GDPR aumenta riscos para e-commerce

Norma estenderá seus efeitos mundo afora, inclusive no Brasil

Da Redação

redacao@amanha.com.br

GDPR aumenta riscos para e-commerce a partir do dia 25 de maio

Portais de e-commerce, que armazenam dados pessoais dos clientes em suas bases de dados, estão em uma corrida contra o tempo para entrar em total conformidade com o GDPR, sigla para a General Data Protection Regulation. A expressão “corrida contra o tempo” não é figurativa, mas literal. O regulamento de lei da União Europeia (UE) que versa sobre a proteção de dados e privacidade para todos os cidadãos e indivíduos residentes na região entra em vigor nesta sexta-feira (25) e vai estender seus efeitos mundo afora, inclusive sobre as empresas brasileiras. 

Na prática, o GDPR fixa diretrizes rígidas de segurança para quem hospeda dados e a consequência será a padronização de boas práticas, explica Eduardo Amaral, diretor executivo da Eticca Compliance, que tem sede em Curitiba e atuação nacional desenvolvendo soluções para mitigar os riscos de corrupção e não conformidades para empresas e instituições de todos os setores. Seu alerta é contundente: “O momento é de alto risco e é absolutamente necessário ter um bom plano para gestão de crises devidamente implementado, que possa ser colocado em prática de forma rápida e eficiente”.

A não adoção das boas práticas previstas no GDPR terá alto custo financeiro, embutindo o risco de falência das empresas que não se adaptarem. Adotado em 14 de abril de 2016, com um período de transição de dois anos, o regulamento prevê multas para casos de não-cumprimento de 4% do faturamento bruto anual ou 20 milhões de euros, prevalecendo sempre o maior valor. Embora o público diretamente beneficiado esteja na UE, há uma movimentação mundial em torno do assunto, considerando-se que muitas empresas negociam com cidadãos ou empresas do bloco. Os benefícios alcançarão todos os usuários de sistemas de informação, independentemente de suas nacionalidades. Muitos segmentos de negócios no Brasil serão afetados diretamente pelo GDPR, incluindo empresas de turismo, hotelaria, transportes aéreo e terrestre e sites de comércio eletrônico. 

Amaral elenca passos essenciais para uma política de conformidade com o GDPR capaz de evitar ou mitigar riscos. “O administrador de dados deve implementar medidas que protejam as informações nos processos de negócios, tanto para produtos quanto para serviços. Um ponto fundamental nesse processo é conhecer os riscos envolvidos na armazenagem dos dados, para poder gerar os controles necessários”, ensina. Além da conformidade às diretrizes do GDPR, a lista de providências inclui avaliar de forma bastante criteriosa se todos os dados armazenados devem necessariamente ser mantidos. Adotar uma política para a exclusão de dados obsoletos e contas inativas passa a ser regra na gestão dos dados dos usuários.

“É vital certificar-se de que os sistemas estão protegidos contra invasões e vazamentos por ataques cibernéticos. E também é altamente recomendada a revisão de todos os privilégios de acesso dos funcionários aos dados de clientes, prevenindo-se vazamentos e acessos indevidos”, acrescenta Amaral. Entre as diretrizes da lei, há um ponto nevrálgico: o controlador dos dados tem a obrigação legal de informar imediatamente a autoridade responsável em casos de vazamento de informação. No prazo máximo de 72 horas após a identificação da brecha de segurança, deverá apresentar um relatório da situação detalhando as providências tomadas, além de notificar cada um dos indivíduos afetados pelo vazamento dos dados. 

A crise recente de segurança da Netshoes, empresa de e-commerce sediada no Brasil, reúne várias lições sobre o novo ambiente trazido pelo GDPR. Em duas datas – fim de 2017 e abril deste ano – sua base de dados foi invadida por um hacker, o que resultou no vazamento recorrente de informações de 2,5 milhões de clientes. Além dos dados sobre o histórico de compras de cada um, vazaram o nome completo, o CPF, telefone, valor gasto, data da última compra e a data de nascimento. Após o Ministério Público do Distrito Federal recomendar à empresa diversas ações para alertar clientes e a própria Netshoes reconhecer o caso ao governo dos Estados Unidos (na SEC, a Securities and Exchange Comission), ela teve 30 dias úteis para contatar por telefone os consumidores afetados e informar sobre os fatos. “Sob as regras do GDPR, se houvesse um único consumidor nessa massa de dados vazada que fosse cidadão da UE, a Netshoes estaria enquadrada e sujeita a todas as sanções previstas no regulamento. Imagine-se o prejuízo financeiro e o risco para a sobrevivência da empresa”, destaca o consultor.


leia também

comentarios


Seja o primeiro a comentar a notícia!



Comentar

Adicione um comentário: