Em 2016 a União Europeia publicou o GDPR – General Data Protection Regulation – Regulamento Geral de Proteção de Dados – com o objetivo de regulamentar a proteção de dados pessoais de cidadãos da comunidade, em substituição à Diretiva Europeia de Proteção de Dados Pessoais.
Sua aplicabilidade, no entanto, ultrapassa as fronteiras da União Europeia, abrangendo entidades que processam dados pessoais, mesmo que este tratamento seja realizado fora de sua limitação geográfica. Previsto para entrar em vigor daqui alguns dias, em 25 de maio, o regulamento está mexendo com as regras de muitas empresas, isso porque o não cumprimento das novas diretrizes poderá acarretar em multas significativas.
No entanto, esse tipo de exigência não é novidade. Cerca de 120 países já têm leis de proteção de dados semelhantes às adotadas agora pela Comunidade Europeia.
De acordo com a UE, o GDPR “serve para harmonizar as leis de dados privados por toda a Europa, para proteger e empoderar a privacidade de todos os cidadãos, além de reorganizar a maneira como companhias lidam com dados privados”.
A GDPR possui os seguintes pilares: transparência, gestão e governança para garantir a proteção das informações e os direitos dos usuários.
Como exemplo, vale destacar algumas exigências do regulamento:
- O conceito de Dado Pessoal abrange também dados genéticos e biométricos. Dado pessoal é qualquer dado que, isolado ou associado com outros dados, possa identificar uma pessoa.
- Cada organização deverá nomear um representante para responder pela gestão dos dados pessoais da empresa.
- As empresas deverão respeitar a vontade dos cidadãos que não quiserem fornecer seus dados para campanhas de marketing, etc.
- As empresas são obrigadas a excluir os dados de um cliente quando solicitado.
- As empresas que não possuírem o consentimento suficiente de consumidores ao processo de dados ou pela violação dos conceitos principais da “Privacy by Design” estarão sujeitas a aplicação de multa.
- O armazenamento de dados pessoais de crianças menores de 13 anos deve ter o consentimento dos responsáveis.
- As empresas que não tiverem registros de dados em ordem estarão sujeitas a aplicação de multa.
- O GDPR proíbe a transferência de dados de europeus para países sem uma legislação adequada de proteção de informações.
- O GDPR exige garantias de que os bancos de dados pessoais das empresas não sejam vulneráveis a vazamentos.
- Com relação ao vazamento de dados, as empresas deverão notificar o ocorrido à DPA (Comissão de Proteção de Dados) em até 72 horas e aos clientes afetados, caso contrário também estarão sujeitas à aplicação de multa.
Referente a este último item, aqui no Brasil, em 2017, tivemos vários casos de vazamento de dados de clientes em grandes empresas, como a Netshoes, Buscapé e Movida. Para você saber se seu nome está em algum vazamento de dados acesse o site https://haveibeenpwned.com/.
Aqui no Brasil, somos afetados pela GDPR?
O regulamento é aplicável a todas as empresas que coletam, armazenam ou processam dados de cidadãos da União Europeia, independentemente do volume, ou seja, todas as empresas brasileiras, públicas ou privadas, de grande ou pequeno porte, com negócios junto a clientes e/ou parceiros na UE, terão que cumprir o novo regulamento.
Tecnicamente falando, mesmo que sua empresa utilize as plataformas Amazon Web Services ou o Google Cloud, a responsabilidade de estar de acordo com a nova regulamentação é de sua empresa.
No Brasil temos legislação aplicável a proteção dos dados, porém ela está pulverizada. Encontramos normas na Constituição Federal, no Código de Defesa do Consumidor, na Lei do Cadastro Positivo, na Lei do Sigilo Bancário, no Marco Civil da Internet, dentre outros. Vale lembrar que em 2014 a Secretaria Nacional de Defesa do Consumidor (Senacon, órgão do Ministério da Justiça), aplicou a maior multa já determinada (R$ 3,5 milhões) num caso de violação de direitos à privacidade e à proteção de dados pessoais no país.
Em paralelo temos o Projeto de Lei 5.276/2016 que, baseado no GDPR, visa regulamentar de forma mais abrangente o tratamento e a proteção de dados pessoais no país.
Desafios das empresas
Para estarem compliance com o GDPR as empresas deverão investir em cibersegurança. No entanto, antes de saírem adquirindo um software devem revisar todos os procedimentos relacionados ao processamento de dados, mapear o que a organização tem de informações de clientes, definir o tratamento para cada informação (seja interna ou externa), armazenamento e definir seus controles. Dessa forma, a empresa poderá avaliar onde deverá aplicar o GDPR e, então, verificar no mercado o software mais adequado às suas necessidades.
O mais importante no momento é que as empresas mudem seu “mindset” com relação aos dados dos seus clientes, dando maior importância a coleta, ao tratamento e ao armazenamento de dados pessoais.
Ficar compliance com o GDPR vai além de se proteger de multas e penalidades, é preservar a confiança de seus clientes, a reputação de sua marca e o respeito de seus colaboradores, parceiros e fornecedores.
Márcia Garcia, gerente de projetos da Arcon.
