Empresas britânicas não estão preparadas para o GDPR, diz estudo

A pesquisa, realizada pela Vanson Bourne, incidiu sobre 625 decisores da área de TI nos quatro países e revelou que quase 19%  das empresas afirma já estar a cumprir o GDPR em França e 18% no Benelux (Bélgica e Luxemburgo). No Reino Unido, apenas 8% das empresas assumem neste momento a conformidade com GDPR.

“A preparação para o GDPR é um processo longo. Se os reguladores afirmarem estar preparados para impor as multas máximas em Maio de 2018, as empresas vão realmente arrepender-se de não se terem preparado atempadamente”, referiu, em comunicado, John Shaw, vice-presidente de product management do grupo Enduser na Sophos.

“Com menos de um ano para implementar as medidas de conformidade, 55% das empresas consideram não conseguir cumprir o prazo. Todavia, com notícias quotidianas de as falhas de segurança na Europa, considero que a principal prioridade deveria ser a redução do risco dessas falhas de segurança. Essa redução não tem necessariamente de ser complicada – basta que as empresas se concentrem nas maiores causas de falhas de segurança assumindo o cumprimento das regras básicas: assegurar a atualização permanente dos sistemas operativos e do software, implementar encriptação para dados sensíveis e informar todos os colaboradores sobre o risco de phishing e de outros ataques de engenharia social”, acrescentou o executivo.

As empresas na Europa Ocidental estão lentamente a preparar-se para o GDPR. 42% acreditam que estarão prontas a tempo, mas apenas 42% criaram o papel de Data Protection Officer e menos de metade (45%) consegue facultar informação sobre uma falha de segurança no espaço de 72 horas após a descoberta.

Atualmente, apenas 44% contam já com procedimentos implementados para apagar dados pessoais na eventualidade de um pedido de “right to be forgotten” (“direito a ser esquecido”) ou caso alguém não queira ver a sua informação processada.

Mas a verdade é que o estudo também apurou que 54% das empresas têm pouco conhecimento das multas associadas ao GDPR. O novo Regulamento Geral de Proteção de Dados acarreta elevadas multas para as empresas que vão de até 20 milhões de euros ou 4% de receitas anuais em caso de falha de segurança.  

Quando confrontados com esta indicação, 17% de todas as empresas inquiridas admitem que, em caso de multa, teriam de fechar portas, sendo que o número sobe para 54% nos casos das PMEs. Além disso, 39% dos responsáveis pelas tomadas de decisão de TI revelaram que essas multas teriam como consequência o despedimento de pessoas.

Independentemente desta preocupação, apenas 6% das empresas no Reino Unido vêm o GDPR como principal prioridade, um número inferior aos 30% em França e 25% na região Benelux. 

Além disso, o Brexit criou uma confusão às organizações no que diz respeito ao GDPR, dado que muitas delas acham que  saída da UE permite a não conformidade com o GDPR. Ora tal não é verdade e o Reino Unido terá ainda assim de cumprir o estipulado no novo regulamento.

Outras das conclusões é de que em 70% das empresas não é o departamento de TI ou as equipas de segurança de TI que assumem a responsabilidade pela conformidade com o GDPR, mas a verdade é que 65% das organizações contam já com algum tipo de política de segurança de dados e que 98% têm já ou estão a implementar um plano formal para colaboradores que define o que é a política de segurança de dados e o que deles se espera quando lidam com dados pessoais.