O Regulamento Geral de Proteção de Dados, ou GDPR, reformulou a forma como as empresas processam e tratam os dados. Nosso guia GDPR que você precisa saber explica o que as mudanças significam para você
Em 25 de maio de 2018, terminaram os anos de preparação. Em toda a Europa, as reformas de proteção de dados planejadas há muito tempo começaram a ser aplicadas. O Regulamento Geral de Proteção de Dados (GDPR) mutuamente acordado já está em vigor há cerca de dois anos e modernizou as leis que protegem as informações pessoais dos indivíduos.
O GDPR substituiu as regras de proteção de dados anteriores em toda a Europa, que tinham quase duas décadas - algumas delas foram elaboradas pela primeira vez na década de 1990. Desde então, nosso estilo de vida repleto de dados emergiu, com pessoas compartilhando rotineiramente suas informações pessoais gratuitamente online.
A UE afirma que o GDPR foi projetado para "harmonizar" as leis de privacidade de dados em todos os seus países membros, além de oferecer maior proteção e direitos aos indivíduos. O GDPR também foi criado para alterar a forma como as empresas e outras organizações podem lidar com as informações daqueles que interagem com elas. Existe o potencial de multas pesadas e danos à reputação daqueles que violarem as regras.
O regulamento introduziu grandes mudanças, mas baseia-se em princípios anteriores de proteção de dados. Como resultado, isso levou muitas pessoas no mundo da proteção de dados, incluindo a comissária de informações do Reino Unido, Elizabeth Denham, a comparar o GDPR a uma evolução, em vez de uma revisão completa de direitos. Para as empresas que já cumpriam as regras anteriores ao GDPR, o regulamento deveria ter sido uma "mudança radical", disse Denham.
Apesar de estar ocorrendo um período de transição pré-GDPR, o que deu às empresas e organizações tempo para mudar suas políticas, ainda há muita confusão em torno das regras. Este é nosso guia sobre o que o GDPR realmente significa.
O que é o GDPR exatamente?
O GDPR pode ser considerado o conjunto mais forte de regras de proteção de dados do mundo, que aprimora a forma como as pessoas podem acessar informações sobre elas e impõe limites ao que as organizações podem fazer com os dados pessoais. O texto completo do GDPR é uma besta pesada, que contém 99 artigos individuais.
O regulamento existe como uma estrutura para leis em todo o continente e substituiu a diretiva anterior de proteção de dados de 1995 . A forma final do GDPR surgiu após mais de quatro anos de discussão e negociações - foi adotado pelo Parlamento Europeu e pelo Conselho Europeu em abril de 2016. O regulamento e a diretiva de base foram publicados no final desse mês.
O GDPR entrou em vigor em 25 de maio de 2018. Os países da Europa puderam fazer suas próprias pequenas alterações para atender às suas próprias necessidades. No Reino Unido, essa flexibilidade levou à criação da Lei de Proteção de Dados (2018) , que substituiu a Lei de Proteção de Dados de 1998 anterior.
A força do GDPR foi elogiado como uma abordagem progressiva de como os dados pessoais das pessoas devem ser tratados e as comparações foram feitas com a subsequente Lei de Privacidade do Consumidor da Califórnia .
A quem se aplica o GDPR?
No cerne do GDPR estão os dados pessoais. Em termos gerais, são informações que permitem que uma pessoa viva seja direta ou indiretamente identificada a partir dos dados disponíveis. Isso pode ser algo óbvio, como o nome de uma pessoa, dados de localização ou um nome de usuário online claro, ou pode ser algo que pode ser menos aparente instantaneamente: endereços IP e identificadores de cookies podem ser considerados dados pessoais.
No GDPR, há também algumas categorias especiais de dados pessoais confidenciais que recebem maior proteção. Esses dados pessoais incluem informações sobre origem racial ou ética, opiniões políticas, crenças religiosas, filiação a sindicatos, dados genéticos e biométricos, informações de saúde e dados sobre a vida ou orientação sexual de uma pessoa.
O mais importante sobre o que constituem dados pessoais é que permitem que uma pessoa seja identificada - dados pseudonimizados ainda podem ser abrangidos pela definição de dados pessoais. Os dados pessoais são tão importantes no GDPR porque indivíduos, organizações e empresas que são 'controladores' ou 'processadores' deles são cobertos pela lei.
“Os controladores são os principais tomadores de decisão - eles exercem controle geral sobre os propósitos e meios de processamento de dados pessoais”, diz o regulador de proteção de dados do Reino Unido, o Information Commissioner's Office (ICO). Também é possível que existam controladores conjuntos de dados pessoais, onde dois ou mais grupos determinam como os dados são tratados. "Os processadores agem em nome de, e apenas sob as instruções do controlador relevante", diz o ICO. Os controladores têm obrigações mais rígidas sob o GDPR do que os processadores.
Embora proveniente da UE, o GDPR também pode ser aplicado a empresas localizadas fora da região. Se uma empresa nos EUA, por exemplo, tiver negócios na UE, o GDPR pode se inscrever, e também se for uma controladora de cidadãos da UE.
Quais são os princípios-chave do GDPR?
No cerne do GDPR estão sete princípios-chave - eles estão definidos no Artigo 5 da legislação - que foram elaborados para orientar como os dados das pessoas podem ser tratados. Eles não agem como regras rígidas, mas sim como uma estrutura abrangente projetada para definir os objetivos gerais do GDPR. Os princípios são basicamente os mesmos que existiam sob as leis de proteção de dados anteriores.
Os sete princípios do GDPR são: legalidade, justiça e transparência; limitação de propósito; minimização de dados; precisão; limitação de armazenamento; integridade e confidencialidade (segurança); e responsabilidade. Na realidade, apenas um desses princípios - responsabilidade - é novo para as regras de proteção de dados. No Reino Unido, todos os outros princípios são semelhantes aos que existiam sob a Lei de Proteção de Dados de 1998.
O guia da OIC para o GDPR fornece uma descrição completa dos princípios, mas vamos destacar apenas alguns deles aqui.
Minimização de dados
O princípio de minimização de dados não é novo, mas continua a ser importante em uma época em que estamos criando mais informações do que nunca. As organizações não devem coletar mais informações pessoais do que o necessário de seus usuários. “Você deve identificar a quantidade mínima de dados pessoais de que precisa para cumprir seu propósito”, diz o ICO. "Você deve guardar tanta informação, mas não mais."
O princípio foi desenvolvido para garantir que as organizações não exagerem no tipo de dados que coletam sobre as pessoas. Por exemplo, é muito improvável que um varejista online precise coletar as opiniões políticas das pessoas quando elas se inscrevem na lista de mala direta do varejista para serem notificados quando as vendas estiverem ocorrendo.
Integridade e confidencialidade (segurança)
De acordo com as leis de proteção de dados de 1998, a segurança foi o sétimo princípio descrito. Ao longo de 20 anos de implementação, uma série de práticas recomendadas para proteção de informações surgiu, agora muitas delas foram incluídas no texto do GDPR.
Os dados pessoais devem ser protegidos contra "processamento não autorizado ou ilegal", bem como contra perda, destruição ou dano acidental. Em português claro, isso significa que proteções de segurança de informações apropriadas devem ser implementadas para garantir que as informações não sejam acessadas por hackers ou vazadas acidentalmente como parte de uma violação de dados.
O GDPR não diz como são as boas práticas de segurança, pois são diferentes para cada organização. Um banco terá que proteger as informações de uma maneira mais robusta do que o seu dentista local. No entanto, de maneira geral, controles de acesso adequados às informações devem ser implementados, os sites devem ser criptografados e a pseudonimização é incentivada.
“Suas medidas de segurança cibernética precisam ser adequadas ao tamanho e ao uso de sua rede e sistemas de informação”, afirma o ICO. Se ocorrer uma violação de dados, os reguladores de proteção de dados examinarão a configuração de segurança da informação de uma empresa ao determinar quaisquer multas que possam ser aplicadas. A Cathay Pacific Airways foi multada em £ 500.000 , de acordo com as leis anteriores ao GDPR, por expor 111.578 das informações pessoais de seus clientes no Reino Unido. Dizia-se que a companhia aérea apresentava "inadequações básicas de segurança" em sua configuração.
Responsabilidade
A responsabilidade é o único princípio novo no GDPR - foi adicionado para garantir que as empresas possam provar que estão trabalhando para cumprir os outros princípios que constituem o regulamento. Na sua forma mais simples, responsabilidade pode significar documentar como os dados pessoais são tratados e as medidas tomadas para garantir que apenas as pessoas que precisam acessar algumas informações sejam capazes de fazê-lo. A prestação de contas também pode incluir o treinamento da equipe em medidas de proteção de dados e a avaliação regular e processos de tratamento de dados.
A "destruição, perda, alteração, divulgação não autorizada de ou acesso a" dados de pessoas deve ser relatada ao regulador de proteção de dados de um país onde possa ter um impacto prejudicial sobre quem se trata. Isso pode incluir, mas não se limita a, perdas financeiras, violações de confidencialidade, danos à reputação e muito mais. No Reino Unido, a ICO deve ser informada sobre uma violação de dados 72 horas depois que uma organização toma conhecimento do fato. Uma organização também precisa informar às pessoas os impactos da violação.
Para empresas com mais de 250 funcionários, é necessário ter documentação sobre por que as informações das pessoas estão sendo coletadas e processadas, descrições das informações mantidas, por quanto tempo são mantidas e descrições das medidas técnicas de segurança em vigor. O Artigo 30 do GDPR estabelece que a maioria das organizações precisa manter registros de seu processamento de dados, como os dados são compartilhados e também armazenados.
Além disso, as organizações que têm "monitoramento regular e sistemático" de indivíduos em grande escala ou que processam muitos dados pessoais confidenciais precisam contratar um oficial de proteção de dados (DPO). Para muitas organizações cobertas pelo GDPR, isso pode significar a contratação de um novo membro da equipe - embora empresas maiores e autoridades públicas já possam ter pessoas para essa função. Nesse trabalho, a pessoa deve se reportar a membros seniores da equipe, monitorar a conformidade com o GDPR e ser um ponto de contato para funcionários e clientes.
O princípio da responsabilidade também pode ser crucial se uma organização estiver sendo investigada por violar potencialmente um dos princípios do GDPR. Ter um registro preciso de todos os sistemas em funcionamento, como as informações são processadas e as etapas executadas para mitigar os erros ajudará uma organização a provar aos reguladores que leva a sério suas obrigações GDPR.
Quais são meus direitos GDPR?
Embora o GDPR indiscutivelmente coloque seus maiores tributos sobre os controladores e processadores de dados, a legislação foi projetada para ajudar a proteger os direitos dos indivíduos. Como tal, existem oito direitos definidos pelo GDPR. Isso vai desde permitir que as pessoas tenham acesso mais fácil aos dados que as empresas mantêm sobre elas até que também sejam excluídos em alguns cenários.
Os direitos totais do RGPD para os indivíduos são: o direito a ser informado, o direito de acesso, o direito à retificação, o direito de apagar, o direito de restringir o processamento, o direito à portabilidade de dados, o direito de contestar e também os direitos sobre automatizado tomada de decisão e definição de perfis.
Assim como acontece com os princípios do GDPR, entraremos em detalhes apenas em alguns dos direitos aqui. Mais informações podem ser encontradas no site da OIC .
Acesso aos seus dados
Se você deseja descobrir o que uma empresa ou organização sabe sobre você, você precisa de uma Solicitação de Acesso de Assunto (SAR). Anteriormente, essas solicitações custavam £ 10, mas o GDPR reduz o custo e torna livre para solicitar suas informações. Você não pode solicitar as informações de outra pessoa, embora alguém, como um advogado, possa fazer uma solicitação em nome de outra pessoa.
Quando uma pessoa faz um SAR, ela tem o direito legal de receber uma confirmação de que uma organização está processando seus dados pessoais, uma cópia desses dados pessoais (a menos que haja isenções aplicáveis) e qualquer outra informação complementar que seja relevante para a solicitação. Uma solicitação deve ser respondida dentro de um mês.
As pessoas têm usado SARs com sucesso para descobrir que as empresas de tecnologia da informação têm a seu respeito. O Tinder enviou a uma pessoa 800 páginas de informações sobre o uso de seu aplicativo, incluindo detalhes de educação, a faixa etária das pessoas em que estavam interessados e o local de onde cada partida aconteceu. Outros usos revelaram níveis de gastos no FIFA e cada clique feito durante as compras no site da Amazon.
Os SARs podem ser feitos por escrito ou verbalmente - o que significa que uma organização deve determinar se o que foi solicitado é classificado como dados pessoais no GDPR. Um SAR não precisa dizer que é um SAR e pode ser feito para qualquer pessoa em uma organização - eles podem até ser enviados por meio das redes sociais, embora o e-mail seja o formato mais comum para a maioria das pessoas. Além das informações solicitadas, uma organização deve fornecer detalhes sobre por que processou as informações pessoais, como as informações estão sendo usadas e por quanto tempo devem ser mantidas.
Muitas grandes empresas de tecnologia têm seus próprios portais de dados, de onde é possível baixar algumas de suas informações. Por exemplo, o Facebook permite que seus usuários baixem todas as suas imagens antigas, posts e pokes, enquanto o Twitter e o Google também permitem que as informações associadas às contas sejam acessadas sem a necessidade de fazer um SAR. Em alguns casos, essas formas de acessar informações podem não conter tudo o que uma pessoa deseja. Se uma Solicitação de Acesso de Assunto for feita e não retornar os resultados que o fabricante desejava, ela pode ser apelada à OIC.
Processamento automatizado, eliminação e portabilidade de dados
O GDPR também reforça os direitos da pessoa em relação ao processamento automatizado de dados. A OIC diz que os indivíduos “têm o direito de não estar sujeitos a uma decisão” se for automática e produzir um efeito significativo sobre uma pessoa. Existem certas exceções, mas geralmente as pessoas devem receber uma explicação de uma decisão tomada sobre elas.
O regulamento também dá aos indivíduos o poder de fazer com que seus dados pessoais sejam apagados em algumas circunstâncias. Isso inclui quando não for mais necessário para o propósito em que foi coletado, se o consentimento for retirado, não houver interesse legítimo e se foi processado ilegalmente.
A portabilidade de dados tem sido um dos grandes chavões do GDPR - mas é o que tem menos ação. A teoria é que deveria ser possível compartilhar informações de um serviço para outro. Um dos melhores exemplos de compartilhamento de dados é a capacidade do Facebook de transferir automaticamente suas fotos para uma conta do Google Fotos. Isso foi criado pelo Data Transfer Project, que inclui Apple, Google, Facebook, Twitter e Microsoft.
Violações e multas do GDPR
Um dos maiores e mais comentados elementos do GDPR é a capacidade dos reguladores de atingir empresas que não cumprem multas pesadas. Se uma organização não processa os dados de um indivíduo da maneira correta, ela pode ser multada. Se exigir e não tiver um oficial de proteção de dados, pode ser multado. Se houver uma violação de segurança, ela pode ser multada.
No Reino Unido, essas penalidades monetárias são decididas pela OIC e qualquer dinheiro recuperado é redirecionado para o Tesouro. O GDPR diz que delitos menores podem resultar em multas de até € 10 milhões ou 2% do faturamento global de uma empresa (o que for maior). As maiores violações do GDPR podem ter consequências mais sérias: multas de até € 20 milhões ou quatro por cento do faturamento global de uma empresa (o que for maior). Sob o regime anterior de proteção de dados, a OIC só poderia emitir multas de até £ 500.000.
Antes da implementação do GDPR, havia muita especulação de que os reguladores de proteção de dados atingiriam as empresas que violassem a legislação com multas pesadas. Isso não aconteceu. As investigações de proteção de dados podem ser longas e complexas - se estiverem erradas, podem ser contestadas nos tribunais.
Uma das maiores multas sob o GDPR até agora foi contra o Google: o regulador francês de proteção de dados, a Comissão Nacional de Proteção de Dados (CNIL), multou a empresa em € 50 milhões (£ 43 milhões). A CNIL disse que a multa foi emitida por dois motivos principais: o Google não fornece informações suficientes aos usuários sobre como usa os dados que obtém de 20 serviços diferentes e também não obtém o consentimento adequado para processar os dados do usuário.
Também houve multas contra o aplicativo da La Liga que espionava as pessoas que o baixaram, o banco DSK da Bulgária por revelar acidentalmente detalhes de clientes e escolas que rastrearam alunos.
No entanto, as maiores multas podem vir do Reino Unido. A ICO emitiu um "aviso de intenção" à companhia aérea British Airways e à rede de hotéis Marriott por violação do GDPR. Foi discutido que a BA seria multada em £ 183 milhões, enquanto a empresa hoteleira seria multada em £ 99 milhões. No entanto, como ambos são avisos de intenções, não são multas oficiais e nada foi pago por nenhuma das empresas. Na verdade, ambas as empresas estão contestando os avisos da OIC.
Este artigo foi publicado originalmente em 2017, antes da implementação do GDPR, mas desde então foi atualizado para conter as informações mais recentes
Comments