O que é o GDPR e o que muda quanto a privacidade de informações

By Leandro Ramos Business Nenhum comentário em O que é o GDPR e o que muda quanto a privacidade de informações

Já não é novidade ter as palavras “proteção de dados e privacidade” como pauta. E isso se tornou mais comum com a aplicação do General Data Protection Regulation (Regulação Geral de Proteção de Dados, GDPR na sigla em inglês), que entrou em vigor no dia 25 de maio.

Trata-se de uma legislação da União Europeia que determina diretrizes mais rígidas no que tange à proteção de dados de usuários por empresas com serviços on-line. Tal legislação abrange empresas tanto com sede na UE, quanto as que apenas prestam serviços para os cidadãos locais, o que impacta muitos negócios brasileiros, independente de prestar um serviço pago ou gratuito.

O que muda com a nova legislação?

O gerenciamento de dados por parte de uma empresa agora passa a ser rigoroso. Segue as condições gerais da GDPR:

  • Dados pessoais: a Lei determina que serão considerados dados pessoais informações como nome, foto, e-mail, endereço, IP, biometria, íris dos olhos, dados bancários e publicações em redes sociais;
  • Consentimento: o usuário deverá concordar de maneira explícita em compartilhar determinados dados com uma empresa no momento da adoção de serviço, exigindo mais transparência da empresa;
  • Acesso: qualquer pessoa poderá acessar as informações que determinadas empresas possuem a seu respeito, bem como qual a finalidade das mesmas;
  • Manutenção de dados: o usuário terá o direito de atualizar qualquer informação, bem como solicitar a exclusão de absolutamente qualquer dado na empresa;
  • Portabilidade: o usuário poderá solicitar os seus dados fornecidos à uma empresa a fim de concedê-los a outra a qualquer momento;
  • Menores: o acordo também especifica que toda e qualquer empresa só pode guardar informações de pessoas com idade menor a 16 anos desde que exista o consentimento dos responsáveis legais.

Marketing, recursos humanos, comércios on-line, desenvolvimento de software e TI, gerenciamento de produtos, consultorias jurídicas, compliance, serviços, segurança da informação, e análise de dados são as áreas mais atingidas pela nova legislação.

Aplicação da nova política de proteção de dados

Para além do usuário, a empresa que coletar dados terá obrigações a cumprir também. Neste caso, ainda que a empresa não tenha sede física no bloco europeu, será necessário definir um membro no território, o Data Protection Officer (Oficial de Proteção de Dados, DPO), a fim de reportar às autoridades locais especializadas em casos de eventuais riscos de vazamento de informações.

A princípio, a legislação criou dois departamentos voltados para a proteção de dados: Data Protection Authorities (Autoridade de Proteção de Dados, DPA) e o DPO.

O primeiro é a autoridade da União Europeia encarregada de ser notificada quanto qualquer risco de vazamento de informações, além de aplicar multas para a empresa envolvida. Já o segundo é o cargo responsável pelo gerenciamento dos dados de usuários coletados por sua empresa.

Além disso, a responsabilidade quanto a gestão dos dados agora é dividida em dois segmentos: controlador e processador.

  • O controlador é a classificação voltada para empresas que coletam tais informações, como é o caso de redes sociais ou até mesmo comércio eletrônico, visto que possuem ligação e interação direta para com aqueles que fornecem tais dados;
  • Já o processador é a classificação para empresas que mantém relacionamento especificamente com as do segmento “controlador”, visto que poderão ser contratadas para gerenciar estes dados. Neste aspecto os processadores precisarão manter um registro de coleta de informações e histórico de atividades.

Ainda que o “processador” tenha certo peso e culpabilidade em um eventual vazamento de informações de usuários, o “controlador” também possui responsabilidade neste processo, visto que ele é a porta de entrada dos usuários na coleta de informações por meio de um contrato, os termos de uso e política de privacidade.

A partir das regras impostas pelo GDPR, a empresa pode ou aplicar a legislação na íntegra à sua política de privacidade, ou montar as suas próprias regras de tratamento, uso e proteção de dados.

Eventuais vazamentos e sanções contra a empresa

Quanto a eventuais incidentes no processo de gestão de dados dos clientes há três processos específicos no que tange ao risco a liberdade e proteção de dados dos clientes, ou seja, possíveis vazamentos:

  • Para ocasiões em que existe o risco de vazamentos o DPO da empresa envolvida precisa notificar um DPA do país em que se faz presente em até 72 horas;
  • Para casos de alto risco de vazamento de informações, a empresa precisa comunicar o incidente imediatamente, tanto às autoridades, quanto aos usuários em questão;
  • Já para as ocasiões em que determinado incidente no processo de gestão de dados não apresentar risco de vazamentos, não é necessária notificação, tampouco comunicado.

A empresa que não notificar as autoridades responsáveis receberá uma multa de 10 milhões de euros ou 2% do faturamento internacional da empresa. Neste caso é escolhido o maior montante. Já para casos em que a infração for mais grave, é dobrado tanto o valor da multa quanto também da porcentagem.

Avaliação de Impacto e Proteção de Dados – DPIA

Neste contexto, como forma de prevenção, o GDPR visa também execução do Data Protection Impact Assessment (Avaliação de Impacto e Proteção de Dados, DPIA), uma metodologia com o intuito de identificar, mapear, analisar, organizar e minimizar os riscos e impactos à privacidade de dados.

Tal mapeamento deve ser realizado antes do gerenciamento de todo e qualquer banco de dados que apresentar risco real à liberdade e proteção das informações de usuários. Esta metodologia concentra-se mais para serviços com alta demanda de informações, enquanto serviços com banco de dados mais reduzidos não são obrigados a utiliza-la.

Em linhas gerais, o GDPR não se aplica a empresas fora da UE desde que elas não utilizem dados de cidadão do bloco europeu. Os desdobramentos da regulamentação no Brasil podem ir além do cumprimento das novas regras, resultando, inclusive, em projetos de leis que tratem do assunto com maior propriedade.

  • Share:

Leave a comment