Plano de ação para RGPD da Microsoft 365 – Principais prioridades para os primeiros 30 dias, 90 dias e depois
Este artigo inclui um plano de ação prioritário que pode seguir enquanto trabalha para cumprir os requisitos do Regulamento Geral sobre a Proteção de Dados (RGPD). Este plano de ação foi desenvolvido em parceria com a Protiviti, um parceiro da Microsoft especializado em conformidade regulamentar.
O RGPD introduziu novas regras para empresas, agências governamentais, organizações sem fins lucrativos e outras organizações que oferecem bens e serviços a pessoas na União Europeia (UE) ou que recolhem e analisam dados para residentes na UE. O RGPD aplica-se independentemente da localização do utilizador ou da sua empresa.
Resultados do plano de ação
Essas recomendações são fornecidas em três fases em uma ordem lógica com os resultados a seguir:
| Fase | Resultados |
|---|---|
| 30 dias |
Entenda os requisitos do RGPD e considere interagir com um parceiro de consultoria de RGPD da Microsoft. • Avalie sua prontidão em relação ao padrão de referência e obtenha recomendações para as próximas etapas. • Trabalhe com o parceiro de consultoria de RGPD da Microsoft para estabelecer diretrizes internas a fim de responder às Solicitações de entidades de dados (DSRs), para executar uma análise das lacunas de conformidade com o RGPD para sua organização e para estabelecer um roteiro para atingir a conformidade. Inicie a descoberta dos tipos de dados pessoais que você está armazenando e onde residem para estar em conformidade com as DSRs. • Use a Pesquisa de conteúdo e a Descoberta Eletrônica nos centros de conformidade e segurança para descobrir dados pessoais em toda a organização. * Ao trabalhar com grandes quantidades de conteúdo, utilize Descoberta Eletrônica do Microsoft Purview (Premium), com tecnologias de machine learning, para realizar pesquisas de conteúdo mais eficientes e precisas. |
| 90 dias |
Comece pela implementação dos requisitos de conformidade usando as funcionalidades de conformidade e gestão de dados do Microsoft 365. * Avalie e faça a gestão dos riscos de conformidade com o Gestor de Conformidade do Microsoft Purview. • Ajude os usuários a identificar e classificar dados pessoais, como definido pelo RGPD. Use as funcionalidades de segurança do Microsoft 365 para evitar violações de dados e implementar a proteção de dados pessoais. • Proteja as contas de administradores e de usuários finais. • Proteja contra códigos mal-intencionados e implemente a prevenção e a resposta a violações de dados. • Use logs de auditoria para monitorar atividades potencialmente mal-intencionadas e habilitar a análise forense de violações de dados. * Utilize políticas de Prevenção de Perda de Dados (DLP) para identificar e proteger dados confidenciais. • Proteja-se contra os vetores mais comuns de ataque, incluindo phishing de emails e documentos do Office que contenham anexos e links mal-intencionados. |
| Além de 90 dias |
Use as avançadas ferramentas de gestão de dados e de proteção de informações do Microsoft 365 para implementar programas de gestão contínua de dados pessoais. • Identifique automaticamente as informações pessoais em documentos e emails. • Proteja dados pessoais armazenados em dispositivos em toda a organização e certifique-se que dispositivos corporativos em conformidade sejam usados para acessar dados confidenciais. • Garanta que as informações pessoais confidenciais sejam armazenadas e acessadas de acordo com as políticas corporativas. * Implemente políticas de retenção de dados para ajudar a garantir que apenas mantém os dados pessoais durante o tempo necessário. Monitore a conformidade contínua no Microsoft 365 e em outros aplicativos em nuvem. Considere abordar os requisitos de residência dos dados dos dados pessoais da UE. • Monitore o uso dos aplicativos de nuvem na organização e implemente políticas de alertas avançados. • Aborde os requisitos de residência de dados como uma organização global. |
30 dias — Vitórias rápidas poderosas
Essas tarefas são rápidas e eficazes com baixo impacto para os usuários.
| Área | Tarefas |
|---|---|
| Entenda os requisitos do RGPD e considere interagir com um parceiro de consultoria de RGPD da Microsoft. | * Avalie e faça a gestão dos riscos de conformidade com o Gestor de Conformidade do Microsoft Purview no portal de conformidade do Microsoft Purview para realizar uma Avaliação do RGPD da sua organização. • Trabalhe com o seu Parceiro de Consultoria de RGPD da Microsoft para estabelecer diretrizes internas a fim de responder às Solicitações de entidades de dados (DSRs) e exclusões das DSRs. • Trabalhe com o seu parceiro de Consultoria de RGPD da Microsoft para executar uma análise de lacunas de conformidade com RGPD para sua organização e para estabelecer um roteiro para conseguir a conformidade com RGPD. * Saiba como utilizar o Dashboard do RGPD e a capacidade de Pedido de Titular de Dados no portal de conformidade do Microsoft Purview. |
| Inicie a descoberta dos tipos de dados pessoais que você está armazenando e onde residem para estar em conformidade com as DSRs. | * Utilize casos de Pesquisa e Deteção de Conteúdos (Standard) para procurar facilmente em caixas de correio, pastas públicas, Grupos do Microsoft 365, Microsoft Teams, sites do SharePoint, sites do One Drive para Empresas e conversações Skype for Business. Saiba como usar os tipos de informações confidenciais para descobrir dados pessoas de cidadãos da UE. * Ao trabalhar com grandes quantidades de conteúdo, identifique documentos relevantes para um assunto específico (por exemplo, uma investigação de conformidade) rapidamente e com maior precisão do que as pesquisas de palavra-chave tradicionais com Descoberta Eletrônica do Microsoft Purview (Premium), com tecnologias de machine learning. * Pré-visualize os resultados da pesquisa, obtenha palavra-chave estatísticas de uma ou mais pesquisas, edite em massa pesquisas de conteúdo e exporte os resultados com o Centro de Conformidade & de Segurança. |
90 dias — Conformidade aprimorada
Essas tarefas levam um pouco mais de tempo para planejar e implementar, mas podem aumentar seus esforços gerais de conformidade com o RGPD.
| Área | Tarefas |
|---|---|
| Comece pela implementação dos requisitos de conformidade usando as funcionalidades de conformidade e gestão de dados do Microsoft 365. | * Faça a gestão da Conformidade do RGPD com o Gestor de Conformidade do Microsoft Purview no portal de conformidade do Microsoft Purview. * Ajude os utilizadores a identificar e classificar dados pessoais, conforme definido pelo RGPD, com um esquema de classificação e etiquetas de Office 365 associadas para e-mail do Exchange, sites do SharePoint, OneDrive para sites escolares e profissionais e Grupos do Microsoft 365. Consulte Implementar a proteção de informações para regulamentos de privacidade de dados com o Microsoft 365. |
| Use as funcionalidades de segurança do Microsoft 365 para evitar violações de dados e implementar a proteção de dados pessoais. | • Melhore a autenticação para administradores e usuários finais do Microsoft Cloud habilitando a autenticação multifator para todas as contas de usuários e a autenticação moderna para todos os aplicativos. Para obter a configuração de política recomendada, confira Configurações de acesso à identidade e ao dispositivo. * Implantar Microsoft Defender para Ponto de Extremidade em todos os desktops para proteção contra código malicioso, prevenção de violação de dados e respostas. Habilite o log de auditoria e a auditoria de caixas de correio (para todas as caixas de correio do Exchange) a fim de monitorar atividades potencialmente mal-intencionadas e habilitar a análise forense da violações de dados. • Configure, teste e implante as Políticas de Prevenção Contra Perda de Dados (DLP) para identificar, monitorar e proteger automaticamente mais de 80 tipos comuns de dados confidenciais de documentos e emails, inclusive informações de identificação pessoal, financeiras e médicas. * Implemente soluções de segurança do Office 365 para ajudar a evitar os vetores de ataque mais comuns, incluindo emails de phishing e documentos do Office que contêm links e anexos mal-intencionados. |
Mais de 90 dias – Privacidade contínua, governança de dados e relatórios
Essas configurações são medidas de privacidade importantes que se baseiam em trabalho anterior.
| Área | Tarefas |
|---|---|
| Use as avançadas ferramentas de gestão de dados e de proteção de informações do Microsoft 365 para implementar programas de gestão contínua de dados pessoais. | * Use rótulos de confidencialidade para identificar informações pessoais em documentos e emails. • Proteja dados pessoais armazenados em dispositivos por toda a organização com a implantação do Microsoft Intune. • Implemente Políticas de Acesso Condicional do AAD em conjunto com o Microsoft Intune para garantir que as informações pessoais confidenciais sejam armazenadas e acessadas de acordo com as políticas corporativas. Para obter a configuração de política recomendada, confira Configurações de acesso à identidade e ao dispositivo. * Implemente políticas de retenção de dados com etiquetas de confidencialidade, Gerenciamento do Ciclo de Vida dos Dados do Microsoft Purview e políticas de retenção para reter dados pessoais durante o tempo que for necessário na sua jurisdição. |
| Monitore a conformidade contínua no Microsoft 365 e em outros aplicativos em nuvem. Considere abordar os requisitos de residência dos dados dos dados pessoais da UE. |