Desafios da privacidade e proteção de dados em um mundo Covid e pós-pandemia

Publicados: 2020-09-04

A súbita mudança digital causada pelos efeitos do Covid-19 apresenta um grande desafio em conformidade

A maioria das organizações não tem uma compreensão básica dos dados que coletam, muito menos dos motivos e propósitos de tal coleta

A estrutura legal de privacidade e proteção de dados da Índia está prestes a dar um salto quântico na forma do Projeto de Lei de Proteção de Dados Pessoais 2019

A pandemia de Covid-19 interrompeu massivamente e continua a atrapalhar a maneira como indivíduos, governos e corporações funcionam em praticamente qualquer esfera da vida. A maior manifestação dessa disrupção é vista na crescente adoção de soluções tecnológicas para enfrentar os desafios que esta pandemia está colocando.

Principais destaques da lei atual

A Lei de Tecnologia da Informação de 2000 (Lei de TI) lida com as Regras de Tecnologia da Informação (Práticas e Procedimentos de Segurança Razoáveis ​​e Dados ou Informações Pessoais Sensíveis) Regras de 2011 (Regras de Dados Pessoais Sensíveis) são a principal legislação que rege a coleta e processamento de informações pessoais e informações pessoais confidenciais dados ou informações (Dados Pessoais Sensíveis) em uma base neutra do setor.

As regras de dados pessoais confidenciais designam principalmente o seguinte como dados pessoais confidenciais:

  • Senha
  • Informações financeiras, como conta bancária ou cartão de crédito ou cartão de débito ou outros detalhes do instrumento de pagamento
  • Condição de saúde física, fisiológica e mental
  • Orientação sexual
  • Registros médicos e história
  • Informações biométricas

Os dados pessoais sensíveis podem ser recolhidos por uma pessoa colectiva em conformidade com as disposições das regras de dados pessoais sensíveis, incluindo a obtenção do consentimento do fornecedor das informações.

Desafios de conformidade introduzidos pelo Covid-19

A súbita mudança digital causada pelos efeitos do Covid-19 apresenta um grande desafio no compliance, considerando as perspectivas gerais de compliance em relação à privacidade de dados na Índia. Com o trabalho remoto após o Covid-19, a privacidade, a segurança e o gerenciamento de dados se tornaram uma grande preocupação para a maioria das organizações devido à falta de capacidade para lidar com a privacidade e a proteção dos dados.

Recomendado para você:

Como a estrutura do agregador de contas do RBI está definida para transformar as fintechs na Índia
Recursos

Como a estrutura do agregador de contas do RBI está definida para transformar as fintechs na Índia

Empreendedores não podem criar startups sustentáveis ​​e escaláveis ​​por meio do ‘Jugaad’: CEO da CitiusTech
Notícia

Empreendedores não podem criar startups sustentáveis ​​e escaláveis ​​por meio do 'Jugaad':...

Como o Metaverse transformará a indústria automobilística indiana
Recursos

Como o Metaverse transformará a indústria automobilística indiana

O que significa a provisão antilucratividade para startups indianas?
Recursos

O que significa a provisão antilucratividade para startups indianas?

Como as startups de Edtech estão ajudando a melhorar a qualificação e a preparar a força de trabalho para o futuro
Recursos

Como as startups de Edtech estão ajudando a qualificação da força de trabalho da Índia e se preparando para o futuro

Notícia

Ações de tecnologia da nova era esta semana: os problemas do Zomato continuam, EaseMyTrip publica...

Além disso, houve certas medidas que foram realizadas devido ao Covid-19, como registro de temperatura e triagem de funcionários e visitantes, mas que na maioria dos casos foram feitas sem as devidas salvaguardas e aderência às conformidades. Outra área de preocupação tem sido a falta de investimento em segurança cibernética e a falta de pessoal competente para lidar com assuntos como segurança de dados.

O que pode ser feito?

Mapeamento de dados

A maioria das organizações nem mesmo tem um entendimento básico dos dados que coletam, muito menos dos motivos e propósitos de tal coleta. Isso pode ser especialmente prejudicial em setores focados no cliente, como varejo, que coletam dados a uma taxa de nós, mas nem sequer têm uma auditoria rudimentar das práticas de dados. Uma prática básica que pode estabelecer a base de um sistema sólido de tratamento de dados em uma organização é analisar o tipo e a quantidade de dados que estão sendo processados ​​e mapeá-los para as finalidades e departamentos potenciais que podem exigir acesso a esses dados.

Questões a Considerar

  • Qual a importância dos dados para o negócio? Se os dados não são necessários para o negócio, por que eles estão sendo coletados?
  • Se os dados são um ativo assim como um ativo físico, quem deve ter acesso e como deve ser protegido dentro da organização?

Construindo Capacidade Organizacional

É melhor não pensar em privacidade e proteção de dados em silos. Embora seja desnecessário dizer que confundir um CISO com um CTO não é um reflexo particularmente bom da capacidade organizacional, em última análise, todas as pessoas envolvidas por uma organização devem ser sensibilizadas para entender o valor da proteção de dados. Etapas como sessões regulares de treinamento e políticas claras sobre o uso de dispositivos e redes dentro da organização podem ser soluções incrivelmente econômicas para a conformidade.

Questões a Considerar

  • Existe uma política que abranja a responsabilidade de um funcionário para garantir a confidencialidade de dados proprietários e informações do cliente?
  • Existe alguma matriz de responsabilidade com responsabilidade clara sendo atribuída a pessoal específico para garantir a proteção de dados na organização?

Importância para a segurança cibernética

As organizações muitas vezes se assustam com os custos de implementação de tais soluções, mas qualquer esforço para proteger os dados seria um esforço vazio sem elas. Curiosamente, muitas organizações não consideram os padrões de segurança cibernética usados ​​por seus fornecedores de TI, como provedores de nuvem. As organizações que usam TI internamente podem considerar fazer uma análise de lacunas para entender o nível de conformidade existente e as áreas em que estão aquém. Isso forneceria um ponto de partida para decidir sobre os níveis de proteção de dados que a organização pode alcançar, mantendo as preocupações comerciais relevantes.

Questões a Considerar

  • Existe algum mecanismo para auditar provedores de TI/nuvem quanto a seus padrões de segurança cibernética?
  • Existem políticas e medidas claras em caso de violação/ataque cibernético, como continuidade e recuperação de negócios?

Conclusão

A Covid-19 já obrigou as organizações a dar um salto digital e já está a revelar-se um desafio. No entanto, a estrutura legal de privacidade e proteção de dados da Índia está prestes a dar um salto quântico na forma do Projeto de Lei de Proteção de Dados Pessoais 2019, que está sendo considerado pela Comissão Parlamentar Conjunta. Agora é um momento crucial para as organizações considerarem ativamente revisar suas práticas existentes e inaugurar um novo amanhecer em que seus negócios possam prosperar, uma vez que a pandemia de Covid-19 tenha passado.

[O artigo foi co-autoria de Supratim Chakraborty (Sócio) e Sumantra Bose (Associado Sênior) em Khaitan & Co]