Você está lidando com seus dados corretamente? Não importa o tamanho da sua empresa sediada no Reino Unido, é provável que você processe muitas informações pessoais sobre clientes em potencial, clientes, funcionários e fornecedores toda semana, portanto, você precisa ter certeza de que está cuidando dela da maneira certa e cumprindo leis de proteção de dados. Se você não fizer isso, poderá enfrentar multas pesadas e, talvez pior, perda de reputação, confiança em seus negócios e níveis crescentes de ações legais.
A proteção de dados é importante – então você está fazendo certo?
Aqui estão algumas dicas para ajudá-lo a verificar se está fazendo certo:
#1 – Entenda os antecedentes da legislação
Os regulamentos do GDPR foram introduzidos em 2018 para fornecer às pessoas mais controle sobre os dados pessoais que fornecem às empresas, definindo regras claras sobre como as empresas recebem, armazenam, usam, protegem e apagam esses dados.
Os novos regulamentos viram mudanças em duas áreas principais: eles exigem que as empresas sejam muito mais transparentes e justas sobre seu processamento e tenham um nível muito maior de governança e controle para esses processos. O GDPR foi originalmente introduzido como legislação da UE, mas quando o Reino Unido deixou a UE, os regulamentos foram incorporados à Lei de Proteção de Dados do Reino Unido como GDPR do Reino Unido.
#2 – Entenda o que são dados pessoais
O principal objetivo dos regulamentos é proteger os dados pessoais das pessoas e evitar que sejam usados indevidamente. Dados pessoais são quaisquer dados relacionados a um indivíduo identificável, como nome, número de telefone, endereço, endereço de e-mail, cartão de crédito, detalhes da conta bancária, comentários feitos por sua equipe, fotos ou endereço IP.
As empresas tendem a coletar muito, por exemplo, quando mantêm os detalhes de contato dos clientes em arquivo ou mantêm um registro de quantas horas seus funcionários trabalham.
Todos esses detalhes podem ser usados para prejudicar a privacidade ou a segurança dos indivíduos, por isso é tão importante que sejam gerenciados adequadamente.
Os dados pessoais também podem incluir categorias especiais de informações, como crenças religiosas, registros médicos, etnia e gênero, que exigem controles adicionais.
#3 – Conheça os princípios por trás da legislação de proteção de dados
A legislação é baseada em sete princípios-chave que definem como você e sua empresa devem abordar o processamento de dados pessoais:
- Os dados pessoais são tratados de forma lícita, completa e transparente
- É coletado para propósitos específicos, explícitos e legítimos
- Limita-se ao necessário
- Os dados são precisos e, quando necessário, mantidos atualizados
- Armazenado apenas pelo tempo necessário
- Processado de forma segura
- Que você, como controlador de dados, pode provar formalmente que é responsável pela proteção dos dados
Você também tem a obrigação legal de responder adequadamente às solicitações de indivíduos relacionadas a seus dados, como informar quais dados você está processando e por quê, e suas solicitações para alterar, excluir ou interromper o processamento de seus dados.
A proteção de dados é supervisionada no Reino Unido pelo Information Commissioner’s Office (ICO), que foi criado para garantir que as organizações manejem e protejam os dados adequadamente – você pode acessar seu guia de proteção de dados para empresas aqui.
#4 – Registre-se na ICO
Todas as empresas, organizações e comerciantes individuais que processam dados pessoais devem se registrar no ICO e pagar uma taxa de proteção de dados, geralmente £ 40-60 por ano, a menos que estejam isentos. Você pode usar a ferramenta de verificação online da ICO para ver se sua empresa precisa pagar a taxa ou se está isenta. Mesmo se você estiver isento de pagar uma taxa, ainda precisará cumprir outras obrigações de proteção de dados.
#5 – Assuma o controle
Como proprietário ou líder da empresa, a responsabilidade de fazer isso corretamente é sua. Portanto, comece verificando quais dados pessoais você coleta atualmente, como os armazena e para que os usa. Em seguida, comece a verificar se suas ações atendem atualmente aos requisitos dos regulamentos. A ICO criou uma lista de verificação de autoavaliação online gratuita para proprietários de pequenas empresas e comerciantes individuais para verificar o quão bem eles cumprem a lei de proteção de dados e o que mais eles deveriam fazer. Você pode acessá-lo aqui.
#6 – Verifique seus sistemas de armazenamento
No entanto, você coleta, armazena e processa dados, seja em um computador, em um smartphone ou na nuvem, você deve garantir que seus sistemas sejam seguros, realizando avaliações de risco adequadas e, se necessário, instale medidas de segurança maiores, como como firewalls mais fortes. Muitas organizações também usam padrões do setor para segurança, como Cyber Essentials ou ISO 27001.
Se você estiver compartilhando dados com terceiros, ou eles estiverem processando dados em seu nome, a adequação dos contratos e a qualidade de seus controles de segurança também precisam ser consideradas, juntamente com salvaguardas para dados processados (transferidos, visualizados, armazenados etc.) do Reino Unido ou da UE.
#7 – Relate qualquer violação de dados imediatamente
As violações de dados podem ocorrer deliberadamente e por acidente. Uma violação pode ser causada por um hacker criminoso atacando seus sistemas, mas também pode ser causada por um funcionário acidentalmente enviando informações pessoais para a pessoa errada, talvez copiando todos em uma lista de e-mails, por alguém deixando acidentalmente um laptop em um táxi que contém dados pessoais, ou pela empresa armazenando dados em um banco de dados que não foi protegido com controles de segurança suficientemente robustos.
Independentemente da forma como a violação acontece, você deve notificar a ICO dentro de 72 horas após tomar conhecimento dela, se os indivíduos estiverem em risco.
#8 – Veja isso como uma responsabilidade contínua
Aderir à legislação de proteção de dados não é apenas uma ação única – você precisa garantir que está sempre atualizado. Todos na organização, de cima para baixo, são responsáveis pela proteção de dados, portanto, certifique-se de que eles entendam seu papel e forneçam treinamento regular de proteção de dados para sua equipe.
Christian Nellemann é fundador do fornecedor de telecomunicações para pequenas empresas XLN.
livro do cristão Raw Business: Um relato direto do que significa ser um empreendedor de sucesso está disponível para compra aqui
Leitura adicional
Segurança cibernética e proteção de dados para PMEs – um podcast com especialistas