Arrow ECS debate âmbito tecnológico do Regulamento Geral de Proteção de Dados

Os mais recentes estudos realizados no mercado português indicam que a esmagadora maioria das empresas não estão preparadas, ou a preparar-se, para as alterações trazidas pelo novo Regulamento Geral de Proteção de Dados, de cumprimento obrigatório a partir de 25 de maio.

A pouco mais de dois meses do seu cumprimento obrigatório, a Arrow ECS organizou um evento dedicado à temática, que contou com a presença do advogado Daniel Reis, sócio da PLMJ TMT, e de quatro fornecedores de soluções da área da segurança que integram o porftólio do distribuidor de valor acrescentado: Fortinet, Symantec, F5 e Splunk. “Durante o último ano temos vindo a tentar sensibilizar as organizações para este tema. Os estudos indicam que apenas cerca de 2,5% das empresas, em Portugal, estão preparadas para a nova diretiva”, justificou Sónia Casaca, business unit manager na Arrow Security.

A pouco mais de 60 dias do cumprimento obrigatório, o que falta fazer? Do ponto de vista legal, Daniel Reis sublinhou que importa “ter uma abordagem holística e começar por fazer um levantamento da realidade na organização”, bem como uma “gap analysis”.

O advogado da PLMJ TMT aconselhou as empresas a tomar imediatamente três ações: identificar o sistema de compliance que pretendem; fazer um inventário de todos os tratamentos de dados, obrigação explícita do artigo 30; e identificar todos os documentos, onde se incluem, por exemplo, contratos com fornecedores, que expõem os dados pessoais para fora da organização; e rever toda a documentação à luz do RGPD.

A forma correta de endereçar o RGPD nesta fase, acrescentou, passa por “dar importância ao tema e lançar um conjunto de medidas”.

Muitas destas medidas são tecnológicas, apesar de o novo regulamento não o ser. João Abreu, Fortinet systems engineer, chamou a atenção para isso mesmo, dizendo que a tecnologia “está implícita” no RGPD e que um cumprimento bem-sucedido está na procura de um equilíbrio entre os direitos pessoais e a sua utilização por parte das organizações, sublinhando a importância de “fechar a janela de oportunidade para as violações de segurança” e de realizar uma análise constante do risco.

Ivan García, da F5, insistiu que “todas as organizações têm de focar-se na segurança”, dado que o RGPD não deixa margem para outra opção. Entre os vários pontos-chave, destacou a importância de as organizações estarem dotadas de ferramentas que lhes permitam notificar convenientemente as autoridades e o regulador em caso de violação de segurança, obrigatoriedade do Regulamento que, se não for bem executada, pode aportar multas avultadas. O territory manager insistiu ainda que o RGPD pode ser uma vantagem competitiva e um enabler de boas práticas, mensagem reforçada por Ramses Gallego, Symantec strategist & evangelist, que disse que “a confiança é o core dos negócios” e que tem de ser conquistada. O RGPD vem recentrar este aspeto na estratégia das organizações, num mundo onde “pessoas e dados são o ativo mais valioso das empresas”, referiu.

Giovanni Morreale, EMEA technical distribution manager da Splunk, endereçou o papel da analítica na deteção, prevenção e investigação de violações de dados nos prazos contemplados o novo Regulamento.