Limpar
Limpar
HomeSegurança da informaçãoGDPR: um assunto fundamental se você está inserido no mercado corporativo.

GDPR: um assunto fundamental se você está inserido no mercado corporativo.

0 5 de março de 2018
Segurança da informação

A GDPR pode ser um divisor de águas no mercado mundial. Entenda mais sobre o que essa regulamentação realmente é.

Há alguns anos atrás a Comissão Europeia, que é a responsável por toda legislação dentro da União Europeia votou e aprovou uma regulamentação denominada GDPR (General Data Protection Regulation), que traduzida significa Regulamentação Geral de Proteção de Dados.

Caso você não saiba do que se trata, não se preocupe. Continue a leitura pois iremos explicar vários tópicos que você precisa saber para entender melhor sobre esse assunto que já está causando movimentos drásticos ao redor do globo e que causará ainda mais quando de fato entrar em vigor.

O que é GDPR?

Portanto, como falamos na introdução, GDPR é uma regulamentação criada pela Comissão Europeia, desenvolvida para padronizar e melhorar a proteção de dados das pessoas que residem na UE.

A proposta da regulamentação foi feita em 2012, com o intuito de substituir a Diretiva de Proteção de Dados Europeia, instituída em 1995. Cerca de 4 anos depois, a regulamentação finalmente obteve aprovação, contudo, a lei só entraria em vigor em 2018, 2 anos após sua aprovação.

Esses dois anos para o início da aplicação da lei tinha a intenção de viabilizar um prazo para que as empresas se atualizassem e entrassem em conformidade com os padrões regulamentados. A lei entra em vigor em maio de 2018.

Fundamentação

Uma das bases para a criação da GDPR, foi a forma em que empresas envolvidas com publicidade, mídia, ou qualquer outra área que utiliza, controla, manipula ou revende informações privadas pessoais trabalham.

Um dos principais objetivos da GDPR (também chamada de EU GDPR) é conscientizar e dar controle aos cidadãos, afim de que eles entendam a forma que suas informações são armazenadas e utilizadas. A regulamentação diz que “o (…) controlador terá a obrigação de excluir dados pessoais sem atraso indevido, especialmente em relação a dados pessoais que são coletados quando o sujeito dos dados for uma criança, e o sujeito dos dados terá o direito de obter do controlador a exclusão de dados pessoais com relação a ele ou ela sem atraso indevido”.

Em sua totalidade, a regulamentação estabelece os direitos e deveres dos indivíduos e das organizações relacionado a obtenção, retenção e utilização de dados pessoais, com a pretensão de facilitar o acesso dos indivíduos às informações obtidas pelas empresas, assim como de impor obrigações e normas para aumentar a proteção dos indivíduos.

Porque ela foi criada?

Com o crescimento exponencial da internet e das formas como a utilizamos, não foram criadas regulamentações para acompanhar os desenvolvimentos tecnológicos e as formas de captação e utilização de dados.

Atualmente, sabemos que somos vigiados a todo instante por ferramentas baseadas em algoritmos que analisam nossos comportamentos. Podemos ressaltar por exemplo as redes sociais, que guardam informações pessoais e analisam constantemente nossos hábitos ao utilizar a plataforma.

Essas ferramentas, criadas majoritariamente por empresas de mídia, estão cada vez mais no mercado digital, rastreando, coletando e analisando dados de usuários, e afirmam que todo esse movimento é feito para possibilitar uma “melhor experiência para quem utiliza as plataformas”.

Por esses motivos, a lei foi pensada, afim de regulamentar essa utilização além de conscientizar e capacitar cidadãos, para que eles tenham o poder de controlar como seus dados são utilizados e armazenados.

Quais dados serão protegidos?

Tanto os dados pessoais, bem como os sensíveis são abrangidos, sendo eles: nome, endereço, fotos, endereço IP (dados pessoais) e até mesmo informações sobre orientação sexual, ponto de vista político, religioso e até dados de saúde e genéticos (dados sensíveis).

Interessante ressaltar que segundo o artigo 2 da Diretiva 95/46/EC, dados pessoais são quaisquer informações relacionadas a uma pessoa identificada ou identificável (“sujeito dos dados”); uma pessoa identificável é alguém que pode ser identificado, direta ou indiretamente, em particular por referência a um número de identificação ou por um ou mais fatores específicos a sua constituição física, fisiológica, mental, econômica, cultural ou identidade social.

A GDPR se aplica somente a União Europeia?

É de extrema importância entender e saber que o GDPR não engloba somente as empresas e organizações que estão situadas na União Europeia. Também se aplica a empresas que prestem serviços, ou vendam mercadorias para organizações da União Europeia – chamados de Sujeitos dos Dados da UE (“uma pessoa identificada ou identificável a quem os ‘dados pessoais’ se relacionam”). Ou seja, se você ou uma empresa se relacionam corporativamente com qualquer outra companhia situada na União Europeia, é necessário estar em conformidade com a EU GDPR.

O que muda com a GDPR?

Muitas novidades estão previstas com a aplicação da nova regulamentação. A partir dela, o indivíduo tem um controle maior de seus dados, podendo entender para qual finalidade eles serão utilizados, bem como solicitar que suas informações sejam apagadas. Vale ressaltar que as empresas e organizações que detém essas informações passarão a ter responsabilidades relacionadas aos dados dos cidadãos.

As empresas serão as responsáveis em caso de perdas

Agora, todas as empresas se tornam responsáveis pela proteção dos dados pessoais que elas retêm. Ou seja, a partir do momento em que a lei entrar em vigor, as empresas são responsáveis por cuidar para que todas as informações obtidas estejam seguras e longe de qualquer risco de violação ou vazamento, além de também serem responsáveis por alertar todos os envolvidos, bem como, as autoridades que competem ao assunto em caso de violações, perdas ou roubos de dados.

Diminuição da quantidade de dados captados

De acordo com a GDPR, as empresas precisam agora diminuir a coleta e retenção das informações, além de precisar do consentimento do consumidor quando houver processamento de dados. Concluímos que, com essa regulamentação a ideia é fazer com que as empresas e organizações coletem e retenham somente os dados que sejam necessários.

Prazo para informação sobre a perda de dados

Caso ocorra alguma violação, vazamento, ou perda, a empresa precisará notificar a DPA (Data Protection Authority – Autoridade de proteção de dados), organização responsável para esse fim, até 72 horas após a detecção do problema. Vale ressaltar que a notificação não é necessária caso a violação ou vazamento não tenham probabilidade de resultar em riscos aos direitos e liberdade dos indivíduos.

Uma nova função: Gestor de Proteção de Dados

As empresas que lidam com categorias especiais de dados pessoais em larga escala precisarão de um DPO (Data Protection Officer, ou um Gestor de Proteção de Dados) participando de sua diretoria.

Aplicação de multas

Caso as normas não sejam atendidas, a multa pode ser aplicada de 2 formas: até 20 milhões de Euros ou até 4% do volume anual de negócios. O valor mais alto será o escolhido.

Quando entra em vigor?

Como citamos, a GDPR está prevista para entrar em vigor no dia 25 de maio de 2018. Após essa data, todas as empresas precisam estar em conformidade com a regulamentação para que multas e problemas judiciais sejam evitados.

Aproveitando que o assunto está fresco em sua mente, clique aqui e entenda como a GDPR afetará o mercado mundial, bem como o nacional. E não se esqueça de se inscrever em nossa newsletter, onde enviamos semanalmente materiais valiosos para seu empreendimento.



Hugo Bär

Sócio-diretor da Tripla, responsável pela área de Tecnologia, Inovação e Desenvolvimento de Produtos, com mais de 15 anos de experiência em empresas no Brasil e Europa, nas áreas de redes e segurança da informação

Comments

Comment