O que é GDPR e por que é importante?

GDPR é um conjunto de leis de proteção e privacidade de dados pessoais para usuários e empresas na União Europeia.

O regulamento geral de proteção de dados (GDPR) é um conjunto de leis de proteção e privacidade de dados pessoais para usuários e empresas na União Europeia. Este artigo explica o GDPR em detalhes, seus princípios e por que o GDPR é tão importante para usuários e empresas.

O que é GDPR

O regulamento geral de proteção de dados (GDPR) refere-se a um conjunto de leis de proteção e privacidade de dados pessoais para usuários e empresas na União Europeia. Essas leis são consideradas as mais rígidas do mundo no que diz respeito à privacidade, coleta e proteção de dados.

O mundo de hoje funciona com personalização. Permeou a vida cotidiana, desde as compras de supermercado até a leitura das notícias. As empresas usam todas as informações que podem encontrar sobre seus usuários para fornecer soluções intuitivas e integradas. Para fornecer produtos, serviços e informações relevantes aos usuários, os dados são armazenados e processados ​​em vários níveis. Na era atual, a frase ‘dados são o novo petróleo’ ecoa em todas as verticais da indústria.

O que os consumidores viam como uma vantagem, no entanto, gradualmente se transformou em ansiedade. O número de aplicativos que registram as informações de identificação pessoal (PII) de um usuário explodiu. Conforme o estudo global de 2021 da IBM Security, os dados PII estão incluídos em até 44% das violações de dados. Mais uma pesquisa de privacidade do consumidor Abre uma nova janela pela CISCO em 2021 revelou que muitos usuários pararam de usar um aplicativo ou serviço devido a problemas de dados pessoais.

A tecnologia também não está mais limitada geograficamente. Até mesmo o aplicativo de mercearia local pode ser hospedado em um servidor de nuvem em um continente diferente, tornando as leis em torno do armazenamento e processamento de dados muito nebulosas. A base de usuários de aplicativos como mídia social está espalhada por todo o mundo. Cerca de 76% dos usuários acreditam que as empresas precisam fazer mais para proteger seus dados, diz o relatório Global consumer state of mind 2021.

Considerando tudo isso, a União Européia decidiu atualizar seu conjunto existente de leis de proteção de dados criadas em 1998. O regulamento geral de proteção de dados (GDPR) foi resultado dessa revisão. Em abril de 2016, o GDPR foi aprovado pelo parlamento europeu. Um documento de 160 páginas com 99 artigos de lei foi divulgado. A partir de maio de 2018, é obrigatório que todas as organizações relevantes estejam conforme essas leis.

O GDPR garante que todos os dados pessoais sejam coletados em um processo seguro e legal, com o devido consentimento dos usuários. Ele coloca mais poder no lado do usuário e responsabilidade extra no lado do negócio.

A quem se aplica o GDPR?

O GDPR se aplica a todas as pessoas que residem nos estados-membros da União Europeia. Isso significa que todas as empresas que operam na UE devem estar conforme o GDPR. Qualquer empresa que não opere principalmente na UE, mas que ainda tenha parte de sua base de usuários na UE, também precisa cumprir esse conjunto de leis. Por exemplo, se uma empresa fornece serviços para pessoas na Alemanha, mas tem escritórios no Vale do Silício, ela também precisa estar conforme o GDPR.

Visão geral do GDPR

Aqui estão os principais conceitos e principais atores que se enquadram no GDPR:

  • No centro do GDPR estão os dados pessoais. Dados pessoais, neste contexto, são quaisquer informações que possam ser usadas para identificar direta ou indiretamente um ser humano. Os dados pessoais geralmente incluem nome, gênero, endereço de e-mail, informações de localização, endereços IP, informações de cookies da web e dados biométricos.
  • Quando se diz que dados pessoais são processados, isso inclui coleta de dados, armazenamento de dados, compartilhamento de dados, organização, análise, estruturação e exclusão.
  • O titular dos dados é a pessoa cujos dados estão a ser tratados. Eles são os ‘usuários’, consumidores ou visitantes de um produto, ou site. Um titular de dados deve dar consentimento antes que qualquer um de seus dados seja coletado ou processado. Eles também têm o direito de revogar este consentimento a qualquer momento.
  • O controlador de dados é uma pessoa, organização ou autoridade que determina as especificidades do processamento de dados. Isso inclui quais dados devem ser coletados, quem são os titulares dos dados e como eles serão usados. O controlador também decide como isso pode ser alcançado. Isso geralmente é um negócio; por exemplo, uma cadeia de varejo que deseja fornecer anúncios direcionados aos compradores. O controlador de dados trabalha sozinho ou com outros controladores.
  • O processador de dados é o terceiro que faz o processamento real com base na entrada fornecida pelo controlador. Soluções SaaS baseadas em nuvem, como software de CRM, produtos de colaboração de trabalho ou mecanismos de recomendação, são alguns exemplos de processadores de dados.

Tanto os controladores quanto os processadores estão sujeitos a multas se não cumprirem os padrões do GDPR. No entanto, a maioria do peso é suportada pelo controlador em caso de qualquer problema.

Os regulamentos da GDP proíbem a coleta de informações sobre etnia, religião, opiniões políticas, filiação sindical e sexualidade em circunstâncias normais. Algumas exceções a esta regra são organizações sem fins lucrativos e autoridades públicas que coletam informações para arquivamento ou registro.

Multas GDPR

O incumprimento dos regulamentos gerais de proteção de dados pode resultar em multa, que se enquadra em dois níveis:

1. Multa de Nível 1 do GDPR: Este nível de multas é para violações menos graves. A penalidade pode ser de até € 10 milhões ou 2% da receita anual global da empresa infratora do ano anterior, o que for maior.

Essas violações normalmente envolvem os controladores e processadores. Detalhes dessas violações podem ser encontrados nos Artigos 8, 11 e 25 a 39. Ele também lida com supervisão de órgãos credenciados assinados para avaliações imparciais do GDPR. As multas de nível 1 também se aplicam aos órgãos de monitoramento. Esses órgãos são unidades independentes que lidam com reclamações e infrações transparentemente.

2. Multa de Nível 2 do GDPR: Este nível de multa é para infrações mais graves que envolvem o direito de privacidade e consentimento de uma pessoa. A multa pode chegar a € 20 milhões ou 4% da receita anual global da empresa infratora do ano anterior, o que for maior.

As violações de nível 2 analisam problemas de processamento de dados, garantindo que os dados coletados sejam lícitos, precisos, seguros e atualizados. Trata das várias leis que cercam o consentimento do titular dos dados e o direito à transparência. A maioria das violações de nível 2, no entanto, envolve a transferência de dados pessoais para um terceiro cidadão não pertencente à UE. Isso só pode ser feito com base na decisão da Comissão Europeia e com controles de segurança adequados.

A multa mais alta do GDPR até agora foi direcionada à Meta Platforms, proprietária de plataformas de mídia social como Facebook e Instagram. Em setembro de 2022, o Comitê de Proteção de Dados (DPC) aplicou multa de € 405 milhões à empresa. Meta foi encontrada violando os termos de processamento de dados de usuários infantis no Instagram.

Dois meses depois, o controlador de dados da Meta na Irlanda, Meta Platforms Ireland Limited, foi multado em € 265 milhões devido a um vazamento de dados que constatou os dados pessoais de meio bilhão de usuários na Internet.

Em 2021, a Amazon foi multada em € 746 milhões por rastrear dados de usuários sem obter seu consentimento. A empresa também não forneceu aos usuários a opção de cancelar o processamento de dados. A Amazon apelou dessa multa e a audiência será realizada em um tribunal de Luxemburgo em 2024.

A gravidade da multa depende da natureza da violação, da sensibilidade dos dados envolvidos, da intenção por trás da violação (foi intencional ou apenas negligência?), quais medidas preventivas foram adotadas, como a empresa tentou mitigá-la, cooperação com as autoridades e o histórico de violações da empresa.

Requisitos de Conformidade com o GDPR

Como é evidente, o não cumprimento do GDPR pode causar perdas financeiras e de reputação significativas. O regulamento geral de proteção de dados tem 99 artigos, divididos em 11 capítulos.

Capítulos do GDPR

Tendo em mente a vastidão do documento GDPR, aqui está um esboço para o mesmo.

  • O Capítulo 1 abriga os artigos 1 a 4. Ele estabelece as disposições gerais e explica os conceitos básicos e os principais atores, explicados aqui na seção anterior.
  • O Capítulo 2 compreende os artigos 5 a 11. Os princípios básicos de privacidade e proteção de dados são descritos neste capítulo. Eles formam a base da conformidade com o GDPR. As organizações se beneficiariam se todas as partes interessadas lessem este capítulo específico.
  • O Capítulo 3 explica os artigos 12 a 23. Ele detalha os oito direitos básicos do titular dos dados. Este capítulo é uma leitura essencial para usuários finais, consumidores e equipes jurídicas de organizações.
  • O Capítulo 4 contém os artigos 24 a 43. Todos os detalhes sobre controladores e processadores são abordados nesta seção. As empresas precisam conhecer esses detalhes antes de desenvolver um plano de conformidade com o GDPR.
  • O Capítulo 5 constatá os artigos 44 a 50. O comitê de proteção de dados reconhece que os dados podem precisar ser transferidos para países fora da UE devido a mudanças nos negócios ou na infraestrutura. Esses artigos detalham o que deve ser feito para garantir uma transferência segura e legal.
  • O Capítulo 6 contém os artigos 51 a 59. Uma autoridade supervisora ​​é uma autoridade pública independente nomeada pelo governo de um estado-membro da UE. Eles monitoram a conformidade e a aplicação do GDPR nas empresas do estado. Esses artigos especificam suas qualificações, funções, tarefas e poder.
  • O Capítulo 7 contém os artigos 60 a 76. O capítulo 7 trata dos níveis de cooperação esperados de uma organização, especialmente diante de uma violação. Ele fala sobre como trabalhar com autoridades de supervisão e processos em vigor para garantir cooperação e consistência, como documentação e testes.
  • O Capítulo 8 explica os artigos 77 a 84. Esses artigos falam sobre os direitos legais dos titulares de dados contra uma autoridade supervisora, controlador ou processador. Termos de multas e penalidades são descritos aqui.
  • O Capítulo 9 contém os artigos 85 a 91. Ele fornece diretrizes para o processamento de formas específicas de dados, incluindo opiniões. Ele fala sobre o processamento de dados do ponto de vista de um empregador, um pesquisador científico ou histórico e um arquivista público.
  • O Capítulo 10 explica os artigos 92 e 93. Esses artigos explicam o direito da Comissão Europeia de estabelecer um comitê para auxiliar na implementação do GDPR nos estados-membros.
  • O Capítulo 11 tem artigos de 94 a 99. Essas disposições finais falam sobre quando a aplicação do GDPR começa. A comissão se compromete a fazer uma avaliação a cada quatro anos a partir de maio de 2020. A ideia é manter as leis atualizadas com as mudanças do cenário tecnológico.

Princípios que regem o GDPR

Os sete principais princípios que regem o GDPR, conforme especificado no artigo 5, são:

  1. Legalidade e transparência: Todo o processamento de dados deve ser feito legalmente com o consentimento do usuário. O titular dos dados deve saber exatamente quais informações estão sendo coletadas, como estão sendo armazenadas, por quanto tempo esses dados permanecerão no sistema do controlador e com quem serão compartilhados.
  2. Limitação da finalidade: Uma vez estabelecida a finalidade inicial da recolha de dados, o titular dos dados deve ser intimado da mesma. O controlador não pode coletar ou processar dados que estejam fora deste domínio ou finalidade.
  3. Minimização de dados: Dados Somente adequados e necessários devem ser coletados, mesmo que se enquadrem no objetivo geral da coleta de dados. Por exemplo, as preferências religiosas não podem ser coletadas e processadas em um aplicativo de varejo, mesmo que isso ajude na recomendação de itens específicos para feriados.
  4. Precisão: Todos os dados processados ​​devem ser precisos e atualizados. Deve haver processos para garantir isso e que os dados imprecisos sejam corrigidos ou excluídos imediatamente.
  5. Limitação de armazenamento: Os dados pessoais não podem ser armazenados por mais tempo do que o necessário. Uma vez alcançado o objetivo da coleta de dados, os dados devem ser excluídos e arquivados para uso posterior.
  6. Integridade e confidencialidade: Ao coletar e processar dados pessoais, todas as salvaguardas técnicas e organizacionais devem estar em vigor. Controles de segurança apropriados, medidas de privacidade e mudanças de política devem ser feitas. Esses dados também devem ser protegidos contra perda acidental, destruição e ataques cibernéticos.
  7. Responsabilidade: Embora o restante desses princípios existisse nas leis de proteção de dados de 1995, a mais recente adição ao GDPR é a responsabilidade. Considerando o número de agências envolvidas no processamento dos dados de um único usuário em vários oceanos, o GDPR insiste na responsabilidade. De acordo com este regulamento, o controlador é o grande responsável pela conformidade.

Direitos de um titular de dados

Os sete princípios listados acima são principalmente para organizações conforme as leis GDPR. Também é prudente examinar os direitos especificados do titular dos dados:

  • Direito à informação: Os titulares têm o direito de saber onde estão seus dados em todos os momentos. Todos os detalhes do controlador, incluindo detalhes de contato, devem ser estabelecidos. Quando o sujeito registra uma reclamação ao controlador, ele deve ser transparente na resposta.
  • Direito de acesso: O usuário tem o direito de acessar todas as informações armazenadas por uma determinada organização em qualquer intervalo. Isso pode ser feito enviando uma solicitação de acesso ao titular dos dados (DSAR).
  • Direito de retificação: O DSAR também pode ser utilizado para solicitar a correção de informações incorretas.
  • Direito a ser esquecido: A qualquer momento, o titular dos dados tem o direito de desistir da recolha de dados. O GDPR modificou a abordagem tradicional de exclusão e determinou um processo de inclusão. Isso significa que os dados do usuário não são coletados por padrão com um botão de cancelamento de assinatura como antes. Os usuários devem primeiro receber um contexto e solicitar uma aceitação antes que qualquer coleta de dados ocorra, conforme o GDPR.
  • Direito à restrição: os titulares podem solicitar aos controladores que interrompam o processamento de dados se encontrarem imprecisões ou armazenamento desnecessário de dados. Neste caso, os dados são armazenados, mas o processamento não pode ocorrer sem o consentimento do titular dos dados.
  • Direito à portabilidade de dados: os usuários têm o direito de mover dados pessoais de um controlador para outro. Um exemplo disso é a capacidade dos usuários de enviar suas fotos do Facebook para uma pasta do Google Drive.
  • Direito de oposição: Os usuários têm o direito de se opor ao processamento de dados, mesmo após terem optado. Isso é particularmente verdadeiro no caso de controladores especializados em dados de marketing.
  • Direito de rejeitar decisões com base no processamento automatizado: Com a quantidade de dados sendo inseridos nos sistemas hoje em dia, é inevitável que os dados pessoais sejam processados ​​por software automatizado usando aprendizado de máquina. Os titulares dos dados podem rejeitar quaisquer consequências ou perfis dessas decisões automatizadas.

Notificações de violação do GDPR

As notificações de violação são outro aspecto importante do GDPR que as organizações devem conhecer. As notificações de violação são comunicações que devem ser enviadas diretamente ao titular dos dados em caso de adulteração de dados pessoais. Isso pode ser devido a erro humano, calamidades naturais ou atividade criminosa.

As notificações de violação não podem ser entregues em um aviso público de RP ou como uma transmissão em um canal de mídia social como o Twitter. Todas as violações devem ser relatadas dentro de 72 horas após a descoberta. A notificação deve incluir as informações envolvidas, como foi comprometido e quantos usuários foram afetados. Também deve detalhar as consequências da violação, como usurpo monetário e de identidade.

Importância do GDPR

A questão do GDPR pode parecer pesado e seco; no entanto, a conformidade geral com o GDPR traz resultados positivos.

O GDPR promove a privacidade desde o design. Programadores, funcionários de DevOps, proprietários de negócios e equipes de segurança começaram a projetar com os dados em mente. Mesmo explorando contratos de terceiros, as organizações começaram a garantir que esses fornecedores saibam o que podem ou não fazer com seus dados. As violações de dados têm aumentado constantemente, especialmente desde o início da pandemia. Este é o primeiro passo para evitar tais ataques.

Segundo a pesquisa de privacidade do consumidor de 2021 da CISCO, 60% dos usuários entrevistados consideraram leis como o GDPR favoráveis. Qualquer organização compatível com GDPR é vista como transparente para o usuário, promovendo assim a confiança do usuário e a fidelidade à marca. Nos últimos quatro anos de conformidade com o GDPR, as empresas relataram mais retenção de usuários.

O GDPR permite que as empresas estabeleçam uma abordagem simplificada para privacidade e segurança de dados. Uma das etapas iniciais para a conformidade com o GDPR é fazer um balanço de todos os ativos e manter um registro de todos os componentes essenciais da infraestrutura. Isso facilita a automação de negócios e de segurança.

Uma olhada no relatório de custo de violação de dados de 2022 da IBM mostra que ataques cibernéticos, como ransomware, tornaram-se mais destrutivos e caros ao longo do tempo. A maioria das violações de dados está na nuvem e a maioria das organizações mudou sua infraestrutura para a nuvem. A conformidade com o GDPR evita esses ataques, economizando muito dinheiro para a organização a longo prazo.

Os planos de resposta a incidentes e recuperação de desastres tornam-se cruciais para garantir que os padrões GDPR sejam atendidos. Isso permite que as empresas sejam proativas e reajam com mais eficiência a incidentes que ameacem a continuidade dos negócios. Mais importante ainda, o GDPR abriu conversas internacionalmente sobre leis de privacidade e proteção de dados. Ele permitiu que nações em todo o mundo, abordassem a questão complexa e dinâmica de dados e sua privacidade.

Conclusão

A conformidade com o GDPR é uma tarefa enorme, mas necessária, para organizações que desejam se expandir globalmente. O processo está em andamento, com orçamentos, sistemas e políticas a serem considerados. O treinamento da equipe e as auditorias internas devem fazer parte do processo de conformidade com o GDPR. Com países de todos os continentes apresentando leis de privacidade delineadas de maneira semelhante, a conformidade com o GDPR é o único caminho a seguir.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

doze − 3 =

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.