Regulamento GDPR, o que é?
GDPR significa General Data Protection Regulation, numa tradução livre trata-se do Regulamento Geral de Proteção de Dados, trata-se do novíssimo regulamento de conformidade de dados comerciais. Ele contém uma gama de novas regras em que empresas baseadas na União Européia ou que tratem informações de cidadãos da UE precisarão se enquadrar, com previsão de lançamento para 25 de maio deste ano haverá sanções rígidas pelo não cumprimento.
Neste artigo forneceremos uma visão geral do GDPR, incluindo os principais termos e regulamentos.
Participantes
O Regulamento geral de proteção de dados define três grupos de participantes, dois grupos gerais e um novo cargo.
Controlador: trata da pessoa física ou jurídica, autoridade pública, agência ou outro órgão que, isoladamente ou em conjunto com outros, determina os propósitos e meios de processamento de dados pessoais. Em outras palavras, o controlador é qualquer pessoa ou empresa que esteja lidando com os dados dos cidadãos da UE.
Processador: é a pessoa física ou jurídica, autoridade pública, agência ou outro órgão que processa dados pessoais em nome do controlador. É o segundo participante principal do GDPR que se enquadra em uma nova regulamentação. O processador, basicamente, é qualquer pessoa ou empresa que processa ou armazena dados para o controlador.
Diretor de Proteção de Dados (DPO): esse é um novo cargo na empresa, ele será responsável por:
- Monitorar os processos de conformidade.
- Oferecer suporte informativo tanto do controlador como do processador em relação ao regulamento.
- Cooperar com a autoridade reguladora.
Basicamente, trata-se de um auditor interno de dados, o papel é impedir violação de dados e um problema de conformidade.
Definições
Existem várias novas definições, que irão ajudar a entender melhor o GDPR.
Dados pessoais: entende-se como toda informação relacionada a uma pessoa física identificada ou identificável. São quaisquer dados conectados a uma pessoa, tais como nome, número de identidade, dados de localização e qualquer outro dado que identifique a qualificação econômica, física, cultural ou social relacionado à pessoa.
Direito de ser esquecido: cada pessoa tem “o direito de ter seus dados pessoais apagados e não processados”. Esta é a nova definição com maior repercussão, ela significa que, por qualquer pedido da pessoa cujos dados possam estar armazenados, a empresa deve excluí-los e evitar qualquer acesso futuro.
Consentimento: qualquer indicação livre, específica, informada e inequívoca dos desejos da pessoa em causa, através de uma declaração ou por uma ação afirmativa clara, significa acordo para o processamento de dados pessoais relacionados a ele ou ela.
Aqui é o item que gera mais polêmica quando o assunto é o GDPR. Basicamente exige-se uma indicação clara para o processamento legal de dados da pessoa, porém para informações de marketing que podem ser obtidas de várias fontes de terceiros, é particularmente difícil distinguir o consentimento. Esse é um bom ponto onde os termos em relação ao processamento e gerenciamento de dados entre fornecedores e clientes precisam ser revistos.
Visão Geral
O documento do Regulamento Geral de Proteção de Dados é composto por 11 capítulos e 99 artigos, não descreveremos em detalhes o texto inteiro, vamos identificar os requisitos mais importantes que devem ser considerados para se adequar a nova norma.
Gestão dos dados
Todo o processamento de dados pessoais no âmbito do GDPR devem ser realizados dentro da União Europeia, se o tratamento ou armazenamento de dados da UE ocorrerem em outra região, por exemplo Estados Unidos, haverá violação das normas.
Também é importante que sob qualquer pedido de um indivíduo, a empresa esteja pronta para informar:
- Detalhes de contato do controlador e DPO dos dados.
- Finalidade do processamento de dados.
- Base jurídica para o processamento de dados.
- De onde os dados se originaram.
- O período de retenção para o qual os dados pessoais serão armazenados e o direito legal para armazenar os dados
Se a empresa utilizar uma grande variedade de fornecedores de dados de terceiros, é altamente recomendável contactá-los antes do início da conformidade.
Em caso de violação de dados
O GDPR define a violação de dados como: “Personal data breach is a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed.”, numa tradução livre:
“A violação de dados pessoais é uma violação de segurança que leva à destruição, perda, alteração, divulgação ou divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados ou processados de forma acidental ou ilegal”. Definição de violação de dados segundo o GDPR.
A violação de dados pode levar a processos judiciais, por isso que tanto para o controlador como para o processador, a segurança dos dados deve ser de extrema importância.
Em caso de violação de dados, é responsabilidade do controlador notificar a autoridade de supervisão o mais tardar 72 horas após a violação. Após 72 horas, as autoridades têm o direito de processar o controlador pelo atraso. O processador de dados não precisa notificar a autoridade, se a violação tiver ocorrido em seu lado, mas deve notificar o controlador.
O controlador também deve notificar todos os tópicos dos dados pessoais violados. Se, no entanto, os dados pessoais estiverem criptografados e não puderem ser lidos – o controlador pode não precisar notificar as pessoas em questão.
Conclusão
O GDPR torna importante a visão geral dos processos comerciais, técnicos e legais da empresa, os quais relacionam-se a coleta, gerenciamento ou processamento de dados. É uma visão complexa da segurança de dados porém o regulamento deve ser levado a sério, uma vez que a autoridade de supervisão tem o direito legal de processar tanto o controlador como o processador por irregularidades.
Para clientes estamos orientamos e conduzindo ações com todos, porém para empresas que ainda não são nossos clientes recomendamos:
- Além do nosso resumo GDPR, verificar o PDF oficial do regulamento contido nas Referências logo abaixo.
- Consultar um escritório de advocacia.
- Analisar a infraestrutura técnica em relação a todos os processos relacionados ao gerenciamento de dados.
- Ver o nosso artigo sobre Como implementar o GDPR.
Atualizado em 21/02/2018 às 15:27.
Referências
- GDPR Article 27 – Data Protection Representative – DPR Group. Acessado em 28/01/2018.
- General Data Protection Regulation (GDPR) – Final text neatly arranged. Acessado em 28/01/2018.
- Home Page of EU GDPR. Acessado em 28/01/2018.
- Ravichandran, Aruna. Três bons motivos para que os CIOs considerem o GDPR o quanto antes – CIO. Acessado em 08/02/2018.