A União Europeia está empenhada em proteger os dados de seus cidadãos, seja em cadastros pessoais, seja on-line. O europeu passa a ser responsável pelos seus próprios dados e tem o direito de retomar a sua posse de terceiros, caso assim deseje.
Entretanto, o direito do europeu se estende por onde ele estiver, seja na União Europeia, seja em outros lugares do mundo, como o Brasil. É por isso que devemos estar atentos sobre o que é GDPR e como isso nos afeta.
Neste post explicamos o que é GDPR e as suas principais medidas, como ela afeta os brasileiros e como as empresas deverão se adequar para cumprir essa legislação. Ficou interessado? Então, boa leitura!
O que é GDPR?
GDPR é a sigla para General Data Protection Regulation. É uma lei que protege os dados dos cidadãos europeus e que foi recentemente aprovada pelo Parlamento europeu. Ela trata de diversos aspectos dos dados das pessoas, além de deixar bem claro quais são os direitos dos cidadãos e os deveres das empresas para protegê-los.
Quais os pontos da GDPR que precisam ser verificados?
A GDPR traz várias medidas referentes aos cidadãos. É importante entender quais são para saber os impactos que têm no cotidiano das empresas brasileiras.
Considerar a natureza do uso de dados
Os dados só podem ser coletados com um propósito bem específico. Nenhuma ferramenta deve coletar mais informação do que precisa de um usuário europeu. Essa medida é uma proteção extra para evitar prejuízos, como ataques de ransomware ou outras falhas de segurança.
Os responsáveis pelos dados são os controladores e processadores desses dados. Por isso, a legislação diz respeito a qualquer entidade que tenha ou processe esses dados para diversos fins.
A solução para esse ponto é a implementação de medidas organizacionais e técnicas que garantam a segurança de dados dos cidadãos europeus. Os dados armazenados precisam estar em uma infraestrutura confiável, íntegra, acessível e durável.
Resguarda o cidadão europeu fora da Europa
A GDPR diz respeito ao cidadão europeu, esteja ele em que parte do mundo seja. Ou seja, se uma empresa oferecer serviços e produtos aos cidadãos da União Europeia, ela precisa cumprir as exigências da GDPR.
A lei se aplica somente aos serviços que identifiquem os cidadãos de alguma forma. Portanto, é válido para qualquer serviço que exija alguma forma de cadastro, como os requisitados em aplicativos.
Coleta somente de dados essenciais dos usuários
As empresas que manusearem os dados dos usuários europeus terão que reduzir a coleta e a retenção da informação. Esses dados precisarão ter o consentimento explícito do usuário para que sejam coletados.
A meta é que as organizações façam a coleta somente de dados necessários para uso do serviço ou produto.
Exclusão permanente de dados solicitados pelos usuários
O cidadão europeu tem o direito de ser “esquecido” pelas empresas. Por isso, os usuários têm direito à exclusão de qualquer dado que tenha sido coletado anteriormente.
As empresas têm o dever de excluir esses dados dentro do tempo estimado. Quando se trata de pessoas incapazes, como crianças, as restrições são ainda maiores.
Notificação ao usuário se ocorrer vazamento de informação
Em caso de vazamento de dados por motivos diversos, os usuários devem ser notificados. A notificação deve ocorrer em até 72 horas após a detecção do vazamento. A regra é comunicar a DPA (Data Protection Authority) quando o vazamento colocar em risco os direitos e as liberdades dos europeus.
Instauração de gestão de dados eficiente
A GDPR diz que a empresa precisa contratar um profissional chamado de DPO (Data Protection Officer). Ele será responsabilizado pela gestão da proteção de dados da empresa. Empresas que lidem com dados em larga escala precisam ter um DPO fazendo parte da diretoria.
Como os brasileiros são afetados pela GDPR?
A GDPR deixa claro quem são os processadores e controladores de dados dos usuários. As empresas que controlam ou processam dados que têm atividades na União Europeia estão sujeitas às obrigações previstas na GDPR. Lembre que a lei diz respeito aos cidadãos europeus, independentemente de ele estar ou não dentro da União Europeia.
Da mesma maneira, as empresas de qualquer lugar do mundo, incluindo o Brasil, que oferecem produtos e serviços para os cidadãos europeus também devem cumprir os deveres da GDPR. E é justamente o caso de muitas empresas que estão no Brasil, mas que exportam seus produtos para a Europa.
Serviços on-line, transações bancárias, anúncios publicitários em sites europeus, prestação de serviços aos cidadãos, outsourcing etc. são afetados pela lei.
Como se adequar à lei?
Para as empresas que se enquadrem nas situações citadas acima, é preciso mudar para estar dentro da lei. Deve haver uma mudança de políticas para que haja estruturas de responsabilização e transparência que assegurem a integridade dos cidadãos europeus.
Para atender às exigências da GDPR é preciso seguir algumas dicas:
Identificar os dados
Os dados pessoais, tanto de clientes quanto de funcionários, precisam ser devidamente identificados pela empresa que os coleta.
Ter uma política de dados automatizada
A segurança de dados precisa ser automatizada. Operações como controle de acesso, validação de acesso, criptografia de dados, retenção e políticas de privacidade devem ser automatizadas para que não haja nenhuma brecha no sistema.
Ter um processo fácil para eliminar dados pessoais
Os dados de clientes e funcionários devem ser deletados em todos os locais possíveis onde a empresa tenha essa informação, como banco de dados, redes sociais, sites corporativos etc.
Identificar dados desnecessários para o modelo de negócio da empresa</h4
Dados duplicados ou em excesso devem ser removidos. O modelo de negócios precisa ser consistente com os dados fornecidos pelos usuários. Somente o necessário deve ser requisitado.
Auditar os dados pessoais
Deve haver uma auditoria constante dos dados disponibilizados para a empresa. Eles devem ser conferidos por uma governança de TI responsável por garantir a conformidade dos dados.
Ter um plano de contingência em caso de vazamento
Toda empresa deve ter um plano para desastres, e isso inclui vazamento de dados pessoais. Deve haver um plano para situações de vazamento e análise constante dos riscos.
O descumprimento da GDPR pode gerar multas pesadas de até 20 milhões de euros. Empresas com ganhos muito acima desse valor podem ter que pagar até 4% do volume anual que produziu. É preciso estar informado cada vez mais sobre essa lei para que não haja nenhum prejuízo para a sua empresa.
Curtiu o nosso texto sobre o que é GDPR? Então, não deixe de assinar a nossa newsletter para receber outras notícias interessantes direto no seu e-mail. Até a próxima!