Que nós vivemos na Era da Informação, todos já sabemos. Contudo, com um volume de dados tão grande circulando entre as empresas, o que fazer para assegurar a privacidade do usuário e a neutralidade da rede? A GDPR (General Data Protection Regulation ou Regulamentação Geral de Proteção de Dados) é um dos passos mais importantes nesse sentido. Instituída pela Comissão Europeia, a regulamentação transforma a maneira como as empresas usam, controlam e revendem as informações privadas dos usuários. Se você quer entender o que é GDPR, como se adequar às novas regras e como elas podem afetar as práticas de governança de TI de sua empresa, acompanhe o que nós preparamos a seguir!

O que é GDPR (Regulamentação Geral de Proteção de Dados) e qual é o seu objetivo?

A GDPR é uma regulamentação promulgada em abril de 2016. Seus objetivos são tornar o processamento de dados mais simples para as empresas e proteger as informações dos cidadãos. A transição, contudo, não é tão simples quanto parece, pois as novas exigências ainda não estavam no cotidiano das companhias. Os novos requisitos legais mudam a maneira como as organizações fazem a gestão dos dados pessoais de cidadãos europeus. Qualquer empresa que manipule dados pessoais, estando ela estabelecida em uma comunidade europeia ou não, está sujeita às restrições trazidas pela GDPR. Portanto, empresas brasileiras que estejam dentro dessas condições precisam ficar atentas! Desde a promulgação, as empresas tiveram 2 anos para estar em compliance com os novos requisitos. Portanto, neste ano, vence o prazo para a adequação, e a GPDR passa a vigorar a partir do dia 25 de maio de 2018.

Quais são os benefícios da GPDR para os usuários?

Apesar de a legislação valer para a comunidade europeia, os cidadãos de todo o mundo podem usufruir de seus benefícios. Isso porque grandes empresas, como o Facebook, precisarão se adaptar para operar em solo europeu. É possível que melhorias semelhantes surjam em outros países, como têm demonstrado alguns dados aqui no Brasil, conforme trataremos à frente. Além disso, uma decisão tão incisiva por parte de um bloco econômico de grande relevância aumenta as discussões em torno da privacidade de dados. A GPDR é bastante focada em grandes grupos de mídia que utilizam ferramentas para rastrear os dados dos usuários, melhorar experiências de navegação e oferecer anúncios segmentados. Como vimos no caso do escândalo Cambridge Analytica, a manipulação de dados sem as devidas políticas de transparência pode afetar pessoas em todo o mundo, trazendo danos, até mesmo, para os mecanismos que instituímos para manutenção da democracia.

Quais são as principais mudanças trazidas pela GDPR?

As empresas têm pouco tempo para fazer as devidas adaptações, daí a importância de tratar as mudanças como uma prioridade. Entenda!

Mais direitos aos cidadãos

Graças à GDPR, os cidadãos da comunidade europeia ganharam uma série de direitos em relação aos seus dados, tais como: negar o uso dos seus dados pessoais, pedir a exclusão de informações do acervo das organizações (poderemos, enfim, ser esquecidos!), bem como a correção e o preenchimento de dados incompletos. A regulamentação também pode solicitar informações sobre o processamento e armazenamento de seus dados, além da transferência deles de uma organização para a outra. O armazenamento de dados de crianças com idades inferiores a 13 anos deve requerer o consentimento dos responsáveis.

Expansão do conceito de dado pessoal

A GDPR passou a incluir dados genéticos e biométricos na definição de “dados pessoais”. Qualquer dado que, isolado ou aliado a outras informações, identifique uma pessoa, é considerado como pessoal.

Necessidade de um representante para a gestão de dados pessoais

As empresas passam a ter de contar com um responsável por implementar medidas técnicas e organizacionais para assegurar que os dados pessoais mantidos por elas correspondem aos requisitos da GDPR. Esse representante, conhecido como DPO, pode ser um departamento, uma pessoa ou empresas externas.

Órgãos controladores locais

Esse é um dos principais pontos da GDPR. Passam a ser criados órgãos controladores locais para os membros da comunidade europeia. Eles são responsáveis por receber e averiguar reclamações e denúncias relativas à regulamentação geral. Em caso de violação de dados pessoais, esses órgãos devem ser comunicados em até 72 horas. Se a violação representar riscos para o titular, a empresa responsável deve contatá-lo imediatamente. Além disso, as empresas devem garantir a capacidade de os seus sistemas informáticos resistirem a eventos acidentais ou a ações maliciosas em relação à integridade, disponibilidade, autenticidade e confidencialidade dos dados pessoais. Soluções robustas de segurança digital para mitigação de riscos serão, portanto, um pré-requisito para suas operações junto à comunidade europeia. Dados pessoais também deverão ser detalhadamente registrados.

O Brasil terá sua própria versão da GDPR?

A GDPR tem como um de seus principais pontos a criação de autoridades regulatórias sobre a privacidade e proteção de dados pessoais — algo que ainda não existe nos EUA ou aqui no Brasil. A implantação dessas agências de proteção aos cidadãos é uma das propostas do Projeto de Lei Geral de Proteção de Dados Pessoais, discutido desde 2011 e enviado ao Congresso Brasileiro em 2016, ainda durante o mandato da presidente Dilma Rousseff. Nos últimos dois anos, avançou pouco na Câmara dos Deputados. Contudo, como dissemos, grandes corporações já devem fazer as devidas adequações para não perderem o mercado europeu, o que pode acelerar o avanço de regulamentações semelhantes em nosso país. Portanto, é preciso se prevenir!

Por que se adequar às novas regras?

Como mencionado, todas as empresas que manipulam dados de cidadãos europeus precisam se adequar aos requisitos da GPDR. O regulamento entra em vigor a partir de 25 de maio de 2018. As empresas responsáveis pelo tratamento de dados e que violarem o regulamento serão obrigadas a indenizar o usuário que tenha sofrido danos materiais ou imateriais causados pela violação. Aquelas que violarem as regras do regulamento também estão sujeitas à aplicação de multas. Não é preciso mencionar que, além das multas severas, sem os devidos cuidados com os dados de seus usuários, a empresa corre o risco de ter a imagem prejudicada em relação aos consumidores e aos fornecedores. As mudanças trazem grandes alterações para o cotidiano das empresas, especialmente para a governança de TI e o armazenamento de dados. Contar com parceiros capacitados nessa transição, portanto, é fundamental. Para fazer as devidas adequações e atender à Regulamentação Geral de Proteção de Dados, é preciso revisar algumas aplicações, ajustar arquiteturas e verificar ações ligadas ao gerenciamento de dados. Por isso, se você precisa de ajuda para se adequar, estamos prontos para apoiar a sua empresa com os ajustes, oferecendo as melhores soluções. Se você está interessado em tirar dúvidas sobre a GDPR e quer fazer as devidas adequações nas práticas de sua empresa, entre em contato conosco e entenda como as nossas soluções e os nossos parceiros podem ajudá-lo nessa tarefa!