Plano de ação para RGPD da Microsoft 365 – Principais prioridades para os primeiros 30 dias, 90 dias e depois

Esse artigo inclui um plano de ação priorizado que você pode seguir enquanto trabalha para atender aos requisitos da norma geral de proteção de dados (RGPD). Esse plano de ação foi desenvolvido em parceria com o Protiviti, um parceiro da Microsoft especializado em conformidade regulamentar.

O RGPD introduz novas regras a empresas, agências governamentais, organizações sem fins lucrativos e outras organizações que ofereçam bens e serviços a pessoas na União Europeia (UE) ou que coletam e analisam dados vinculados a residentes na UE. O RGPD se aplica onde quer que você e sua empresa estejam localizados.

Resultados do plano de ação

Essas recomendações são fornecidas em três fases em uma ordem lógica com os resultados a seguir:

Fase Resultados
30 dias Entenda os requisitos do RGPD e considere interagir com um parceiro de consultoria de RGPD da Microsoft.
• Avalie sua prontidão em relação ao padrão de referência e obtenha recomendações para as próximas etapas.
• Trabalhe com o parceiro de consultoria de RGPD da Microsoft para estabelecer diretrizes internas a fim de responder às Solicitações de entidades de dados (DSRs), para executar uma análise das lacunas de conformidade com o RGPD para sua organização e para estabelecer um roteiro para atingir a conformidade.

Inicie a descoberta dos tipos de dados pessoais que você está armazenando e onde residem para estar em conformidade com as DSRs.
• Use a Pesquisa de conteúdo e a Descoberta Eletrônica nos centros de conformidade e segurança para descobrir dados pessoais em toda a organização.
• Ao trabalhar com grandes quantidades de conteúdo, use a Descoberta Eletrônica Avançada, alimentada por tecnologias de aprendizado de máquina, para executar pesquisas de conteúdo mais eficientes e precisas.
90 dias Comece pela implementação dos requisitos de conformidade usando as funcionalidades de conformidade e gestão de dados do Microsoft 365.
• Avalie e gerencie os riscos de conformidade usando a Pontuação de Conformidade da Microsoft.
• Ajude os usuários a identificar e classificar dados pessoais, como definido pelo RGPD.

Use as funcionalidades de segurança do Microsoft 365 para evitar violações de dados e implementar a proteção de dados pessoais.
• Proteja as contas de administradores e de usuários finais.
• Proteja contra códigos mal-intencionados e implemente a prevenção e a resposta a violações de dados.
• Use logs de auditoria para monitorar atividades potencialmente mal-intencionadas e habilitar a análise forense de violações de dados.
• Use as políticas de Prevenção contra Perda de Dados (DLP) para identificar e proteger dados confidenciais.
• Proteja-se contra os vetores mais comuns de ataque, incluindo phishing de emails e documentos do Office que contenham anexos e links mal-intencionados.
Além de 90 dias Use as avançadas ferramentas de gestão de dados e de proteção de informações do Microsoft 365 para implementar programas de gestão contínua de dados pessoais.
• Identifique automaticamente as informações pessoais em documentos e emails.
• Proteja dados pessoais armazenados em dispositivos em toda a organização e certifique-se que dispositivos corporativos em conformidade sejam usados para acessar dados confidenciais.
• Garanta que as informações pessoais confidenciais sejam armazenadas e acessadas de acordo com as políticas corporativas.
• Implemente políticas de retenção de dados para ajudar a garantir que a empresa retenha dados pessoais apenas pelo tempo necessário.

Monitore a conformidade contínua no Microsoft 365 e em outros aplicativos de Nuvem. Considere abordar os requisitos de residência de dados pessoais da UE.
• Monitore o uso dos aplicativos de nuvem na organização e implemente políticas de alertas avançados.
• Aborde os requisitos de residência de dados como uma organização global.

30 dias – Ganhos Rápidos e Poderosos

Essas tarefas são rápidas e eficazes com baixo impacto para os usuários.

Área Tarefas
Entenda os requisitos do RGPD e considere interagir com um parceiro de consultoria de RGPD da Microsoft. * Avalie e gerencie seus riscos de conformidade usando Microsoft Compliance Manager no Centro de conformidade do Microsoft 365 para conduzir uma avaliação RGPD da sua organização.
• Trabalhe com o seu Parceiro de Consultoria de RGPD da Microsoft para estabelecer diretrizes internas a fim de responder às Solicitações de entidades de dados (DSRs) e exclusões das DSRs.
• Trabalhe com o seu parceiro de Consultoria de RGPD da Microsoft para executar uma análise de lacunas de conformidade com RGPD para sua organização e para estabelecer um roteiro para conseguir a conformidade com RGPD.
• Saiba como usar o Painel de RGPD e a funcionalidade de Solicitação do Titular dos Dados no Centro de Conformidade do Microsoft 365.
Inicie a descoberta dos tipos de dados pessoais que você está armazenando e onde residem para estar em conformidade com as DSRs. * Use a Pesquisa de Conteúdo e os casos de Descoberta Eletrônica para pesquisar facilmente caixas de correio, pastas públicas, Grupos do Microsoft 365, o Microsoft Teams, sites do SharePoint Online, sites do OneDrive for Business e conversas do Skype for Business. Saiba como usar os tipos de informações confidenciais para descobrir dados pessoais de cidadãos da UE.
* Ao trabalhar com grandes quantidades de conteúdo, identifique documentos relevantes para um determinado assunto (por exemplo, uma investigação de conformidade) com rapidez e melhor precisão do que com as pesquisas tradicionais de palavras-chave com a Descoberta Eletrônica Avançada, desenvolvida com tecnologias de aprendizado de máquina.
• Visualize resultados de pesquisa, obtenha estatísticas de palavras-chave para uma ou mais pesquisas de conteúdo, execute pesquisas de conteúdo com edição em massa e exporte os resultados usando o Centro de Conformidade & Segurança.

90 dias — Conformidade aprimorada

Essas tarefas levam um pouco mais de tempo para planejar e implementar, mas podem aumentar seus esforços gerais de conformidade com o RGPD.

Área Tarefas
Comece pela implementação dos requisitos de conformidade usando as funcionalidades de conformidade e gestão de dados do Microsoft 365. • Gerencie a Conformidade com o RGPD usando o Gerenciador de Conformidade da Microsoft no Centro de conformidade do Microsoft 365 (STP).
* Ajude os usuários a identificar e classificar dados pessoais, como definido pelo RGPD, ao implementar um esquema de classificação e Rótulos associados do Office 365 para emails do Exchange, sites do SharePoint, sites do OneDrive for Business e Grupos do Microsoft 365. Consulte Proteção de Informações do RGPD.
Use as funcionalidades do Centro de segurança do Microsoft 365 para evitar violações de dados e implementar a proteção de dados pessoais. * Melhore a autenticação para administradores e usuários finais do Microsoft Cloud habilitando a autenticação multifator para todas as contas de usuários e a autenticação moderna para todos os aplicativos. Para saber mais sobre a configuração de políticas recomendada, confira Configurações de identidades e de acesso ao dispositivo.
* Implantar Microsoft Defender para Ponto de Extremidade em todos os desktops para proteção contra código malicioso, prevenção de violação de dados e respostas.
Habilite o log de auditoria e a auditoria de caixas de correio (para todas as caixas de correio do Exchange) a fim de monitorar atividades potencialmente mal-intencionadas e habilitar a análise forense da violações de dados.
• Configure, teste e implante as Políticas de Prevenção Contra Perda de Dados (DLP) para identificar, monitorar e proteger automaticamente mais de 80 tipos comuns de dados confidenciais de documentos e emails, inclusive informações de identificação pessoal, financeiras e médicas.
* Implemente soluções de segurança do Office 365 para ajudar a evitar os vetores de ataque mais comuns, incluindo emails de phishing e documentos do Office que contêm links e anexos mal-intencionados.

Mais de 90 dias – Privacidade contínua, governança de dados e relatórios

Essas configurações são medidas de privacidade importantes que se baseiam em trabalho anterior.

Área Tarefas
Use as avançadas ferramentas de gestão de dados e de proteção de informações do Microsoft 365 para implementar programas de gestão contínua de dados pessoais. * Use rótulos de confidencialidade para identificar informações pessoais em documentos e emails.
• Proteja dados pessoais armazenados em dispositivos por toda a organização com a implantação do Microsoft Intune.
• Implemente políticas de Acesso Condicional do AAD em conjunto com o Microsoft Intune para garantir que as informações pessoais confidenciais sejam armazenadas e acessadas de acordo com as políticas corporativas. Para saber a configuração de políticas recomendada, consulte Configurações de identidade e de acesso ao dispositivo.
* Implemente políticas de retenção de dados com rótulos de confidencialidade, Governança de Informações da Microsofte políticas de retenção para reter dados pessoais pelo tempo necessário em sua jurisdição.
Monitore a conformidade contínua no Microsoft 365 e em outros aplicativos de Nuvem. Considere abordar os requisitos de residência de dados pessoais da UE. * Use relatórios de prevenção contra perda de dados e Microsoft Cloud App Security para monitorar o uso de aplicativos de nuvem e implementar políticas avançadas de alerta com base na heurística e na atividade do usuário.
• Aborde os requisitos organizacionais, regionais e locais de residência de dados enquanto estiver operando como uma organização global ao usar as capacidades de múltipla localizações do Microsoft para caixas de correio do Exchange Online, sites do OneDrive for Business e do SharePoint Online.

Saiba mais