GDPR, ou Regulamento Geral sobre Proteção de Dados, é uma legislação aplicável a todos os países da União Europeia, criada para assegurar a privacidade dos dados pessoais dos usuários.
Com a aprovação do GDPR, em 2018, a União Europeia deu mais um passo em direção aos direitos de seus cidadãos.
Em maio de 2019, os europeus se tornaram donos efetivos de seus próprios dados. Eles têm o direito de retomar a sua posse de empresas se assim desejarem.
E é importante ressaltar que o direito do europeu sobre seus dados se estende pelo mundo inteiro, e isso afeta diretamente o Brasil.
Esse é o assunto deste post. Vamos falar sobre o que é GDPR, como ela afeta as empresas de TI e como se adequar a essa nova lei.
Quer entender de uma vez o tema? Então não deixe de conferir esse post, onde será tratado:
- O que é GDPR
- Como o Brasil é impactado pelo GDPR?
- Obrigações Decretadas pelo GDPR
- 6 aspectos importantes a serem considerados no GDPR
- Penalidades Por Descumprir o GDPR
- 6 passos para ficar dentro da lei
Boa leitura!
O que é GDPR?
A definição de o que significa GDPR, um acrônimo para o termo em inglês “General Data Privacy Protection Regulation” é o “Regulamento Geral para Proteção de Dados“.
Também conhecido como GDPR compliance, é uma lei que atinge todos os cidadãos europeus, morando na Europa ou não. Foi aprovada em 2016, mas somente em 2018 entrou em vigor.
Ela trata da proteção e regulamentação de dados sob diferentes perspectivas. Também estabelece, claramente, os limiares entre os direitos e deveres dos cidadãos europeus e seus dados.
Por que o GDPR foi criado?
Desde 2012, a Comissão Europeia vem estudando e formatando planos em torno da proteção de dados, buscando adequar os países para a transformação digital , que vinha impactando todo o mundo.
Com escândalos envolvendo vazamento de informações, como o famoso caso da Cambridge Analytica, que utilizou dados coletados de usuários do Facebook para beneficiar diversos políticos em eleições de vários países, assuntos envolvendo a privacidade de dados vieram à tona.
Sem dúvida, a era digital em que estamos onde, todos os dias, as pessoas produzem um volume imenso de informações digitais. Isso abre uma brecha para que empresas utilizem esses dados para benefício próprio, estando os usuários cientes disso ou não.
E então, qual o principal objetivo da GDPR?
É regulamentar a coleta, tratamento e distribuição desses dados para proteger pessoas e empresas, permitindo que todas as partes aproveitem as vantagens da economia digital.
Como o regulamento GDPR afeta os usuários
Em resumo, o GDPR coloca nas mãos dos usuários o controle total sobre suas informações. Dessa forma, cabe a ele decidir o que, quando, para quem irá fornecer seus dados pessoais.
Dessa forma, uma série de direitos foram estabelecidos, de modo que o usuário tenha total conhecimento e transparência sobre os dados que as empresas estão coletando, e para qual fim.
Portanto, é importante que os usuários entendam seus direitos, leiam e concordem com os termos de privacidade apresentados no ato de qualquer contratação ou transação digital.
Como o GDPR afeta as empresas
Empresas da União Europeia, ou que mantêm relacionamento comercial com estes países, deverão se adequar à legislação.
Para isso, precisam adaptar sistemas e aplicações, a fim de garantir o cumprimento dos requisitos de segurança e privacidade. Além disso, precisam expor, de forma clara e sem duplos sentidos, quais dados estão armazenando e para qual a finalidade.
O usuário precisa concordar com esse tratamento. Dessa forma, as empresas não podem utilizar de métodos que visam confundir ou esconder informações, como o uso de letras pequenas ou termos longos e complexos.
O GDPR busca clarificar o conceito de controladores e processadores de dados. Qualquer empresa que apresenta atividades de controle ou processamento de informações de cidadãos europeus estão, agora, sujeitas a ela.
Empresas do setor de TI e profissionais da área, juntamente aos departamentos comercial, jurídico, marketing e financeiro, serão os mais envolvidos, pois possuem atividades ou sistemas relacionados ao cadastro, tratamento e consulta de dados de clientes e prospectos.
Como o Brasil é impactado pelo GDPR?
Ainda que o GDPR seja uma regulamentação para países da União Europeia, empresas de qualquer país que possuam relacionamento comercial com usuários europeus, devem se adequar às normas.
Isso é muito comum para instituições com serviços online, que desenvolvem aplicativos publicados em lojas internacionais, como a Google Play Store, por exemplo.
Além disso, o Brasil também aprovou a lei geral de proteção aos dados, muito similar à europeia. Assim, adequar-se ao GDPR facilitará a adequação à legislação brasileira, que entrou em vigor em 2020.
Se você é um profissional ou empresa de TI, responsável por desenvolver aplicações que possuam registro de informações do usuário, como uso de cookies ou formulários de contato, fique atento!
Caso suas aplicações sejam utilizadas por usuários europeus, é preciso adequar tudo conforme o GDPR, para evitar penalizações.
Obrigações Decretadas pelo GDPR
O GDPR garante obrigações e direitos para todos os envolvidos, com níveis de responsabilidade diferentes para cada papel desempenhado no tratamento de dados.
Com isso, traz diretrizes importantes para o entendimento da legislação, que podem impactar no comportamento das pessoas em relação ao uso de aplicações digitais, como redes sociais, por exemplo.
As principais diretrizes estão apresentadas abaixo, e envolvem:
Proteção para Crianças
O Regulamento Geral sobre Proteção de Dados tem um importante papel na proteção e privacidade de crianças e adolescentes na internet.
Isso porque o regulamento prevê que, assim como uma empresa, o indivíduo também deve obter o consentimento da criança ou adolescente para compartilhar conteúdo privado, como fotos em redes sociais.
Na prática, crianças não irão entender o significado disso tudo. Portanto, um dos pais ou responsável legal precisa se responsabilizar pela autorização. Por conta disso, há muita discussão sobre a presença do público infantil em redes como Instagram e Youtube.
No entanto, estão vetadas as coletas de dados que sirvam para segmentar públicos infantis, a fim de direcionar conteúdos ou publicidade especificamente para este público.
Direito ao Esquecimento
Um dos direitos previstos no GDPR é o direito ao esquecimento. Isso significa que o usuário pode solicitar a remoção dos seus dados pessoais dos arquivos da empresa, ainda que ele tenha dado autorização para o tratamento deles em algum momento.
O usuário também pode, a qualquer momento, solicitar que a empresa especifique novamente quais dados estão armazenando e porquê.
Permissão para uso de dados
Como o controle dos dados ficam nas mãos dos usuários, as empresas precisam ter sua permissão para captura, armazenamento e tratamentos desses dados.
Desde políticas de privacidade de cookies, até formulários em sites ou mesmo presença de e-mails ou telefone em mailings devem ser autorizados pelo usuário.
É importante lembrar que o texto para leitura do usuário deve ser simples e sucinto, para que ele não se sinta coagido a responder “aceito” sem leitura. O mesmo serve para o tamanho da fonte.
Esconder informações através de letras miúdas ou outros mecanismos são práticas que vão contra o GDPR, portanto são passíveis de multa.
Portabilidade
O usuário pode solicitar, a qualquer momento, a portabilidade dos seus dados.
Ou seja: em caso de troca de fornecedor de algum serviço, ele pode pedir para que a empresa anterior repasse suas informações para utilização da nova empresa, apagando os registros de sua base em seguida.
Isso é muito utilizado por bancos. Atualmente, os bancos estabelecem uma comunicação entre si de forma direta e sem conhecimento do usuário, repassando informações de crédito sem seu consentimento.
Com o GDPR, essa prática passa a ser proibida e cabe ao usuário autorizar a portabilidade e transferência das informações.
Invasão e vazamento de dados
Setores de TI têm um trabalho importante na aplicação do GDPR. É sua função garantir uma infraestrutura segura, para impedir invasões ou vazamento de dados.
Políticas de segurança e permissões em níveis, conforme necessidade e de acordo com a responsabilidade de cada público, são algumas das medidas que devem ser tomadas.
Além disso, metodologias para criptografia dos dados é fundamental para impedir que potenciais invasores possam identificar os usuários através dos dados. Para isso, devem ser implementados processos para manter os dados anônimos.
É fundamental, também, contar com servidores e sistemas protegidos, garantindo a integridade dos dados tratados.
Linguagem Clara
Todos os termos apresentados ao usuário devem conter linguagem clara e de fácil entendimento. Como já foi mencionado anteriormente, tentativas de burlar ou confundir o usuário podem ser consideradas infrações.
Todas as pessoas devem estar cientes de quais dados estão sendo armazenados pela empresa, e o que a empresa pretende fazer com essas informações.
Controlador de Dados
Os responsáveis que têm a posse dos dados são chamados de controladores e processadores.
O controlador é quem coleta e mantém a posse do conteúdo de terceiros. O operador é quem usa essas informações. Essa distinção é necessária, pois diferencia as responsabilidades do manuseio dos dados dos titulares.
Para compreender melhor sua natureza, é necessário implementar medidas organizacionais que garantam a segurança, já que o conteúdo deve ser guardado em uma infraestrutura que seja confiável, acessível, durável e íntegra.
Extraterritorial
O GDPR é uma regulamentação para usuários europeus, para extende-se para qualquer país que mantenha relação com esses usuários.
Assim, empresas que vendem, compram ou fazem parte de um grupo de empresas europeias, devem estar de acordo com as normas e exigências do GDPR.
6 aspectos importantes a serem considerados no GDPR
Agora que já sabe GDPR o que é, é preciso avaliar muito bem suas principais medidas para que não ocorram implicações legais. E isso pode afetar diretamente as empresas de TI.
A seguir listamos as características mais importantes:
1. Entendimento sobre a natureza dos dados
A coleta de dados só pode ser realizada com um propósito bem específico. Sites, aplicativos e plataformas de cadastros não devem coletar mais informação que o necessário.
O motivo é evitar que falhas de segurança e vazamentos exponham os cidadãos europeus de forma desnecessária.
2.Respeito ao cidadão, onde quer que ele esteja
Esse é o principal ponto onde as empresas de TI do Brasil são afetadas, conforme mencionamos anteriormente.
Produtos e serviços que tenham cadastro de pessoas físicas ou jurídicas na União Europeia estão sujeitos ao GDPR . Ou seja, cadastros, contratos e qualquer relação com esses cidadãos estão sob a aplicação da lei.
3. Redução da coleta
A retenção de informação deve ser restrita somente ao que é necessário. Nada de ficar coletando endereço, número de telefone, entre outras coisas, para usar serviços simples que requerem apenas campos como nome e e-mail.
Além disso, deverá haver o consentimento explícito do usuário e nada pode ser coletado secretamente.
4. Exclusão permanente de dados ao término do contrato de serviço
Os usuários europeus têm o direito de serem esquecidos totalmente pelas empresas que um dia já tiveram em posse de suas informações.
Isso porque eles podem solicitar a exclusão permanente de seus dados.
5. Notificação em caso de vazamento
Se houver falhas de segurança ou vazamento de dados, os clientes devem ser comunicados.
O GDPR estipula um prazo de até 72 horas depois do ocorrido. A diretriz é para alertar ao DPA (Data Protection Authority), sobre a falha.
6. Realização da gestão eficiente de dados
Toda empresa precisa ter em seu corpo de funcionários um DPO, ou Data Protection Officer.
Ele será o profissional responsável pela gestão e proteção de dados da empresa, e a exigência do GDPR é de que ele seja um membro da diretoria.
Penalidades Por Descumprir o GDPR
É importante estar atento à lei, pois as multas pelo descumprimento de normas do GDPR podem ser altas. Os valores podem chegar até 20 milhões de euros, ou 4% do faturamento da empresa, o que for maior.
Além da multa monetária, a Autoridade Regulatória, que acompanha as não conformidades, tem autonomia para proibir por completo as atividades relacionadas ao tratamento de dados das empresas que não cumprirem o GDPR.
Conclusão
O GDPR, ou Regulamento Geral sobre Proteção de Dados, é uma legislação aplicável aos países da União Europeia e todos os europeus, ainda que morem no exterior.
Empresas que possuem relações comerciais com europeus devem, obrigatoriamente, se sujeitar às normas previstas no GDPR.
Dessa forma, as organizações devem atualizar suas políticas de segurança, mantendo uma infraestrutura capaz de tratar os dados com a privacidade e integridade que se exige.
Os usuários, por sua vez, devem autorizar, de forma espontânea, consciente e clara, a captura, tratamento e distribuição de suas informações pessoais, desde que a finalidade esteja explícita. Ou seja: a empresa só pode utilizar os dados coletados para o fim autorizado pelo usuário.
Quer conhecer outras dicas sobre gestão e governança de TI, para amadurecer o seu setor e aumentar a qualidade de seus atendimentos?
Confira os artigos que recomendamos para você:
- Veja como fazer a união da gestão de TI e governança corporativa
- Saiba quais são e entenda os pilares da gestão de TI
- Segurança da Informação: Guia sobre gestão de risco em TI
- Como a Customer Centric pode otimizar o atendimento ao cliente?
- O que você precisa saber sobre a Lei Geral de Proteção de Dados (LGPD)?
Conhece alguém que pode se beneficiar com este conteúdo? Então, compartilhe o nosso artigo em suas redes sociais!
Se você deseja melhorar o gerenciamento de TI da sua empresa, conheça a plataforma Milvus. Teste grátis por 7 dias ou solicite uma demonstração.
Como aumentar a Produtividade da sua empresa de TI.
