A União Europeia deu, em 2018 com a aprovação da GDPR, mais um passo em direção aos direitos de seus cidadãos. Em maio deste ano, os europeus se tornaram donos, efetivos, de seus próprios dados. Eles têm o direito de retomar a sua posse de empresas se assim desejaram. E é importante ressaltar que o direito do europeu sobre seus dados se estende pelo mundo inteiro, e isso afeta diretamente o Brasil.
E será esse o assunto deste post. Vamos falar sobre o que é GDPR, como ela afeta as empresas de TI e como se adequar a essa nova lei. Quer entender de uma vez o tema? Então não deixe de conferir nosso post e boa leitura.
Entendendo o que é GDPR
GDPR é o acrônimo para General Data Privacy Protection Regulation. Ã? uma lei que atinge todos os cidadãos europeus, morando na Europa ou não. Foi aprovada em 2016, mas somente agora em 2018 que entrou em vigor de fato. Ela trata da proteção e regulamentação de dados sob diferentes perspectivas. Ainda, estabelece claramente os limiares entre os direitos e deveres dos cidadãos europeus e seus dados.
6 aspectos importantes a serem considerados na GDPR
As principais medidas da GDPR precisam ser muito bem avaliadas para que não ocorra implicações legais. E isso pode afetar diretamente as empresas de TI. A seguir listamos as características mais importantes:
1. Entendimento sobre a natureza dos dados
A coleta de dados só pode ser realizada com um propósito bem específico. Sites, aplicativos e plataformas de cadastros não devem coletar mais informação que o necessário. O motivo é evitar que falhas de segurança e vazamentos exponham os cidadãos europeus de forma desnecessária.
Os responsáveis que têm a posse dos dados são chamados de controladores e processadores. O controlador é quem coleta e mantém a posse do conteúdo de terceiros. O operador é quem usa essas informações. Essa distinção é necessária, pois, diferencia as responsabilidades do manuseio dos dados dos titulares.
Para compreender melhor a sua natureza, é necessário implementar medidas organizacionais que garantam a segurança, pois o conteúdo deve ser guardado em uma infraestrutura que seja confiável, acessível, durável e íntegra.
2. Respeito ao cidadão, onde quer que ele esteja
Esse é o principal ponto onde as empresas de TI do Brasil são afetadas. Produtos e serviços que tenham cadastro de pessoas físicas ou jurídicas na União Europeia estão sujeitos a GDPR. Ou seja, cadastros, contratos e qualquer relação com esses cidadãos estão sob a aplicação da lei.
3. Redução da coleta
A retenção de informação deve ser restrita somente ao que é necessário. Nada de ficar coletando endereço, número de telefone, entre outras coisas para usar serviços simples que requerem apenas campos como nome e e-mail.
Além disso, deverá haver o consentimento explícito do usuário e nada pode ser coletado secretamente.
4. Exclusão permanente de dados ao terminar o contrato de serviço
Os usuários europeus têm o direito de serem esquecidos totalmente pelas empresas que um dia já tiveram posse de suas informações. Se desejarem, eles podem solicitar a exclusão permanente de seus dados.
5. Notificação em caso de vazamento
Se houver falhas de segurança ou vazamento de dados, os clientes devem ser comunicados. A GDPR estipula um prazo de até 72 horas depois do ocorrido. A diretriz é para alertar ao DPA, Data Protection Authority, sobre a falha.
6. Realização da gestão eficiente de dados
Toda empresa precisa ter em seu corpo de funcionários um DPO, ou Data Protection Officer. Ele é um profissional responsável pela gestão e proteção de dados da empresa, e a exigência da GDPR é de que ele seja um membro da diretoria.
Como a GDPR afeta as empresas de TI
Essa lei clarifica bem o conceito de controladores e processadores de dados. Qualquer empresa de TI que controle ou processe informações de cidadãos europeus está sujeitas a ela.
Por isso, corporações de TI, que oferecem produtos e serviços para a União Europeia, devem cumprir com as obrigações impostas pela GDPR. Isso é muito comum para as instituições com serviços onlines que desenvolvem aplicativos publicados em lojas internacionais, como a Google Play Store, por exemplo.
6 passos para ficar dentro da lei
Se a sua empresa presta qualquer tipo de serviço que pode estar sujeito à s implicações da GDPR, então é preciso adotar algumas medidas para se enquadrar na nova legislação. A primeira mudança deve ser nas políticas internas de responsabilização, que garantam a integridade e segurança dos dados dos usuários. Para isso é só seguir alguns passos importantes.
1. Realizar identificação de dados
Tanto informações de clientes quanto de funcionários precisam ser devidamente coletadas. Elas devem ser armazenadas em locais seguros e de fácil acesso em caso da solicitação de remoção.
2. Automatizar a política de dados
Quaisquer operações que envolvam acesso aos dados deve ser automatizada. O sistema precisa ter validação e controle de acesso, recursos de criptografia, políticas de privacidade e rede de retenção de informações. A automatização combate as possíveis brechas na prestação de serviços.
3. Possuir um processo bem definido para remoção de dados pessoais
Caso o cliente ou funcionário solicite a retirada completa de seus dados, eles devem ser removidos rapidamente e sem nenhum problema. Isso envolve excluir informações de banco de dados, redes sociais, sites corporativos, backups e outros locais de armazenamento.
4. Enxugar a quantidade de dados requisitados aos usuários
Apenas o conteúdo estritamente necessário deve ser solicitado aos usuários. Para que isso ocorra, a empresa precisa ter um modelo de negócios que seja consistente com a coleta. Além disso, ela deve se preocupar com o excesso e duplicata de informações que são desnecessárias.
5. Realizar auditorias constantes
As auditorias devem ser realizadas por uma governança de TI que ficará com a responsabilidade de garantir que os dados estão em conformidade com o modelo de negócios da empresa.
6. Ter planos de emergências em caso de vazamentos
As empresas precisam ter planos de desastre para caso de vazamentos de conteúdos sensíveis. Ele deve ser um processo que envolve o DPO e a DPA.
Ã? importante estar atento à lei, pois as multas podem ser altas. Os valores podem chegar até 20 milhões de euros. Além disso, o Brasil também aprovou a lei geral de proteção aos dados que é bem similar à europeia. Adequar-se a GDPR será um grande passo para estar dentro da legislação brasileira, em vigor em 2020.
Curtiu nosso conteúdo sobre GDPR? Então não deixe de conferir nosso post sobre como otimizar a sua gestão de TI. Até a próxima!
Como aumentar a Produtividade da sua empresa de TI.
