisionar remotamente as verificações de integridade do sistema e controles de privacidade de qualquer lugar. Você também obterá níveis mais altos de automação para garantir resiliência cibernética.
Optar por uma solução de segurança física como serviço (PSaaS) significa que você pode obter as versões e correções mais recentes enviadas automaticamente para o seu sistema. Você também terá acesso aos mais recentes recursos de cybersecurity e privacidade assim que estiverem disponíveis. Isso ajuda a garantir que seus sistemas de segurança física estejam sempre atualizados e protegidos contra vulnerabilidades.
PRODUTO
A importância da IA responsável
A inteligência artificial (IA) pode processar muitos dados muito rapidamente. Por isso, o interesse em IA vem crescendo na indústria de segurança física. No entanto, se não forem tratadas de forma responsável, as tecnologias baseadas em IA podem ser desenvolvidas ou usadas de maneiras que invadam a privacidade. Tudo, desde preconceitos e discriminação até resultados e decisões distorcidas, é possível.
É por isso que tem havido mais foco regulatório em inovações baseadas em IA — e por que cada organização precisa estar atenta às soluções que escolhe e implementa. Escolher fornecedores que priorizem a IA Responsável é essencial para aqueles que desejam manter compliance regulatório.
Na Genetec, IA responsável significa garantir que nossas tecnologias de IA sejam construídas com princípios específicos em mente:
- Privacidade e governança de dados: Assumindo a responsabilidade pela forma como usamos a IA no desenvolvimento de nossas soluções. Utilizando apenas conjuntos de dados que respeitem as regulamentações relevantes de proteção de dados. Mantendo a proteção de dados e a privacidade em mente em tudo o que fazemos.
- Confiabilidade e segurança:Considerando maneiras de minimizar o viés e aumentar a precisão no desenvolvimento de modelos de IA. Sempre nos esforçando para tornar os resultados da IA explicáveis.
- Humanos no circuito: Priorizar a tomada de decisões centrada no ser humano e garantir que os modelos de IA não consigam tomar decisões críticas por conta própria.
BLOG
Como escolher o fornecedor certo para manter compliance regulatório
Os dados estão em todo lugar, não há como fugir deles. Vivemos em um mundo conectado e orientado por dados. E embora as novas regulamentações de proteção de dados e privacidade possam parecer assustadoras, elas não devem ser uma surpresa.
As organizações responsáveis sabem que essas estruturas e padrões regulatórios estão alinhados com práticas comerciais críticas. E isso vem com uma compreensão mais ampla do que compliance realmente envolve: adotar uma abordagem pragmática e abrangente para a proteção de dados e privacidade e fazer parcerias com fornecedores confiáveis.
BLOG
Afinal, garantir compliance com as estruturas regulatórias em evolução não depende apenas da tecnologia que você escolhe, mas também das pessoas com quem faz parceria. E ter parceiros ao seu lado que valorizam e priorizam o cumprimento dessas regulamentações é importante. Eles terão os recursos, tecnologia, conhecimento jurídico, contratos e parcerias que ajudarão você a manter uma supervisão adequada, não importa como as regulamentações evoluam.