Em termos amplos e à luz do RGPD, dados pessoais são quaisquer dados relacionados com uma pessoa singular identificada ou identificável.
Se a sua organização detiver este tipo de dados - em bases de dados de clientes, em formulários de comentários preenchidos pelos seus clientes, no conteúdo de e-mail, em fotografias, em filmagens de CCTV, em registos de programas de fidelização, em bases de dados de RH, etc. – ou pretender recolhê-los, e se os dados pertencerem ou estiverem relacionados com os residentes da UE, terá até 25 de Maio de 2018 para cumprir com o RGPD e garantir a proteção da informação de potenciais abusos na sua recolha, armazenamento, utilização e partilha.
Assim, o primeiro passo para as empresas será perceber que dados pessoais detêm e onde estão os mesmos. Sejam estruturados ou não estruturados, todos os tipos de dados estão cobertos pelo RGPD e devem num a primeira fase ser inventariados.
Para os dados estruturados, digamos que dada a sua natureza e passo a redundância, “estruturada” a tarefa de inventário é geralmente acessível de definir e concretizar. Estamos a falar de bases de dados de múltiplos géneros e das aplicações que e lhes dão tratamento (ERP, CRM, HR, etc).
Já para os dados não estruturados, o desafio é imenso. Refiro-me a informação que está armazenada em documentos word, excel, powerpoint, etc e espalhada para além da organização. Informação que reside em discos usb, telemóveis e computadores portáteis, que circula por e-mail e por partilhas nas redes de armazenamento na cloud. Este tipo de informação que no passado “descansava” calmamente num servidor de ficheiros controlado pela empresa passou nos últimos anos a ser muito difícil de controlar. Até porque a informação, por ser útil e relevante, normalmente é partilhada com colegas, fornecedores e parceiros.
Dada a dimensão do problema dos dados não estruturados, é muito importante ter uma boa estratégia que nos apoie na identificação dos dados pessoais pois só assim conseguimos ter uma noção do âmbito e do risco a que a organização está exposta. Descobrir os dados pessoais em informação não estruturada é um processo contínuo que começa quando o documento é criado e se mantém até o mesmo ser apagado. Por esta razão a estratégia de identificação deve ter uma abordagem em duas frentes:
- Analisar periodicamente os repositórios de informação para identificar dados pessoais
- Identificar dados pessoais na fase de criação e documentos ou de atualização de um documento existente.
A primeira é uma tarefa periódica, recorrente, que tem como objetivo percorrer os múltiplos repositórios de informação da empresa: SharePoint, Servidores de ficheiros, Desktops, Arquivos de e-mail, etc. A segunda, mais proactiva, funciona em tempo real (ou quase real) quando um e-mail é enviado ou quando um documento é criado ou alterado.
Seguir esta estratégia, permitirá de forma coerente identificar e classificar os dados em risco e de seguida partir para as próximas fases.
O tema da proteção dos dados está longe de ser novo. Sejam dados pessoais ou não, todos os dados sensíveis de uma organização devem ser devidamente protegidos partindo do principio que vão de alguma forma circular e não ficar estáticos no file server. Há anos que soluções de gestão de direitos como RMS e soluções de gestão documental como o Sharepoint permitem efetivamente proteger e classificar documentos. Soluções de ultima geração como por exemplo o Azure Information Protection vão mais longe e numa única plataforma, protegem, classificam e rastreiam. O que o RGPD veio trazer de novo foi de facto uma data. Uma data em que todos (ou quase todos) teremos de cumprir com a lei e demonstrá-lo quando confrontados com uma auditoria, resultado por exemplo de denúncia ou de uma violação de dados pessoais.