5 perspectivas

da Oracle sobre
o GDPR
 SUMÁRIO

O que é o GDPR? O General Data Protection Regulation (GDPR) da UE explicado 3

O General Data Protection Regulation (GDPR) da UE entrou em vigor em 25 de maio

de 2018. Para quem ainda está tentando entender o que ele significa, respondemos
a algumas perguntas frequentes.

GDPR: O que os CFOs deveriam estar fazendo a respeito das novas regras de
conformidade? 6

Se existe um aspecto do GDPR que provavelmente chamará a atenção de qualquer

CFO são as pesadas multas que podem atingir organizações que violarem as novas
normas de proteção de dados.

A vida após o GDPR: por que CEOs precisam liderar de cima para baixo 8

Embora o GDPR já esteja em vigor, empresas de todos os setores vêm sofrendo

pressão para estar em conformidade desde a introdução da lei em 2016. Algumas
responderam mudando seus processos de TI, outras deixaram o fardo a cargo de
sua equipe jurídica, mas outras somente começaram a se adaptar com seriedade
quando o prazo final de 25 de maio estava próximo.

GDPR: é hora de vê-lo como uma oportunidade, não um dever 10

Empresas de todos os portes e de todos os setores estão se aproximando de

seus dados para melhorar e personalizar a experiência do cliente ou a maneira
como trabalham, transformar setores inteiros ou criar oportunidades.

Conformidade com o GDPR e a nuvem: ajuda ou atrapalha? 12

Em vez de ser visto com um fardo, o GDPR deveria ser considerado uma das
melhores oportunidades de investir em tecnologia de longo prazo para possibilitar
uma verdadeira transformação digital.

2 5 perspectivas da Oracle sobre o GDPR

 O QUE É O GDPR? O GENER AL DATA PROTECTION REGUL ATION
DA UE EXPLICADO

Por Alessandro Vallega, Diretor de Segurança e de Desenvolvimento de Negócios

do GDPR, Oracle EMEA

O General Data Protection Regulation (GDPR) da UE (União

Européia), ou Regulamento Geral de Proteção de Dados em
Português, entrou em vigor em 25 de maio de 2018. Para
quem ainda está tentando entender o que ele significa,
deixem-me responder algumas das perguntas frequentes.

O que é o GDPR?
O General Data Protection Regulation da UE (GDPR) entrou em vigor em 25 de maio de
2018. Ele se aplica a todas as organizações da UE e a qualquer outra fora dela que lide com e
processe dados de residentes da UE. Ele se destina a fortalecer a proteção de dados e a dar
mais controle às pessoas sobre como suas informações pessoais são usadas, armazenadas
e compartilhadas por organizações que tenham acesso a elas, dos empregadores às
empresas cujos produtos e serviços elas comprem ou usem. O GDPR também exige que as
organizações tenham em vigor controles técnicos e organizacionais projetados para impedir
a perda de dados, o vazamento de informações ou outro uso não autorizado de dados.

Por que o GDPR está sendo introduzido?

A UE tem leis de proteção de dados em vigor há mais de 20 anos. Entretanto, nesse
tempo, o nível das informações pessoais em circulação cresceu enormemente, e o mesmo
aconteceu com os diferentes canais por meio dos quais informações pessoais são coletadas,
compartilhadas e manipuladas. À medida que o volume e o valor potencial dos dados
aumentaram, o mesmo se deu com o risco de caírem em mãos erradas ou de serem usadas
de maneiras com as quais o usuário não consentiu. O GDPR se destina levar um novo rigor à
maneira como as organizações protegem os dados dos cidadãos da UE, ao mesmo tempo
em que dá aos cidadãos um controle maior sobre como as empresas usam seus dados.

O que as organizações devem fazer para entrar em conformidade com o GDPR?

O GDPR não vem acompanhado de uma lista de verificação de ações que as empresas
devam efetuar, ou de medidas ou tecnologias específicas que devam ter em funcionamento.
Ele toma uma abordagem de "o que", não de "como", definindo normas de gestão, segurança
e uso de dados que as organizações devem poder acomodar para demonstrar conformidade.
Devido às complexidades operacionais e legais envolvidas, as organizações podem
querer consultar seu conselheiro jurídico para desenvolver e implementar um plano de
conformidade.
Por exemplo, embora o GDPR propriamente dito não exija nenhum controle de segurança,
ele encoraja as empresas a considerar práticas como criptografia de dados e, de maneira
mais geral, requer que as empresas tenham em vigor controles apropriados a respeito
de quem pode acessar os dados e de poder fornecer garantias de que os dados estão
adequadamente protegidos. Ele também declara que as empresas devem poder acatar
as solicitações de indivíduos para remover ou alterar dados. Mas a maneira como esses
requisitos serão atendidos depende das organizações, bem como determinar o nível mais
apropriado de segurança exigido para suas operações de dados.

3 5 perspectivas da Oracle sobre o GDPR

 Quais são as penalidades para a não conformidade com o GDPR?
Caso se constate que uma organização esteja em violação do GDPR, multas de até 4% da
receita global anual ou €20 milhões (o valor que for mais alto) podem ser impostas. Além
disso, apesar do fato de dados pessoais serem vitais para muitas empresas, o prejuízo em
termos de reputação pode ser ainda mais significativo, caso o público acredite que uma
organização é incompetente para controlar ou processar suas informações pessoais.

Quem precisa se preparar para o GDPR?

Qualquer organização sediada dentro ou fora da UE que use dados pessoais de cidadãos
da UE, seja como a controladora daqueles dados (como um banco ou varejista com dados
de clientes) ou terceiros gerenciando dados no papel de controlador (como uma empresa
de tecnologia que hospede dados em um data center), dependendo de suas respectivas
funções e controle sobre os dados que gerencia.

Que informações pessoais são cobertas pelo GDPR?

O GDPR foi elaborado para dar maior controle às pessoas sobre suas informações pessoais,
que podem incluir identificadores diretos ou "do mundo real", como nome e endereço ou
detalhes de emprego, mas também podem incluir dados indiretos ou menos óbvios de
localização geográfica ou de endereço IP que podem tornar uma pessoa identificável.

O GDPR é ruim para as empresas?

Obedecer a qualquer nova norma pode gerar trabalho e despesas adicionais, mas o GDPR
também dá às organizações uma oportunidade de melhorarem a maneira como gerenciam
dados e de levarem seus processos a novas maneiras digitais de trabalhar. Estamos vivendo
em uma época de economia movida a dados. As organizações precisam dar aos clientes a
confiança para compartilharem dados e se envolverem com mais serviços online. Seguir os
requisitos do GDPR pode ajudar nesse sentido.

Quem deve se encarregar do GDPR?

A conformidade com o GDPR tem de ser um esforço em equipe. Não é algo que pode ser
alcançado em, ou por, uma única parte da organização. Em última análise, sua importância
é tal que o CEO deve incitar suas equipes e responsáveis de toda a empresa a garantir a
conformidade. Quase toda parte de uma empresa usa e detém dados e é necessário que
apenas uma pequena parte da empresa esteja fora de alinhamento para que os esforços de
conformidade fracassem.

Como a Oracle pode ajudar na conformidade com o GDPR?

A Oracle sempre foi uma empresa de dados e leva muito a sério seu papel de ajudar
organizações a usarem seus dados de maneiras mais eficientes e seguras. Temos mais de
40 anos de experiência em design e desenvolvimento de soluções de gerenciamento seguro
de bancos de dados, de proteção de dados e de segurança. As soluções Oracle Cloud são
usadas por empresas líderes em 175 países e já trabalham para clientes em muitos setores
altamente regulados. Podemos ajudar os clientes a gerenciar, proteger e compartilhar melhor
seus dados com confiança.

Existe alguma lei brasileira equivalente à GDPR da UE?

Sim, no Brasil temos a Lei Geral de Proteção de Dados Pessoais (LGPD ou LGPDP), lei Nº
13.709, de 14 de agosto de 2018, a qual também altera artigos do Marco Civil da Internet.
Ela foi inspirada na GDPR européia e tem o mesmo espírito. Note, no entanto, que se sua
empresa brasileira faz negócios com clientes na União Européia, ela está sujeita tanto à LGPD
brasileira quanto à GDPR da UE.

4 5 perspectivas da Oracle sobre o GDPR

 GDPR: O QUE OS CFOS DEVERIAM ESTAR FA ZENDO A RESPEITO DAS
NOVAS REGR AS DE CONFORMIDADE?

Por Dee Houchen, Diretora Sênior de Marketing, ERP/EPM, Oracle

Se existe um aspecto do GDPR que provavelmente chamará a

atenção de qualquer CFO são as pesadas multas que podem atingir
organizações que violarem as novas normas de proteção de dados.

Como o guardião das finanças da empresa, e frequentemente o responsável pelo

gerenciamento de riscos no conselho administrativo, que CFO não vai ficar alerta e prestar
atenção quando as somas envolvidas podem atingir €20 milhões ou quatro por cento da
receita anual, aquele que for maior? (no Brasil a LGPD prevê multa de 2% do faturamento
anual, limitada a 50 milhões de Reais, por infração).
Contudo, CFOs não devem apenas ficar assustados, rezando para que nunca chegue o dia
em que terão de pagar uma multa daquelas. Há muito que eles devem fazer para garantir que
sua organização esteja preparada, começando com sua participação em um planejamento
que englobe a empresa inteira e uma auditoria para ter certeza de que todos entendem os
tipos de dados pessoais que estão sendo processados em sua organização, onde residem,
quem os detém e precisa acessá-los, e como suas atividades de processamento são
afetadas pelo GDPR.
Para os CFOs, esse processo deve incluir um exame de quais dados são criados,
armazenados e presididos pelo departamento financeiro. Isso pode incluir informações dos
funcionários como dados de folha de pagamento ou salários, bem como dados mantidos
por fornecedores, prestadores de serviço e terceirizados que podem ser reportados ao CFO.
Os CFOs devem examinar os contratos que têm firmados com aqueles fornecedores para
certificar-se de que são adequados ao GDPR.
Outra função importante do CFO é garantir que os esforços de conformidade da organização
sejam adequadamente custeados e os recursos para tal obtidos. Para isso, o CFO deve
entender o custo da conformidade e onde investimentos precisam ser feitos a fim de
garanti-la. Isso pode muito bem envolver orçamentos adicionais para equipes como a de
TI, que certamente estará na vanguarda da conformidade com o GDPR, garantindo que
os dados sejam protegidos e estruturados de modo que a organização possa responder a
solicitações dos titulares para fornecer, modificar ou excluir seus dados.
Entretanto, para evitar que o custo da conformidade cresça, os CFOs também precisarão
certificar-se de que entendem quais medições são essenciais e devem manter um cinismo
cauteloso em relação a algumas solicitações de verba adicional que podem chegar à sua
mesa. “Isso é necessário para conformidade com o GDPR” pode ser um argumento usado
para impor qualquer quantidade de compras não necessariamente essenciais. Essa é mais
uma razão pela qual o CFO precisa ter pleno conhecimento do GDPR e do que ele significa.
Existem oportunidades claras que podem surgir em uma economia movida por dados para
qualquer organização que melhore suas práticas de gestão e uso de dados. Os CFOs devem,
portanto, ponderar a vantagem potencial do GDPR e a maneira como ele pode ajudá-los a
liberar insights valiosos, melhorar operações, conhecer melhor seus clientes e tornar-se mais
responsivos a riscos e oportunidades.
Todavia, como uma consideração final, os CFOs também podem escolher fazer planos para
a desvantagem potencial. Apesar de todo o planejamento, pode haver algumas organizações
que sejam pegas e atingidas por multas—ou ações judiciais. Embora devam, naturalmente,
fazer tudo que puderem para garantir que não seja a organização deles, alguns CFOs podem
escolher fazer planos para o pior e reservar fundos como um tipo de seguro contra aquelas
altas multas.

5 5 perspectivas da Oracle sobre o GDPR

 A VIDA APÓS O GDPR: POR QUE CEOS PRECISAM LIDER AR DE CIMA
PAR A BAIXO

Por Alessandro Vallega, Diretor de Segurança e de Desenvolvimento de Negócios do GDPR,

Oracle EMEA

Embora o GDPR já esteja em vigor, empresas de todos os setores

vêm sofrendo pressão para estar em conformidade desde a
introdução da lei em 2016 (a LGDP brasielira foi introduzida em
2018). Algumas responderam mudando seus processos de TI,
outras deixaram o fardo a cargo de sua equipe jurídica, mas outras
somente começaram a se adaptar com seriedade quando o prazo
final de 25 de maio estava próximo.

A proteção de dados deve ser tratada com o mais alto nível de seriedade. Pode ser tentador
pensar que você pode evitar problemas de conformidade contanto que não esteja fazendo
nada inapropriado com os dados pessoais das pessoas, mas esse é um pensamento de
curto prazo. O GDPR pode apenas marcar o início de um impulso regulatório global para
melhorar a proteção de dados, e as normas tendem apenas a se tornar mais exigentes.
Uma mudança real requer uma alteração na cultura. A maneira como as empresas
administram dados ainda não chegou ao nível da maneira como os funcionários usam
tecnologia, motivo pelo qual ainda vemos funcionários tomando uma abordagem apática
em muitas organizações. Eles salvam informações corporativas em dispositivos pessoais,
usam (e às vezes perdem) laptops de trabalho no transporte público, e recorrem a sites de
compartilhamento de arquivos para compartilhar informações confidenciais. Essas práticas
representam uma ameaça à segurança, e são muito comuns.
O custo da não conformidade com o GDPR pode ser significativo. Líderes empresariais
podem ter consciência do risco potencial de não conformidade (até 20 milhões de euros ou
4% da receita global da empresa), mas há também consequências menos óbvias. Violações
de dados devem ser divulgadas para a autoridade fiscalizadora dentro de 72 horas quando
uma empresa tomar conhecimento delas, e o dano à reputação que as acompanha se a
empresa não tiver um bom controle da segurança tem seu próprio custo.
Além disso, uma autoridade fiscalizadora tem o poder de impor uma limitação temporária ou
definitiva, que inclui banimento do processamento, e os titulares de dados têm o direito de
apresentar pedidos de indenização.

6 5 perspectivas da Oracle sobre o GDPR

 O GDPR é uma questão para o conselho de administração
Isso torna o GDPR uma questão para o conselho de administração, mas não significa que
as empresas podem simplesmente indicar alguém para se encarregar da conformidade
e deixar que essa pessoa cuide dela. Com um imperativo dessa importância, a
responsabilidade é do CEO.
Líderes empresariais devem ser parceiros na proteção de dados. Para uma organização
gerenciar dados de maneira mais responsável e controlá-los a longo prazo, ela precisa
da adesão dos funcionários. Cada indivíduo deve ser responsável por suas ações e
desempenhar seu papel na conformidade, e essa prática deve se dar de cima para baixo.
Como os líderes empresariais ajudam a conseguir isso? O primeiro passo é tornar o
treinamento obrigatório. Isso pode incluir qualquer coisa, de treinamento em gerenciamento
de dados a workshops sobre proteção de dados ou até mesmo a execução de testes de
detecção de phishing para identificar e-mails suspeitos.
Incentivos também ajudam a gerar mudança. Já que a proteção de dados precisa fazer
parte do trabalho de alguém, por que não recompensar líderes de equipe que asseguraram
que seus membros receberam o treinamento apropriado, ou então incluir treinamento em
segurança como parte dos objetivos de desempenho dos funcionários? No fim caberá às
equipes de RH, de TI ou jurídicas desenvolver essas iniciativas, mas o imperativo deve vir da
liderança da empresa.

7 5 perspectivas da Oracle sobre o GDPR

 GDPR: É HOR A DE VÊ-LO COMO UMA OPORTUNIDADE, NÃO UM DEVER

Por Dee Houchen, Diretora Sênior de Marketing, ERP/EPM, Oracle

Quando muitas pessoas pensam em empresas movidas a dados,

a tentação pode ser pensar em grandes sites voltados para o
consumidor, varejistas online ou empresas de mídia social. Mas
a realidade é que empresas de todos os portes, de todos os
setores, estão se aproximando de seus dados a fim de melhorar e
personalizar a experiência do cliente ou a maneira como trabalham,
ou de transformar setores inteiros ou criar novas oportunidades.

Recentemente, a NHS Business Services Authority (NHSBSA) do Reino Unido

descobriu insights sobre seus dados que a ajudaram a melhorar o atendimento a
pacientes e a encontrar cerca de £700 milhões em economias. Na Índia, uma nova
geração de instituições financeiras reimaginou as verificações de crédito para a
população do país que não tem conta bancária avaliando pessoas para pequenos
empréstimos comerciais com base em uma análise de seus dados de mídia social.

Regulamento Geral de Proteção de Dados (GDPR)

Mas embora a ascensão de modelos e organizações de negócios movidos a dados
tenha melhorado a vida para as pessoas, ela também gerou preocupações a respeito
de como os dados são coletados, usados e gerenciados. Essa é a principal motivação
por trás do Regulamento Geral de Proteção de Dados (GDPR) da UE, que visa a elevar
o padrão da proteção de dados em empresas modernas e a dar aos clientes maior
transparência e controle sobre a maneira como seus detalhes pessoais são usados.
Nova regulamentação pode parecer um fardo, mas as organizações devem ver o
GDPR como uma oportunidade para pôr em prática processos e proteções que deem
a elas a capacidade de aproveitar seus dados ao máximo e aos clientes a confiança
para continuarem compartilhando seus dados com a organização.
Parafraseando Sue Daley, da TechUK, que participou de um painel de especialistas
em dados para discutir o GDPR no podcast Oracle Business, estamos caminhando
para um mundo controlado por dispositivos conectados, a Internet das Coisas,
bem como novas formas de inteligência artificial. Para terem sucesso com essas
tecnologias, as empresas precisarão da confiança do público em sua abordagem ao
gerenciamento de dados.

8 5 perspectivas da Oracle sobre o GDPR

 Como usar transparência para diferenciar a sua empresa
Transparência também pode ser um diferencial valioso. A Telefónica, uma das
maiores operadoras de telecomunicações da Espanha, dá insights sobre um público
anônimo a anunciantes e provedores de conteúdo para que eles possam adaptar
melhor seu conteúdo a usuários individuais. No interesse da transparência, a
empresa publica os dados de clientes que envia a terceiros e dá às pessoas a opção
de recusarem compartilhar seus detalhes pessoais. A abordagem centrada nos
dados da Telefónica tem sido bem-sucedida. Apesar de pressões cambiais e de
um mercado difícil, a empresa divulgou um aumento de 23% nos lucros no final de
fevereiro de 2018.
O intercâmbio é mutuamente benéfico, pois permite que a operadora selecione
o conteúdo certo para seus próprios clientes e forneça a eles uma experiência
do usuário melhor. A Telefónica já capturou 40% do lucrativo mercado de mídia
e publicidade digital da Espanha. Em comparação, a maioria das empresas de
telecomunicações contribui com apenas cerca de 2% da cadeia de valor de
publicidade, segundo a Analysys Mason.
Isso ilustra perfeitamente por que as empresas não devem simplesmente esperar
que o GDPR chegue e fazer o mínimo necessário em nome da conformidade.
Grandes mudanças trazem grandes oportunidades, mas somente para organizações
que sejam proativas e olhem para além do fardo regulatório de curto prazo.
Nina Monckton, Diretora de Insight da NHSBSA, que também participou do painel do
podcast Oracle Business, tinha isto a dizer: “O truque é ajudar as pessoas a verem
como os dados delas ajudam a sua empresa a melhorar a qualidade de vida delas.
Por exemplo, quando você explica que os detalhes delas tornados anônimos podem
ajudar pesquisadores a encontrar curas para doenças graves, os benefícios se tornam
muito mais tangíveis.”
Agindo agora, as empresas garantirão que sua abordagem aos dados esteja em
conformidade e conquistarão a confiança para continuarem encantando os clientes
com serviços mais personalizados e melhores.

9 5 perspectivas da Oracle sobre o GDPR

 CONFORMIDADE COM O GDPR E A NUVEM EL A AJUDA OU ATR APALHA?

Por Paul Flannery, Diretor Sênior de Desenvolvimento de Negócios para EMEA, Oracle

As organizações atualmente enfrentam a pergunta de como

abordar o Regulamento Geral de Proteção de Dados (GDPR), a nova
legislação destinada a harmonizar a proteção de dados na União
Europeia. Em vez de ser visto como um fardo de conformidade, o
GDPR deveria ser considerado uma das melhores oportunidades de
investir em tecnologia de longo prazo para posibilitar uma verdadeira
transformação digital.

Embora o regulamento em si seja limitado ao processamento de dados pessoais,

a interpretação da UE de o que isso realmente constitui é ampla. Essencialmente,
qualquer dado se relaciona com um ser humano identificável, incluindo algo tão
desconectado quanto um endereço IP que pode identificar o dispositivo de um
usuário específico, é considerado como dentro do escopo.
O escopo estendido da legislação não termina aí. Por exemplo, as organizações
são obrigadas a levar em consideração a “última geração” em termos de
cibersegurança—entretanto, quais tecnologias, controles e processos específicos
são de fato de última geração não são mencionados, deixando a avaliação de risco e o
julgamento subsequente a cargo da própria organização.
A escala de tempo para lidar com conformidade também é curta, e qualquer
organização de porte considerável achará difícil até mesmo entender que dados
possui e avaliar sua confidencialidade.
O custo da não conformidade é o que levou o GDPR à atenção de conselhos de
administração não apenas na UE, mas globalmente. A magnitude potencial das
multas é significativa (4% da receita global da empresa, ou €20 milhões, o que for
maior – no Brasil, a LGPD prevê multa de 2% do faturamento anual, limitada a R$50
milhões, por infração), bem como o dano potencial à reputação que pode resultar da
não conformidade com os novos requisitos de notificação obrigatória de violações.

A inevitabilidade da computação em nuvem

A nuvem, pública ou privada, Software, Infraestrutura ou Plataforma como um
Serviço, podem significar coisas diferentes para pessoas diferentes. A compreensão
geral na maioria dos setores é um tanto imatura, especificamente com relação à
conformidade e à segurança. No entanto, a jornada para a nuvem está acontecendo,
independentemente disso, e sem segurança apropriada em vigor, aquela mudança
inevitável chegará na forma da Shadow IT (a “TI por baixo dos panos”), trazendo
consigo a exposição desnecessária a riscos.
De modo geral, existem benefícios substanciais em migrar para a nuvem, como
capacidades de segurança aprimorada que vão além do que seria acessível para
a maioria das organizações em um ambiente em um data center local. Contudo.
qualquer mudança para a nuvem precisa ser planejada com cuidado e arquitetada de
forma adequada; com a chegada da nova legislação, as consequências de fazer isso
errado estão aumentando significativamente.

10 5 perspectivas da Oracle sobre o GDPR

 A conformidade com o GDPR é um compromisso de longo prazo, e o investimento na
implementação de uma infraestrutura com bom custo-benefício se mostrará valioso
nos anos futuros. Ele pode até mesmo representar uma das maiores oportunidades
de acelerar a transformação digital que tivemos nos últimos tempos.
Ele coloca o bom gerenciamento de dados em foco, com benefícios para
organizações que vão de maior segurança e eficiência operacional a atendimento ao
cliente e reputação da empresa melhores. Por exemplo, um dos principais requisitos
legislativos é poder dar a qualquer indivíduo todos os dados que uma organização
possui a seu respeito, inclusive todos os registros de dados e quaisquer resgistros de
atividades que possam estar armazenados.
Por um lado, isso representa requisitos de tecnologia significativos que seriam
possíveis apenas com a simplificação e a padronização de ambientes de TI
complexos. Por outro lado, o potencial para a empresa (ou para o marketing) para a
obtenção de dados convergentes de boa qualidade é substancial, e traz consigo uma
infinidade de possibilidades.
No começo deste ano, a IDC reuniu CIOs e CISOs de empresas de toda a região
da EMEA para obter insights sobre como eles estão abordando o GDPR à luz da
adoção atual da nuvem e de requisitos de segurança. O relatório resultante, “A
Nuvem Ajuda ou Atrapalha a Conformidade com a GDPR?” (em Inglês) resume
discussões de eventos na África do Sul, Espanha, França, Itália, Marrocos, Suécia
e Suíça. Ele não apenas sinaliza os muitos benefícios potenciais da conformidade,
mas também estabelece a estrutura de tecnologia simples, mas eficaz, da IDC para
ajudar as organizações a se concentrarem nos requisitos particulares do GDPR e para
selecionar a melhor tecnologia para a tarefa.

11 5 perspectivas da Oracle sobre o GDPR

FIQUE CONECTADO

  facebook.com/oraclebrasil   youtube.com/oracledobrasil   linkedin.com/company/oracle

twitter.com/oracledobrasil   blogs.oracle.com/appsbr/

Fale conosco

chat  contato_br@oracle.com

Copyright © 2019, Oracle e/ou suas afiliadas. Todos os direitos reservados.