O que o GDPR significa para o Office 365

Nova era na regulamentação de privacidade

A partir de 25 de maio de 2018, as empresas com operações comerciais dentro da União Européia devem seguir o Regulamento Geral de Proteção de Dados (GDPR) para salvaguardar a forma como processam os dados pessoais ” total ou parcialmente por meios automatizados e para o processamento, além de meios automatizados de dados pessoais que fazem parte de um sistema de arquivamento ou se destinam a fazer parte de um sistema de arquivamento. “As penalidades estabelecidas para violações do GDPR podem ser até 4% do volume de negócios global anual da empresa. Para empresas como a Microsoft que tenham operações dentro da UE, garantir que os sistemas de TI não contravenham o GDPR.

Como muitas aplicações podem armazenar dados que podem estar sob o escopo do GDPR, o regulamento tem uma influência considerável sobre a forma como os inquilinos lidam com dados pessoais. A definição de dados pessoais é ” qualquer informação relativa a uma pessoa singular identificada ou identificável (” pessoa em causa “); uma pessoa singular identificável é aquele que pode ser identificado, direta ou indiretamente, em particular por referência a um identificador, como um nome, um número de identificação, dados de localização, um identificador online ou a um ou mais fatores específicos do físico, fisiológico, identidade genética, mental, econômica, cultural ou social dessa pessoa natural “.

GDPR continua a definir o processamento de dados pessoais como ” qualquer operação ou conjunto de operações que seja executado em dados pessoais ou em conjuntos de dados pessoais, seja ou não por meios automatizados, como coleta, gravação, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, divulgação ou disponibilização, alinhamento ou combinação, restrição, apagamento ou destruição “.

Com efeito, os indivíduos têm o direito de pedir às empresas que lhes digam o que dizem respeito aos dados pessoais de uma empresa, corrigir erros em seus dados pessoais ou apagar esses dados completamente. As empresas precisam saber quais dados pessoais eles possuem, certifique-se de obterem consentimentos de pessoas para armazenar esses dados, proteger os dados e notificar as autoridades se ocorrerem violações de dados.

Na primeira leitura, isso pode parecer o que as empresas fazem – ou pelo menos tentam fazer – hoje. A diferença reside na força da regulamentação e o peso das penas deve ocorrer de forma errada. Em outras palavras, o GDPR merece sua atenção.

Colocando o GDPR no Contexto

As definições utilizadas pelo GDPR são bastante amplas. Para passar do teórico à praticidade, uma organização precisa entender quais os dados pessoais que detém para suas operações comerciais e onde eles usam os dados dentro das aplicações de software. No entanto, é fácil imaginar exemplos de onde as informações pessoais podem estar dentro dos aplicativos do Office 365, incluindo:

• Revisões anuais escritas sobre funcionários armazenados em um site do SharePoint ou OneDrive for Business.
• Uma lista de candidatos para um cargo em uma planilha do Excel anexada a uma mensagem de e-mail.
• Tabelas contendo dados (nomes, números de funcionários, datas de aluguel, salários) sobre funcionários em sites do SharePoint.

Outros exemplos podem incluir documentação do contrato, arquivos de projeto que incluem informações pessoais de alguém, e assim por diante.

Ajuda de Governança de Dados

Felizmente, o trabalho realizado dentro do Office 365 nas áreas de governança de dados e conformidade ajuda os inquilinos a satisfazer os requisitos do GDPR. Esses recursos incluem:

• Etiquetas e políticas de classificação para marcar o conteúdo que contém dados pessoais.
• Políticas de etiqueta automática para encontrar e classificar dados pessoais conforme definido pelo GDPR. O processamento de retenção pode remover os itens marcados com o rótulo GDPR das caixas de correio e sites após um período definido, talvez depois de passar por um processo de disposição manual.
• Pesquisas de conteúdo para encontrar dados pessoais marcados como abrangidos pelo escopo do GDPR.
• Políticas de alerta para detectar ações que possam ser violações do GDPR, como alguém que baixa vários documentos por um breve período de um site do SharePoint que contenha documentação confidencial.
• Pesquisas do log de auditoria do Office 365 para descobrir e reportar potenciais problemas do GDPR.
• Azure Information Protection rótulos para criptografar documentos e planilhas contendo dados pessoais, aplicando modelos RMS para que as partes não autorizadas não possam ler os documentos mesmo que escapem para fora da organização.

Usando etiquetas de classificação

Conforme mencionado acima, você pode criar um rótulo de classificação para marcar os dados pessoais que se enquadram no âmbito do GDPR e, em seguida, aplicar esse rótulo ao conteúdo relevante. Se você possui as licenças do Office 365 E5, você pode criar uma política de etiqueta automática para selar o rótulo em conteúdo no Exchange, SharePoint e OneDrive for Business, porque documentos e mensagens possuem tipos de dados confidenciais conhecidos pelo Office 365.

A Figura 1 mostra como selecionar o conjunto de tipos de dados sensíveis disponíveis no Office 365. O conjunto está crescendo de forma constante à medida que a Microsoft adiciona novas definições. No momento da redação, 82 tipos estavam disponíveis, 31 dos quais são candidatos óbvios para usar em uma política porque são para tipos de dados sensíveis, como cartões de identidade ou passaportes específicos do país.

Figura 1: Selecionando tipos de dados pessoais para uma política de etiqueta automática (crédito de imagem: Tony Redmond)

A Figura 2 mostra o conjunto completo de tipos de dados sensíveis que eu selecionei para a política. Você também pode ver que a política aplica um rótulo chamado “dados pessoais GDPR” para qualquer conteúdo encontrado nos locais selecionados que corresponda a qualquer um dos 31 tipos de dados. As políticas de aplicação automática podem cobrir todas as caixas de correio do Exchange e os sites do SharePoint e OneDrive para empresas em um inquilino ou um subconjunto selecionado desses locais.

Figura 2: O conjunto completo de tipos de dados pessoais para uma política GDPR (crédito de imagem: Tony Redmond)

O uso de etiquetas de classificação para marcar o conteúdo do GDPR tem outro benefício na medida em que você pode procurar esse conteúdo usando a palavra-chave ComplianceTag (por exemplo, ComplianceTag: “dados pessoais GDPR”).

Pode demorar até uma semana completa antes que as políticas de etiqueta automática se apliquem a todos os locais. Além disso, uma política de etiqueta automática não substituirá uma etiqueta que já existe em um item. Estes são pequenos problemas. O grande problema aqui é que os rótulos de classificação cobrem apenas alguns do Office 365. Alguns exemplos de aplicativos populares onde você não pode usar rótulos são:

• Equipes.
• Planejador.
• Yammer.

A Microsoft planeja expandir a estrutura de governança de dados do Office 365 para outros locais (aplicativos) ao longo do tempo. Dado o interesse no GDPR, espero que alguns ou todos os locais mencionados acima dêem suporte à governança de dados em maio de 2018.

Links de pesquisa:
https://www.microsoft.com/pt-br/TrustCenter/Privacy/GDPR
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection_en
https://privacy.microsoft.com/en-US/microsoft-eu-us-privacy-shield
https://www.microsoft.com/pt-br/trustcenter/privacy/gdpr/solutions