Para muitas organizações, a preparação para o Regulamento Geral de Proteção de Dados (GDPR), da União Europeia (UE), tem sido um esforço demorado. Infelizmente, o trabalho não acabou. Agora que o GDPR está em vigor, as empresas precisam realizar auditorias internas regulares para avaliar seus níveis de conformidade. A capacidade de documentar essas auditorias é vital no caso de uma violação ou reclamação, porque mostrar que um esforço de boa fé foi feito pode ajudar a evitar uma grande penalidade.
“As auditorias são muito importantes, pois a responsabilidade é um dos princípios do GDPR, e as organizações devem monitorar seu programa de privacidade e conformidade”, diz Greg Sparrow, vice-presidente sênior e gerente geral da CompliancePoint.
“Além disso, as auditorias garantirão que as organizações possam detectar problemas ou erros em seus programas e, assim, demonstrar a devida diligência aos reguladores se as violações ocorrerem ou se forem questionadas”, disse Sparrow. “A conformidade não é um programa ‘configure e esqueça’. Espera-se que as empresas cumpram o regulamento e tenham um monitoramento regular para garantir que permaneçam em conformidade. ”
É importante conduzir auditorias GDPR “para verificar se os processos estão em vigor para lidar com as tarefas necessárias, incluindo o direito ao esquecimento e a portabilidade de dados, e para que os funcionários de proteção de dados [DPOs] e a equipe saibam o que fazer no caso de uma brecha de segurança”, acrescenta Gary Southwell, gerente geral da Divisão de Segurança Cibernética da CSPi.
“A verificação completa dos processos por meio de uma auditoria fornece medidas que podem ser usadas para melhoria do processo”, afirma Southwell. “Mas também fornece um elemento-chave de conformidade – provando que a sua empresa tem tais processos em funcionamento – antes que os problemas ocorram. Especificamente, também pode ajudar a melhorar a prontidão geral da resposta investigativa, algo que todas as empresas devem fazer para minimizar o risco de perda de dados ”.
Provavelmente, as auditorias GDPR envolverão pessoas fora da segurança, incluindo governança de dados, recursos de TI, do setor jurídico e do RH. Claramente, grande parte do foco será em programas de segurança cibernética.
Aqui estão os principais passos de uma auditoria GDPR, de acordo com especialistas do setor.