De acordo com um estudo feito pela Trend Micro, 51% das organizações globais aumentaram os investimentos na área da segurança, para preparar a conformidade com o RGPD. Ainda assim, a menos de um mês da chegada ‘à séria’ do regulamento, há quem ainda não saiba se tem um processo implementado para notificação de autoridades em caso de acesso ilegítimo a dados de clientes.
O estudo indica que 63% das multinacionais têm um processo para notificar as violações de segurança aos clientes. Por outro lado, apenas metade das empresas inquiridas aumentou o investimento feito na área de segurança, antes do dia 25 de Maio, dia em que passa a ser obrigatória a conformidade com as novas regras do RGPD.
A informação obtida pela Trend Micro refere que há ainda uma parte dos inquiridos (25%) que «se queixa da falta de protecção suficiente em segurança TI», assim como «falta de segurança de dados eficiente» (24%), como os principais desafios para a conformidade com o regulamento de protecção de dados.
Menos de um terço (31%) dos entrevistados assegura ter feito investimento em encriptação, apesar de ser uma das poucas tecnologias nomeadas no RGPD. Ao mesmo tempo, algumas organizações destinam algum do seu orçamento para a Prevenção de Perda de Dados (33%) ou a tecnologias avançadas desenhadas para detectar intrusos na rede (34%).
Ainda falando em orçamentos, 25% das empresas afirma que os recursos limitados são o maior desafio para o cumprimento e explicam as razões que há por para justificar esta falta de investimento. Numa época em que é importante consciencializar os colaboradores para as alterações que surgem com o regulamento, só 37% das empresas inquiridas investiu em programas de consciencialização e educação dos seus colaboradores.
O estudo foi feito a mais de mil responsáveis de tomada de decisão em empresas localizadas em países como EUA, França, Itália, Reino Unido, Espanha, Alemanha, Países Baixos, Polónia, Suécia, Áustria e Suíça.
Dúvidas na questão das notificações em caso de violação de dados
O RGPD indica que, em caso de violação de dados, as empresas têm um prazo de 72 horas para notificar as autoridades de protecção de dados. Este relatório da Trend Micro reforça que ainda há empresas que têm dúvidas nesta questão ou até que desconhecem se têm um processo implementado ou não.
21% dos entrevistados afirmam ter um processo formal para notificar apenas a autoridade de protecção de dados. No entanto, o Artigo 34 do RGPD estabelece que as pessoas também devem ser notificadas se uma violação representar um alto risco aos seus direitos e liberdades.
Há ainda 6% das empresas que dizem não ter nenhum processo implementado; já 11% dos inquiridos neste estudo não sabem se têm ou não um processo implementado para esta questão.
