entrando em conformidade com a gdpr · e sua diretoria passam a confiar em decisões baseadas em...
TRANSCRIPT
Princípios básicos da GDPR
3
5 etapas para lidar com a GDPR
17
Um processo estruturado é essencial para atender às exigências
7
Apêndice: sumário dos resultados da pesquisa
20
Os 3 maiores benefícios da GDPR
10
Os desafios para entrar em conformidade com a GDPR
14
Conformidade não precisa ser uma palavra assustadora – mesmo ao encarar os desafios de atender ao prazo da União Europeia para a Regulamentação Geral de Proteção aos Dados (GDPR), em maio de 2018. Na verdade, traçar um curso para a conformidade pode trazer benefícios de longo prazo para a sua organização: isso lhe coloca no caminho certo para obter uma vantagem competitiva conforme você
e sua diretoria passam a confiar em decisões baseadas em dados. No outono de 2017, o SAS conduziu uma pesquisa global sobre a GDPR com 340 executivos de diversas indústrias. Com base nos resultados dessa pesquisa, este e-book explora os maiores desafios e oportunidades que as organizações encaram no caminho para atender às medidas da GDPR.
Continue lendo para conhecer os conselhos de especialistas sobre as melhores práticas para a conformidade. Nós também compartilhamos em que passo estão seus pares nos diversos setores da indústria, além de uma abordagem integrada, em cinco etapas, que pode ajudá-lo nesta jornada.
Índice
A GDPR define o que são dados pessoais de modo abrangente e coloca o
indivíduo no centro da proteção de dados. Ela dá ao cidadão europeu o direito de
saber e decidir como seus dados pessoais são usados, armazenados, protegidos,
transferidos e apagados. Indivíduos têm agora os direitos de restringir um maior
processamento e de exigir que todos os seus dados sejam deletados (o direito de
serem esquecidos).
Atender às demandas da GDPR exige que as empresas realizem uma revisão
holística de suas práticas quanto à coleta, uso e proteção [das potencialmente
gigantes quantidades] de dados. Enquanto as empresas tomam medidas para tal,
elas provavelmente passarão por diversos desafios ao longo do caminho.
Por que da GDPR?Diversos acontecimentos envolvendo a privacidade de dados têm criado uma
grande expectativa sobre a GDPR. Um exemplo importante é a anulação do
Safe Harbor, um mecanismo que possibilitava transferências de dados entre a
Europa e os EUA e que foi substituído pelo Privacy Shield. Confrontadas com o
prazo de 25 de maio de 2018, algumas organizações começam a demonstrar
nervosismo quanto ao cumprimento das demandas da GDPR, principalmente ao
considerarmos que as multas pelo descumprimento podem chegar a €20 milhões
(cerca de R$ 81.5 milhões) ou 4% da receita global anual.
Quem é afetado pela GDPR?Organizações não ficam isentas das exigências da GDPR por não estarem sediadas
em um país europeu. Essa lei é aplicada globalmente para qualquer uma que
processe dados pessoais de cidadãos da União Europeia.
4
A Regulamentação Geral de Proteção aos Dados (GDPR) foi adotada na Europa em abril de 2016 e se torna efetiva em
25 de maio de 2018. A GDPR eleva a proteção de dados pessoais às condições legais de prioridade estratégica e adesão
imprescindível para empresas do mundo todo, que trabalham com dados pessoais de cidadãos da UE.
Atenda às medidas da GDPR com o SAS® Personal Data Protection> TOC>
E n t r a n d o e m c o n f o r m i d a d e c o m a G D P RP r i n c í p i o s b á s i c o s d a G D P R
Por exemplo, funcionários que trabalham para uma empresa em Nova York, mas
moram na Alemanha. Ou um cliente irlandês fazendo uma transação online com um
varejista cuja matriz está na Califórnia.
Uma definição revisada de dados pessoaisDados pessoais, de acordo com a GDPR, são quaisquer informações que
permitem a identificação de um indivíduo, direta ou indiretamente. Diversos
fatores que podem identificar uma pessoa – endereço IP ou dados de
localização, por exemplo – agora estão tutelados de modo a garantir sua
proteção. É uma definição abrangente, à qual espera-se que seja trabalhada
ao longo do tempo.
Prazo A GDPR é feita para garantir aplicação e proteção contínuas e rigorosas – e para
simplificar o ambiente regulatório para empresas globais. À medida que o prazo
para atender às exigências da regulamentação se aproxima, os valores das
possíveis multas tornam-se motivos de preocupação em muitas organizações.
Nosso estudo mostra que 56% das empresas pesquisadas já estão tomando
medidas para entrar em conformidade com a GDPR.
Conscientização da GDPRApesar das multas pesadas, nem todo mundo está ciente do alcance e
implicações reais da GDPR. Segundo o estudo, pouco menos de 50% dos
entrevistados estão convencidos de que suas organizações entendem
completamente o impacto que a GDPR terá. Em geral, grandes organizações
estão mais conscientes da regulamentação e suas implicações do que empresas
menores. Quanto aos setores industriais, apenas 26% das organizações
governamentais estão completamente cientes desses impactos, comparado
a 56% das empresas de telecomunicação e mídia. No geral, a taxa de
conscientização gira em torno de 42% entre outros ramos de atividade.
"A nova definição de dados pessoais é um indicativo
do tom dessa nova legislação", diz Kalliopi Spyridaki,
Estrategista-Chefe de Privacidade do SAS. "Sob
a Regulamentação Geral de Proteção aos Dados,
dados pessoais são considerados ativos valiosos.
E as exigências e obrigações acerca desses ativos
estão aumentando consideravelmente. Não por
coincidência, isso acontece ao mesmo tempo que
computação em nuvem, big data e Internet das
Coisas são tendências tecnológicas. Com cada uma
dessas tecnologias, a coleta e a análise adequada de
dados estão se tornando diferenciais estratégicos.
Ao reconhecer isso, a GDPR está basicamente
alcançando a realidade".
Kalliopi Spyridaki,
Assista a uma entrevista com Spyridaki. 56%
das organizações já estão tomando medidas para aderir à GDPR
5Atenda às medidas da GDPR com o SAS® Personal Data Protection> TOC>
E n t r a n d o e m c o n f o r m i d a d e c o m a G D P RP r i n c í p i o s b á s i c o s d a G D P R
Estrategista - Chefe de Privacidade do SAS.
Financial servicesPercentage of “yes” responses by industry.
Question: Is your organization fully aware of the impact of GDPR?
Telco, media &communication
Government & health care
Chemical &manufacturing
IT & services
47% 56% 26% 43% 42%42%
Total
6Atenda às medidas da GDPR com o SAS® Personal Data Protection> TOC>
E n t r a n d o e m c o n f o r m i d a d e c o m a G D P RP r i n c í p i o s b á s i c o s d a G D P R
A maioria dos entrevistados acredita que a GDPR terá um grande impacto em
suas organizações. No entanto, muitos (58%) dizem que suas empresas não estão
totalmente cientes da extensão dos impactos da nova lei. Grandes organizações
estão pouco à frente de pequenas empresas: elas são melhores preparadas e
informadas sobre as implicações da GDPR.
67% das grandes
organizações (acima de 5.000
funcionários) já estão tomando
as medidas necessárias
para atender à GDPR,
contra 47% das
pequenas empresas.
Organizações governamentais estão menos cientes do impacto da GDPR.
Apenas 26%das organizações governamentais
dizem estar cientes, comparado a 42%
do setor privado.
54% das grandes
organizações estão
completamente cientes do
impacto da GDPR, enquanto
apenas 37% das pequenas
empresas podem
dizer o mesmo.
Conclusões
Um processo estruturado é essencial para a conformidadeMas apenas 45% das organizações estão utilizando essa abordagem
Para atender à regulamentação em tempo hábil, as
empresas precisam ter um processo estruturado em
andamento. Infelizmente, a pesquisa mostra que não
é o caso para 55% dos entrevistados. Das 45% das
organizações que, de fato, têm um processo planejado,
quase 80% já iniciaram sua jornada para a conformidade
com a GDPR. E 66% dos entrevistados que têm um
processo estruturado em andamento acreditam que
conseguirão atender ao prazo de maio de 2018.
Se a sua organização está entre os 55% que não possuem um processo pronto,
ou que tem um mas ainda não iniciou sua implementação, é imprescindível que
você comece sua jornada o mais rápido possível. Maio de 2018 chegará mais
rápido do que você imagina.
"No futuro, as medidas de proteção de dados irão envolver muito mais
a organização de processos do que conseguir autorizações formais para
processar esses dados", diz Oliver Penel, Diretor Corporativo de Gestão de
Dados do SAS na Europa, Oriente Médio e África. "Nessa perspectiva, a maioria
dos entrevistados na pesquisa ainda tem um longo caminho a percorrer. Para
implementar um processo bem estruturado e atender à GDPR, é essencial
que a maioria das empresas tenham um Gerente de Proteção de Dados. Esses
profissionais entendem de privacidade de dados, e sabem como aplicar a lei.
Além dos requerimentos legais, é importante que essa pessoa entenda o valor
dos dados como ativos estratégicos para a empresa".
Penel acredita que contratar um Gerente de Proteção de Dados que possa
inspirar mudanças dentro da organização compensará – não apenas pela
conformidade, mas também para embutir a proteção de dados pessoais e a
governança de dados em geral como requerimentos corporativos essenciais.
45%Possuem um
processo estruturado em andamento
66%Acreditam que seus
processos levarão ao atendimento pleno do
regulamento
Grandes organizações estão mais prepa-radas do que pequenas empresas: 60% delas possuem um processo estruturado em andamento. Não há diferenças signif-icativas entre setores industriais distintos.
Isso se deve ao fato de algumas pessoas não saberem determinar quando estarão em conformidade com a GDPR.
As organizações que possuem processos estruturados em andamento usam consultores externos com mais frequência (34%) para atenderem à GDPR.
Apenas 45% das organizações possuem um processo estruturado pronto para cumprir as exigências da GDPR
Desses 45%, apenas 66% acreditam que os processos os levarão à conformidade com sucesso
Apenas 24% das organizações fazem uso de consultores externos no processo de atenderem à GDPR
8Atenda às medidas da GDPR com o SAS® Personal Data Protection> TOC>
U m p r o c e s s o e s t r u t u r a d o é e s s e n c i a l p a r a a c o n f o r m i d a d e E n t r a n d o e m c o n f o r m i d a d e c o m a G D P R
Nesta entrevista, Oliver Penel, Diretor Corporativo de Gestão de Dados do SAS na Europa, Oriente Médio e África, compartilha conselhos sobre como atender à GDPR
9Atenda às medidas da GDPR com o SAS® Personal Data Protection> TOC>
Mesmo com as novas regras mais firmes e desafiadoras, os princípios básicos permanecem os mesmos. Nesse sentido, a GDPR será muito mais uma revisão dos procedimentos de conformidade para muitas empresas do que a construção de um processo novo. O que quer que isso signifique para a sua empresa, a GDPR traz consigo muitos benefícios que podem ajudar você a prosperar.
Question: What opportunities do you anticipate from your organization becoming GDPR compliant?
71% 37% 30% 29% 29%
10%
9%My organization’s data governance will improve
My organization’s general IT capabilities will improve
My organization’s image will improve
My organization’s customer satisfaction will improve
My organization’s external value proposition will improve
11Atenda às medidas da GDPR com o SAS® Personal Data Protection> TOC>
O s 3 m a i o r e s b e n e f í c i o s d a G D P R
Nosso estudo confirmou a existência de benefícios
corporativos criados pela GDPR – 71% disseram que a
maior delas é que entrar em conformidade com a GDPR
pode melhorar a governança de dados.
Consequentemente, uma melhor governança de dados
vai contribuir para a eficiência da organização. O estudo
mostrou que 37% das organizações acreditam que
suas capacidades gerais de TI vão melhorar conforme
elas vão atendendo à regulamentação. E 30% estão
convencidas que entrar em conformidade com a GDPR
será bom para a imagem da empresa.
Aprimore governança de dados para aumentar a eficiência dos negócios
E n t r a n d o e m c o n f o r m i d a d e c o m a G D P R
1
Customer Intelligence
Risk Management
45%
44%
Advanced Analytics [Machine Learning] 29%
Forecasting 12%
Churn Management
Fraud Detection 23%
10%
Question: GDPR could be considered as a catalyst for digitalization. Based on this premise, which one of your analytical business initiatives should benefit the most from GDPR?
12Atenda às medidas da GDPR com o SAS® Personal Data Protection> TOC>
O s 3 m a i o r e s b e n e f í c i o s d a G D P R
2A GDPR dá às organizações a oportunidade de reavaliarem todas as políticas de
governança de dados em uso. Não apenas para dados pessoais, mas para todos os dados.
Dados – cujo volume está em crescimento constante – são um dos mais importantes ativos
que qualquer empresa pode ter. Com as políticas corretas em vigor, as empresas podem
não apenas entrar em conformidade, mas também criar uma vantagem competitiva.
Pense nas possibilidades de melhora nos processos analíticos, otimização de eficiência
operacional e redução de custos.
Os entrevistados estão cientes de tais benefícios, reconhecendo que os departamentos
responsáveis por customer intelligence e risco terão os maiores ganhos com a GDPR.
Organizações, em especial financeiras e de comunicações, acreditam que a GDPR será
benéfica para os departamentos que trabalham com inteligência analítica avançada. Isso
não é surpresa, uma vez que dados pessoais estão no cerne de muitas iniciativas analíticas.
Ganhe uma vantagem competitiva
Quais iniciativas irão se beneficiar mais com a GDPR?
E n t r a n d o e m c o n f o r m i d a d e c o m a G D P R
A GDPR não beneficia apenas as empresas - os clientes
também colhem as recompensas dos esforços para a
conformidade. O estudo mostra que 29% das organizações
acreditam que a satisfação de seus clientes será maior
conforme a regulamentação for sendo atendida. Outras 29%
dizem que suas propostas de valor externo melhorarão. Novos
serviços e iniciativas direcionadas à satisfação do consumidor
– como repositórios individuais de dados – irão emergir como
resultado da necessidade das empresas em lidar com dados
pessoais com extremo cuidado.
Com uma visão holística dos dados dos clientes – e insights
sobre se e como um cliente quer receber mensagens e
ações promocionais – as empresas podem melhorar essas
experiências ao engajá-los em interações mais relevantes.
Agências governamentais, por exemplo, poderiam otimizar
seus processos e melhorar a satisfação dos cidadãos
centralizando e protegendo informações pessoais
compartilhadas. Isso funcionaria tanto se os cidadãos
interagissem pessoal ou virtualmente.
INTERAMERICAN expande a proteção de dados pessoais com o SAS
"Nossa organização está trabalhando
para fazer a transição para a nova
era digital e criar relacionamentos
duradouros com nossos clientes,
baseados na confiança". Para
atender aos desafios da nova
Regulamentação Geral de Proteção
aos Dados em tempo hábil, nós
escolhemos o SAS para fornecer uma
solução integrada de ponta-a-ponta.
O SAS Personal Data Protection irá
nos ajudar a entrar em conformidade
com os requisitos da nova lei e a
nutrir a confiança do consumidor."
Xenophon Liapakis, CIO da
INTERAMERICAN
13Atenda às medidas da GDPR com o SAS® Personal Data Protection> TOC>
Atinja uma maior satisfação do cliente
>Leia mais
O s 3 m a i o r e s b e n e f í c i o s d a G D P R E n t r a n d o e m c o n f o r m i d a d e c o m a G D P R
3
Os desafios para entrar em conformidade com a GDPRComo você sabe se as ações que tomou são suficientes?
A GDPR torna as organizações responsáveis pela proteção de dados pessoais. Elas terão o ônus da prova ao entenderem
os se, como e quão bem podem proteger dados pessoais. Isso inclui colocar medidas de segurança em funcionamento
para prevenir violações de dados e tomar medidas rápidas para notificar indivíduos e autoridades na eventualidade de
uma violação ocorrer. E isso faz com que a conformidade legal seja um assunto no topo da lista de afazeres para empresas
de todos os tamanhos, em diversos setores. Mas colocar tudo isso em prática requer a superação de alguns obstáculos.
Os resultados da pesquisa mostram que
quase todas as organizações (98%) passam
por desafios no processo de atender à GDPR.
Esse é um problema ainda maior para os
entrevistados que trabalham no governo
europeu, setores de assistência médica, TI e
serviços. Uma vez que as normas são escritas
de modo geral, o problema maior é saber
quando as ações tomadas para atendê-las
serão suficientes. As organizações estão
procurando por diretrizes mais claras para
isso. Organizações em países não-europeus
precisam ainda mais dessas diretrizes,
porque elas são, geralmente, expostas a
menos regulamentos de proteção de dados
que empresas na UE.
How to know if the actions we take to comply with GDPR are su�cient
How to find stored personal data (in databases, copied data sets)
How to manage data portability and the right to be forgotten
How to control access to personal data and log it
How to ensure benefits for the organization beyond legal compliance
Question: What is your biggest challenge in preparing for the GDPR?
22% 11% 10% 9% 8%
15Atenda às medidas da GDPR com o SAS® Personal Data Protection> TOC>
O s d e s a f i o s p a r a e n t r a r e m c o n f o r m i d a d e c o m a G D P R E n t r a n d o e m c o n f o r m i d a d e c o m a G D P R
EUTotal
Knowing the actions we take to comply are su�cient 59% 54%
Non-EU
Managing data portability and right to be forgotten 58% 59%
Finding stored personal data 48% 48%
Controlling access to personal data 50% 52%
Complying with new profiling requirements 44% 45%
Executing accurate Privacy Impact Assessments 44% 43%
Dealing with consent management 39% 38%
Ensuring benefits beyond legal compliance 39% 38%
Accurate record keeping 38% 38%
71%
64%
50%
45%
38%
45%
40%
45%
38%
Management of poor personal data quality 36% 36%
Adequate response to personal data breaches 36% 35%
Forming a project team for compliance 28% 28%
Knowing whether to appoint a data protection o�cer 24% 25%
Average number of challenges 5.5 5.4
38%
36%
21%
10%
5.5
Question: Which of the following challenges do you see in preparing for GDPR?
Das organizações pesquisadas, 58% tem problemas de
gerenciar a portabilidade dos dados e o [assim batizado] direito
de ser esquecido. Controlar o acesso aos dados pessoais
também é um grande desafio, principalmente para médias
empresas, que possuem entre 51 e 500 funcionários.
Grandes organizações e instituições financeiras têm mais
dificuldades para encontrar dados pessoais armazenados
do que outras empresas. Uma razão para isso é um
requerimento novo e complexo – e é a primeira vez que
organizações precisam consolidar e mapear informações
completas de indivíduos com propósito regulatório.
A GDPR dá ao cidadão europeu o direito de saber e decidir
como seus dados pessoais são usados, armazenados,
protegidos, transferidos e apagados. Indivíduos têm
agora os direitos de restringir um maior processamento e
de exigir que todos os seus dados sejam deletados. Isso
levanta questões sobre as ferramentas, a responsabilidade
(pessoal) e os processos que organizações precisam ter em
funcionamento. Quase metade das empresas entrevistadas
disseram que foi um desafio encontrar dados pessoais
dentro de suas próprias bases de dados (conjuntos de
dados copiados, dados de CRM etc).
Enquanto a maioria das empresas tentam lidar com as
ferramentas e processos, muitas também estão achando
difícil interpretar as diretrizes da GDPR sobre portabilidade
de dados. Imagine, por exemplo, um provedor de
telecomunicações que precisa ser capaz de migrar todas
as informações pessoais, incluindo detalhes de contato e
fotos, para outro provedor quando um cliente assim solicita.
O provedor dor original é obrigado a entregar os dados
de forma portátil. Adotar a portabilidade de dados será um
desafio enorme para muitos provedores de telecomunicações.
Isso também vale para muitas outras organizações, incluindo
serviços, varejistas, bancos e seguradoras.
16Atenda às medidas da GDPR com o SAS® Personal Data Protection> TOC>
O s d e s a f i o s p a r a e n t r a r e m c o n f o r m i d a d e c o m a G D P R E n t r a n d o e m c o n f o r m i d a d e c o m a G D P R
Portabilidade e o direito deser esquecido
É óbvio que o não-atendimento às normas da GDPR pode ser uma ameaça real ao futuro de muitas organizações. Mas,
por outro lado, dados pessoais têm um valor altíssimo e podem criar vantagens competitivas significativas se gerenciados
corretamente. Vamos olhar uma abordagem que algumas empresas estão usando para atender às demandas da GDPR (e
obter uma vantagem competitiva).
5-Step Approach to GDPR
Access Identify Govern Protect Audit
18Atenda às medidas da GDPR com o SAS® Personal Data Protection> TOC>
5 e t a p a s p a r a l i d a r c o m a G D P R
Acesse > Para atender à GDPR, você não pode contar com o senso comum
ou achismo sobre onde os dados pessoais podem estar. A regulamentação
requer que as organizações provem que sabem onde estão esses dados – e
onde eles não estão. Isso torna importante o acesso a todas as fontes de dados.
Independente da tecnologia empregada – armazéns de dados tradicionais e
clusters do Hadoop, dados estruturados e não-estruturados, dados móveis e
imóveis – você precisa investigar e auditar quais dados pessoais estão sendo
armazenados e utilizados por todo o seu painel. O acesso irrestrito a todas
as fontes de dados é um pré-requisito para a construção de um inventário
de dados pessoais para que você possa avaliar sua exposição ao risco de
segurança e aplicar regras de privacidade por toda a empresa.
Identifique > Uma vez que você tenha acesso a todas as fontes de dados,
você precisará identificar os dados pessoais que podem ser encontrados em
cada uma delas. Frequentemente, dados pessoais são enterrados em áreas
semi-estruturadas. Você precisará analisar essas áreas para extrair, categorizar e
catalogar elementos como nomes, e-mails, endereços e documentos pessoais.
Considerando o volume de dados, esse processo de organização não pode ser
manual. E você não só precisará analisar e classificá-los – você também precisará
acomodar diferentes níveis de qualidade de dados. Reconhecimento de padrões,
regras e padronização de qualidade são elementos essenciais desse processo. Ter
as ferramentas certas em funcionamento vai fazer uma grande diferença na sua
capacidade de atender ao prazo de maio de 2018 da GDPR.
1 2
E n t r a n d o e m c o n f o r m i d a d e c o m a G D P R
19Atenda às medidas da GDPR com o SAS® Personal Data Protection> TOC>
Abordagem integradaSer capaz de criar relatórios detalhados sobre o uso de dados pessoais não é um
simples requisito da GDPR – isso também ajuda você a gerenciar a exposição ao risco
de toda a sua organização. Nossa abordagem em cinco etapas é projetada para
guiá-lo por esses esforços, desde o acesso às fontes de dados à auditoria dos
resultados. Além disso, nossa abordagem pode fortalecer seu negócio, criar vínculos
mais profundos com clientes e estimular inovações que podem ter implicações
positivas e de longo alcance para o crescimento futuro.
3 5
4
Governe > Compreender dados pessoais começa com a capacidade de definir
seu significado e, na sequência, compartilhar esse conhecimento com toda a orga-
nização. Para a GDPR, regras de privacidade precisam ser documentadas e compar-
tilhadas entre todas as linhas de negócio. Essa é a maneira de garantir que os dados
pessoais só possam ser acessados por aqueles com autorização, com base na natureza
dos dados, os direitos associados aos grupos de usuários e o contexto de uso. Para
atingir isso, funções e definições devem ser estabelecidas em um modelo de gover-
nança. Só então você poderá conectar termos de negócio a fontes de dados físicos
e estabelecer linhagens de dados que vão desde sua criação até o momento de uti-
lização. Isso lhe garante o nível necessário de controle sobre os dados.
Proteja > Depois que você estabelecer o inventário de dados pessoais e modelos
de governança, é hora de definir o nível correto de proteção para os dados. Você
pode usar três técnicas para protegê-los:
• Anonimização: remove dos dados as informações que permitem a identificação
pessoal;
• Pseudomização: substitui nos dados as informações que permitem a identificação
pessoal;
• Criptografia: codifica nos dados as informações que permitem a identificação
pessoal.
Você precisa empregar a técnica apropriada a partir dos direitos do usuário e do
contexto de uso – sem comprometer sua necessidade crescente de análise, previsão,
investigação e criação de relatórios. O jeito mais fácil de fortalecer a privacidade dos
dados é, na verdade, usar o botão de apagar, mantendo apenas aqueles que você
precisa para executar processos de negócio essenciais e análises de valor agregado.
Audite > Outro elemento vital da GDPR é a auditoria. Nesse estágio, o regulador irá
requisitar provas de que você:
• Sabe quais dados pessoais você tem e onde eles estão localizados no seu
painel de dados;
• Gerencia corretamente o processo de requisição de consentimento dos indivíduos
envolvidos;
• Rastreia e documenta como os dados pessoais são utilizados, quem os utiliza,
e com que propósito;
• Tem os processos apropriados em funcionamento para gerenciar o direito de
ser esquecido, aviso de violação de dados e mais.
Implementar a GDPR afetará sua organização por inteira. Você precisará voltar à estaca
zero e repensar como lidar com dados pessoais da criação ao momento de utilização.
Você também precisará considerar como sua estrutura de gestão e governança de
dados suportará os requerimentos da GDPR. Embora possa parecer complicado, nossa
abordagem de cinco etapas pode fazer com que o caminho para o cumprimento da
GDPR seja mais tranquilo.
5 e t a p a s p a r a l i d a r c o m a G D P R E n t r a n d o e m c o n f o r m i d a d e c o m a G D P R
Como fornecedor de softwares e serviços de inteligência analítica e gestão de dados, o SAS tem um interesse particular na GDPR e em seus efeitos nos nossos clientes.
O objetivo principal desse estudo envolveu:Compreender o status atual de adequação à
GDPR pelas empresas e o processo através do
qual elas estão se preparando para entrar
em conformidade.
MetodologiaUma pesquisa online conduzida pelo SAS e Insites
Consulting. Recrutamento através de newsletters e
diversos canais de mídias sociais.
Financial services
Survey stats:Number of employees
Fewer than 50 16% 8%
(NR) 103 (NR) 62(NR) 41** (NR) 44** (NR) 71
5% 13% 11% 37%*
Telco, media &communication
Government & health care
Chemical &manufacturing IT & services
51 to 249 9% 9% 7% 5% 11% 11%
501 to 999 12% 11% 15% 13% 14% 13%
250 to 500 6% 7% 5% 8% 5% 4%
1000 to 4999 18% 17% 15% 27%* 25%* 10%
5000 or more 36% 46%* 49%* 32% 32% 25%
I don’t know 2% 3% 5% 2% 2% 0%
(NR) 347
Total
Number of respondents(NR): 347 ** Base size <50 * Sig. Different from at least one other group (95%)
How many employees work for your company worldwide?
21Atenda às medidas da GDPR com o SAS® Personal Data Protection> TOC>
a p ê n d i c e : s u m á r i o d o s r e s u l t a d o s d a p e s q u i s a E n t r a n d o e m c o n f o r m i d a d e c o m a G D P R
Financial services
Role inorganizations
Information Technology 30% 28%*
(NR) 103 (NR) 62(NR) 41** (NR) 44** (NR) 71
34%* 37%* 37%* 14%
Telco, media &communication
Government & health care
Chemical &manufacturing IT & services
Business Consultant 19% 20%* 22% 10% 10% 27%*
Marketing / Sales 12% 14%* 15% 8% 8% 14%*
Executive / Director 15% 12% 23% 23%* 24%*
Legal / Compliance / Privacy 15% 10% 6% 6% 11%
17%
Data Protection O�cer 5% 5% 5% 5% 1%
Information Security 3% 2% 2% 3% 3% 7%
10%
4%
Human Resources 1% 0% 3% 3% 0%
Other 3% 1% 0% 5% 5% 1%
2%
(NR) 347
Total
What is your role in your organization?
Number of respondents(NR): 347 ** Base size <50 * Sig. Different from at least one other group (95%)
22Atenda às medidas da GDPR com o SAS® Personal Data Protection> TOC>
a p ê n d i c e : s u m á r i o d o s r e s u l t a d o s d a p e s q u i s a E n t r a n d o e m c o n f o r m i d a d e c o m a G D P R
23Atenda às medidas da GDPR com o SAS® Personal Data Protection> TOC>
Total
Financial services 30%
(NR) 347
Telco, media & communication 12%
Chemical & manufacturing 13%
Government & health care 18%
IT & services 20%
Other 7%
In which industry is your organization mainly operating?
Number of respondents(NR): 347 ** Base size <50 * Sig. Different from at least one other group (95%)
Industry
a p ê n d i c e : s u m á r i o d o s r e s u l t a d o s d a p e s q u i s a E n t r a n d o e m c o n f o r m i d a d e c o m a G D P R
24Atenda às medidas da GDPR com o SAS® Personal Data Protection> TOC>
EUTotal
Challenges
71%of non-EU organizationswonder if the actions they’ve taken to complywill be su�cient.
Knowing the actions we take to comply are su�cient. 59%
(NR) 239(NR) 347 (NR) 42**
54%
Non-EU
Managing data portability & right to be forgotten 58% 59%
Finding stored personal data 48% 48%
Controlling access to personal data 50% 52%
Complying with new profiling requirements 44% 45%
Executing accurate Privacy Impact Assessments 44% 43%
Dealing with consent management 39% 38%
Ensuring benefits beyond legal compliance 39% 38%
Accurate record keeping 38% 38%
71%*
64%
50%
45%
38%
45%
40%
45%
38%
Management of poor personal data quality 36% 36%
Design adequate response to personal data breaches 36% 35%
Forming a project team for compliance 28% 28%
Whether to appoint a DPO 24% 25%*
Average number of challenges 5.5 5.4
38%
36%
21%
10%
5.5
What challenges do you see in preparing for GDPR?
Number of respondents(NR): 347 ** Base size <50 * Sig. Different from at least one other group (95%)
a p ê n d i c e : s u m á r i o d o s r e s u l t a d o s d a p e s q u i s a E n t r a n d o e m c o n f o r m i d a d e c o m a G D P R
25Atenda às medidas da GDPR com o SAS® Personal Data Protection> TOC>
Financial services
Do you agree with the statements below?
GDPR will have large e�ects on the IT of my organization
72%
(NR) 103 (NR) 62(NR) 41** (NR) 44** (NR) 71
76% 61% 64% 65%
Telco, media &communication
Government & health care
Chemical &manufacturing IT & services
My organization is aware of GDPR
67%
65%
GDPR will help to implement real data governance across my organization
63% 61% 69%* 52% 52%61%
GDPR will have large e�ects on the business of my organization
49% 66% 61% 52% 56%55%
GDPR will positively a�ect the trust between my organization and its customers
47%* 59%* 55% 50% 58%53%
72%* 59% 56% 68% 59%
My organization is fully aware of the impact GDPR will have on the organization 47% 56% 26% 43% 42%*
I am well informed about GDPR 53% 56% 60% 48% 54%
My organization is already taking the necessary steps to prepare for GDPR 65%*56% 51% 48% 50% 56%
54%
42%
(NR) 347
Total
To what extent do you agree with these statements?
Number of respondents(NR): 347 ** Base size <50 * Sig. Different from at least one other group (95%)% top 2 answers on a 5-point agreement scale
a p ê n d i c e : s u m á r i o d o s r e s u l t a d o s d a p e s q u i s a E n t r a n d o e m c o n f o r m i d a d e c o m a G D P R
26Atenda às medidas da GDPR com o SAS® Personal Data Protection> TOC>
E n t r a n d o e m c o n f o r m i d a d e c o m a G D P R
Financial services
Initiatives that will benefit most from the GDPR
Customer Intelligence 49%
(NR)103(NR)347 (NR)62(NR)41** (NR)44** (NR)71
46% 37% 41% 46%
Telco, media &communication
Government & health care
Chemical &manufacturing IT & servicesTotal
Risk Management
45%
44%
Advance Analytics [Machine Learning] 38%* 39%* 27% 27% 21%29%
Forecasting 13% 7% 21%* 7% 8%12%
None of the above 15% 22% 16% 16% 17%16%
41% 32% 45% 48% 46%
Churn Management 10% 17% 6% 7% 13%
Fraud Detection 27%23% 27% 23% 16% 18%
10%
Number of respondents(NR): 347
GDPR could be considered as a catalyst for digitalization. Based on this premise, which one of your analytical business initiatives should benefit the most from GDPR?
** Base size <50 * Sig. Different from at least one other group (95%)
a p ê n d i c e : s u m á r i o d o s r e s u l t a d o s d a p e s q u i s a
Follow us:
Face the multifaceted challenges of GDPR compliance and gain long-term benefits
for your organization with SAS® for Personal Data Protection.
SAS and all other SAS Institute Inc. product or service names are registered trademarks or trademarks of SAS Institute Inc. in the USA and other countries. ® indicates USA registration. Other brand and product names are trademarks of their respective companies. Copyright © 2017, SAS Institute Inc. All rights reserved. 109109_G64716.1117
To contact your local SAS office, please visit: sas.com/offices