Quando se fala na proteção de dados na internet, um dos assuntos que mais vem gerando debate nos últimos tempos é a GDPR – General Data Protection Regulation, ou Regulamento Geral de Proteção de Dados, uma lei europeia criada com o objetivo de proteger os dados dos cidadãos europeus. Ela atinge todas as empresas de pequeno, médio e grande porte sediadas ou que façam negócios na Europa.
A lei começa a vigorar em 25 de maio de 2018 e prevê multas pesadas para as empresas que não se adequarem. Isso tem causado discussões sobre o assunto, pois algumas diretrizes da GDPR são consideradas um tanto vagas pelos especialistas, enquanto outras são criticadas pelas companhias por serem muito difíceis de serem cumpridas. O fato é que a regra deve trazer impactos para o mundo dos negócios do mundo todo e o tempo para entende-la é cada vez mais curto.
O que é a GDPR?
A GDPR foi adotada pelo Parlamento Europeu em abril de 2016 para substituir a regra antiga de 1995. Seu objetivo é proteger a privacidade e informações pessoais dos cidadãos europeus em transações dentro do território da União Europeia e também fora dele. Ela começa a valer em maio de 2018.
De acordo com uma pesquisa da RSA Data Privacy & Security Report, a perda de informações pessoais é uma das maiores preocupações para mais de 76% dos cidadãos europeus. Ainda de acordo com o estudo, em caso de ataque cibernético, as pessoas tendem a culpar mais a empresa responsável por armazenar os dados do que o hacker pelo vazamento. Estima-se que cerca de 41% das pessoas fornecem informações falsas na hora de preencher cadastros para serviços on-line com medo de que elas sejam roubadas.
O regulamento completo pode ser acessado clicando aqui.
Qual o tipo de privacidade que a GDPR protege?
A GDPR especifica os tipos de dados que precisam ser protegidos pela empresa. A lista é a seguinte:
- Informações pessoais básicas, como; nome, endereço e número do documento de identidade.
- Informações da web, como IP, dados de cookie e etiquetas RFID.
- Informações de saúde e genéticas.
- Dados biométricos.
- Dados raciais ou étnicos.
- Opiniões políticas.
- Orientação sexual.
O que a GDPR exige das empresas
Para as empresas sujeitas à GDPR, existe uma série de medidas que precisam ser seguidas. De uma maneira geral, elas podem ser divididas em três questões principais que dizem respeito a como as empresas devem agir em determinados casos e situações:
• Governança de Dados
Notificação de falhas: as empresas precisam notificar qualquer falha na administração de dados a qualquer pessoa afetada e aos reguladores dentro de 72 horas.
Privacidade: a natureza da privacidade de dados deve ser considerada no escopo de qualquer projeto.
Gerenciamento de fornecedores: terceiros também se enquadram às regras. Toda a instância deve manter registros detalhados dos dados e qualquer atividade de processamento.
• Gestão de dados
Exclusão de dados: todo europeu tem o direito de solicitar a exclusão de seus dados pessoais dos registros de uma organização.
Processamento de dados: todas as atividades de processamento de dados devem ser registradas, incluindo o nome da organização, fins do processamento de dados, destinatários, categorias de indivíduos e dados pessoais, transferências de dados e os cronogramas de retenção de dados.
Transferência de dados: a transferência de dados para um país sem leis adequadas de proteção é proibida e existe uma lista de “países aprovados”.
Administrador de proteção de dados: toda empresa precisa apontar um responsável pela gestão dos dados se processar mais de 5 mil registros dentro de um período de 12 meses. Esse responsável deve se certificar de que as regras da GDPR estão sendo seguidas, realizar treinamentos pessoais em políticas globais e avaliar a proteção de dados da empresa.
• Transparência de dados
Consentimento: toda empresa precisa comprovar que tem autorização para usar os dados. Se uma pessoa desejar, pode suspender seu consentimento.
Portabilidade: toda pessoa pode obter uma cópia de seus dados e mover, copiar ou transferi-los para um novo prestador sem dificuldade de usabilidade.
Privacidade: caso os dados de uma pessoa sejam processados, a empresa deve divulgar informações aos envolvidos.
Reclamações
Uma das principais reclamações das empresas a respeito da GDPR é a respeito da falta de definição de alguns termos. De acordo com a lei, as companhias precisam fornecer um nível de proteção de informação “razoável” sem, no entanto, definir o que exatamente seria considerado razoável nesse caso.
Outro ponto controverso diz respeito à profundidade das mudanças. O padrão a ser estabelecido pela GDPR é considerado difícil de ser alcançado e vai exigir que as empresas realizem grandes investimentos para alcançá-lo e administrá-lo.
Como a GDPR afeta o Brasil
No Brasil, as leis de proteção a dados caminham, mesmo que lentamente. Nosso país já conta com o Marco Civil da Internet, que dá alguma proteção aos usuários, além de mais de 30 leis que tratam do tema da proteção de dados, direta ou indiretamente. Além disso, dois projetos estão tramitando atualmente no Congresso Nacional para aprovar a própria Lei Geral de Proteção de Dados Pessoais Brasileira.
Quando a GDPR começar a vigorar, deve exigir das empresas brasileiras um grande investimento em processos e tecnologias para que fiquem adequadas à lei europeia. Pode parecer que esse fato trará pouco impacto para o país de uma forma geral, mas a tendência, na verdade, é que esse movimento acelere a aprovação das leis de proteção de dados em solo brasileiro e logo em 2019 elas entrem em vigor.
E se você se interessa por soluções digitais e sua aplicação em empresas, recomendamos a leitura do nosso e-book “Tendências para Software House 2018”. Clique aqui para baixar gratuitamente: