Segurança da Informação

GDPR: Lei de Proteção de Dados europeia e seus impactos no Brasil

Escrito por Telium

O GDPR, do inglês General Data Protection Regulation, é uma regulamentação de proteção aos dados dos usuários europeus. A lei que foi aprovada pela União Europeia em 2016 entrará em vigor a partir de maio deste ano.

No entanto, apesar de a lei ser aplicada apenas em território da União Europeia, ela terá implicações no mundo todo, incluindo no Brasil. E é sobre isso que falaremos no post de hoje.

Vamos apresentar as principais medidas da GDPR, mostrar como ela afeta o resto mundo, o que as empresas precisam fazer para se adequar e o que acontece quando a legislação é descumprida. Quer saber mais sobre isso? Continue conosco.

Quais as principais medidas da GDPR?

É importante entender os impactos que as medidas da GDPR podem causar. São elas:

Ponderação sobre a natureza do uso de dados

A GDPR leva em consideração tanto a natureza dos dados quanto o propósito de uso deles. Isso diz respeito aos controladores de dados, que determinam os meios de processamento de dados pessoais, e aos processadores de dados, que gerenciam essas informações. A medida visa dar maior segurança e evitar prejuízos, como o ataque Wanna Cry.

As empresas têm que implementar medidas organizacionais e técnicas para garantir a segurança de dados dos cidadãos europeus, caso queiram seguir dentro da lei. Para que esse objetivo seja atingido, os dados precisam ser confiáveis, íntegros, acessíveis e duráveis.

Garantia extraterritorial da proteção de dados

Além dos países pertencentes ao bloco da União Europeia, a GDPR cobrirá também organizações de fora. Qualquer empresa que ofereça mercadorias e serviços aos cidadãos do bloco estará sujeita às leis da GDPR.

Isso vale para os serviços voltados aos cidadãos identificáveis, ou seja, com dados pessoais disponíveis. A GDPR atinge até os serviços oferecidos de forma gratuita aos cidadãos europeus, como acesso a sites, por exemplo.

Redução da coleta de dados dos consumidores

As organizações que lidam com dados de usuários europeus precisarão reduzir a coleta e retenção de dados relacionados a eles. Além disso, essas informações deverão passar por um consentimento do usuário para que sejam coletadas.

A minimização da coleta e retenção de dados tem como meta fazer com que as organizações recolham apenas os dados necessários para a realização do consumo do produto ou serviço.

Exclusão de dados de usuários

Além da redução da coleta e retenção de dados dos usuários, a GDPR permite que usuários solicitem a exclusão de seus dados das organizações — isso inclui aqueles publicados na internet.

A GDPR afirma que as organizações que mantêm posse de dados de usuários têm a obrigação de excluí-los dentro do tempo estimado, em especial em caso de pessoas incapazes.

Notificação obrigatória em caso de vazamento de dados

A DPA, Data Protection Authority, é uma autoridade de supervisão nacional responsável pelo monitoramento da aplicação de regras de proteção de dados. Ela precisa ser acionada pelas empresas em caso de vazamento de dados pessoais de seus clientes.

A notificação precisa ser dentro de 72 horas após a detecção do problema. A exceção à regra é quando o vazamento não resulta em risco aos direitos e liberdades dos cidadãos europeus. Nesse caso, a DPA não precisa ser comunicada.

Além disso, os próprios usuários afetados pela adversidade precisam ser notificados, caso haja a possibilidade de acesso não autorizado à informação.

Presença de um gestor de proteção de dados em empresas que utilizam dados em larga escala

O DPO, Data Protection Officer, é um profissional responsável pela gestão da proteção de dados de uma empresa. No caso daquelas que utilizam dados de usuários em larga escala, a GDPR exige que um profissional desse porte seja contratado como parte de sua diretoria.

Como as empresas brasileiras são afetadas pela GDPR?

A GDPR diz respeito às suas normas quanto aos processadores e controladores de dados de usuários. As organizações, controladoras ou processadoras que estão estabelecidas na União Europeia estão sujeitas às aplicações da GDPR, independentemente se o controle ou processo está ou não dentro da União.

Similarmente, as organizações, controladoras ou processadoras, que residem fora da União Europeia, mas que oferecem serviços e mercadorias para a União ou para seus cidadãos, também estão sujeitas às aplicações da GDPR. Esse é o caso de muitas indústrias brasileiras que exportam produtos para a Europa.

Além das indústrias, outras empresas também serão afetadas, das pequenas até as grandes. Vendas onlines de produtos para a Europa, transações bancárias, anúncios publicitários em sites europeus, prestação de serviços aos cidadãos, aluguel de infraestruturas como computação em nuvem e hospedagem de sites são alguns exemplos de negócios que são afetados pela GDPR.

O que fazer para se adequar?

É importante se preparar para que as mudanças políticas sejam baseadas em estruturas de responsabilização e regras transparentes que assegurem a integridade das pessoas envolvidas, em caso de vazamento de informação.

Para atender às exigências do GDPR é preciso seguir algumas dicas importantes de adequação. São elas:

  • identificação dos dados: os dados pessoais, de clientes e funcionários, devem ser identificados em todos os locais de dados de acesso à empresa;

  • automatização de políticas de dados: dados padrão de segurança, como controle de acesso, segurança, criptografia, retenção e políticas de privacidade devem ser automatizadas como um tratamento especial de informação;

  • criação de processos de remoção de dados: os dados pessoais, de clientes e funcionários, devem ser passíveis de remoção em todas as fontes de dados disponibilizadas pela empresa, como banco de dados, redes sociais, sites corporativos etc;

  • detecção de dados desnecessários: dados duplicados ou em excesso a respeito de usuários e funcionários devem ser eliminados;

  • realização de auditoria de dados: os dados devem ser passíveis de serem auditados e conferidos, seja pela própria empresa ou por terceiros;

  • compreensão de risco: análise de riscos de vazamentos e análise acelerada de causas e motivos em caso de vazamentos de dados de usuários.

É de extrema importância que as empresas afetadas pela GDPR se adequem à legislação. As multas pelo descumprimento são pesadas: até 20 milhões de euros. Em caso de organizações, até 4% do volume anual de negócios. Das duas opções, é aplicado o valor mais alto. Por isso, não deixe de se informar cada vez mais sobre essa medida.

Gostou do nosso conteúdo? Então compartilhe nas suas redes sociais e leve conhecimento a outros interessados no assunto!

 

Sobre o autor

Telium

Deixar comentário.

Share This