No último dia 25 de maio, algo chamado General Data Protection Regulation (GDPR) entrou em vigor. Isso significa que a sua empresa, assim como qualquer outra no mundo, já deve ter uma boa resposta para a seguinte pergunta: "como essa nova lei nos afeta?" Na verdade, eu diria que você está brincando com fogo se a sua resposta é “não sei” ou “não nos afeta porque não somos uma empresa europeia”.
O principal perigo é ter que enfrentar uma grande multa pelo não cumprimento da regulação. Apesar da implementação pela Comissão Europeia, as regras podem ser aplicadas para algumas empresas situadas fora da União Europeia (UE).
No post de hoje, contarei por que o Regulamento Geral de Proteção de Dados pode ter serias implicações para a sua empresa, qual a possível proporção de alcance, e como as organizações podem se preparar para o GDPR.
Quem pode ser afetado pelo GDPR?
A nova regulação pode ser aplicada à sua organização, independentemente do país em que se baseia ou a partir do qual opera, a menos que não colete ou processe informações de integrantes do mercado europeu.
Em outras palavras, a empresa está isenta apenas se não oferece bens ou serviços, nem rastreia ou cria perfis de cidadãos europeus.
Caso realize qualquer uma dessas atividades, provavelmente você terá que cumprir a nova lei. Em caso de dúvida, pergunte para a área jurídica da sua empresa. Se os seus advogados responderem algo como "GD, o que é isso?", reveja os seus profissionais.
Por uma questão de clareza e ênfase, irei resumir. Sua empresa provavelmente deve cumprir com o GDPR apenas se:
- Monitora o comportamento de pessoas que se encontram na UE.
- Está baseada fora da UE, mas presta serviços ou bens para essa região (incluindo serviços gratuitos).
- Possui um "estabelecimento" na UE, independentemente de onde os dados pessoais sejam processados (por exemplo, um processamento baseado na nuvem realizado fora da UE para uma empresa baseada nessa região está sujeito ao GDPR).
Evidentemente, essa é uma ampliação considerável do alcance das proteções de dados proporcionadas pelas leis europeias anteriores. E abrange todas as pessoas que vivem na UE, não só aos seus cidadãos. Também amplia a responsabilidade mais além da diretiva atual para incluir processadores de dados, assim como controladores de informações.
Caso precise de uma rápida atualização de vocabulário, existem três termos chaves: sujeitos de dados, controladores de dados e processadores de dados. Por exemplo, uma empresa é um controlador de dados em relação aos clientes ou funcionários sobre quem tem informações pessoais.
Nesse contexto, os clientes e os funcionários são sujeitos de dados: as pessoas físicas cujos dados pessoais estão sendo processados pelo controlador de dados. Um exemplo de um processador de dados seria uma empresa para quem as operações de folha de pagamento são terceirizadas pelo empregador em sua qualidade de controlador de dados.
11 coisas chave que o GDPR realiza
- Aumenta a expectativa individual de privacidade e a obrigação da organização de seguir as práticas de segurança cibernética estabelecidas.
- Estabelece multas pesadas por descumprimento. Uma violação flagrante do GDPR, como a falta de segurança de dados que leva à exposição pública de informações pessoais sensíveis, pode resultar em uma multa de milhões ou mesmo de bilhões de dólares (há dois níveis de violações e o nível superior está sujeito a multas superiores a 20 milhões de euros ou 4% do lucro líquido da empresa).
- Impõe detalhados e exigentes requisitos de notificação de brechas de segurança. Tanto as autoridades como os clientes afetados precisam ser notificados "sem atrasos indevidos e, quando seja possível, o mais tardar 72 horas após terem tido conhecimento sobre a brecha". As empresas afetadas nos Estados Unidos que estão acostumadas a relatar segundo o processo do país deverão ajustar suas políticas e procedimentos de notificação de infrações para evitar a violação do GDPR.
- Requer que muitas organizações nomeiem um oficial de proteção de dados (DPO). Nesse caso, é necessário designar um DPO quando as suas atividades principais, como um controlador de dados ou processador de dados, envolvem "monitoramento regular e sistemático de sujeitos de dados em grande escala". Para as empresas que já possuem um diretor de privacidade, teria mais sentido se essa pessoa se transformasse em um DPO, mas se não houver uma posição semelhante, a função terá que ser criada.
- Reforça a definição de consentimento. Os sujeitos de dados devem confirmar o seu consentimento para o uso de seus dados pessoais através de uma declaração livre, específica, informada e inequívoca ou de uma clara ação afirmativa. Em outras palavras: o silêncio, os formulários pré-marcados ou a inatividade já não constituem o consentimento.
- Estabelece uma visão ampla do que constitui dados pessoais, potencialmente abrangendo cookies, endereços IP e outros dados de rastreamento.
- Codifica um direito ao esquecimento para que as pessoas possam pedir à sua empresa para que excluam seus dados pessoais. As organizações que ainda não possuem um processo para acomodar esses pedidos precisarão trabalhar nisso.
- Proporcionar aos sujeitos de dados o direito de receber dados em um formato comum e pedir que seus dados sejam transferidos para outro controlador. As organizações que ainda não possuem um processo para acomodar esses pedidos terão que trabalhar nisso.
- Deixa claro que os controladores de dados são responsáveis pelas ações dos processadores de dados que eles escolheram. A relação controlador-processador deve ser regida por um contrato que detalha os tipos de dados envolvidos, seu propósito, uso, retenção, eliminação e medidas de proteção de segurança.
- Aumenta os requisitos de consentimento dos pais para menores de 16 anos.
- Aplica a "privacidade por design" como uma prática padrão exigida para todas as atividades que envolvem dados pessoais protegidos. Por exemplo, na área de desenvolvimento de aplicativos, o GDPR determina que "os especialistas em segurança e privacidade devem se reunir com a equipe de marketing para construir os requisitos de negócio e um plano de desenvolvimento para qualquer novo aplicativo com o intuito de garantir que o processo possa cumprir com o novo regulamento".
Custo e tempos
Como poderíamos esperar, algumas organizações estão mais próximas do que outras. Em janeiro deste ano, a PwC entrevistou 200 empresas estadunidenses com mais de 500 funcionários e descobriu que 92% consideraram o cumprimento do GDPR como uma prioridade máxima em sua agenda de privacidade e segurança de dados em 2017.
Mais da metade disse que era a prioridade máxima e 38% destacou que estava entre as principais prioridades. Claro, a conformidade não será barata e 77% das pessoas no estudo da PwC disseram que a organização estava planejando gastar 1 milhão de dólares ou mais para cumprir esse objetivo.
Embora você possa esperar que as empresas europeias estejam mais avançadas nesse processo, um recente estudo da IDC Research realizado em nome da ESET descobriu que um quarto (25%) das 700 empresas europeias entrevistadas admitiram que não tinham conhecimento sobre o GDPR. Além disso, mais da metade (52%) não tinham certeza sobre qual seria o impacto em suas organizações.
Mais recursos sobre o GDPR
Claramente, há muito para fazer, especialmente se a ideia de ter que lidar com a lei europeia de proteção de dados é algo novo para você. Confira alguns recursos adicionais:
- A ESET criou uma página em que é possível verificar se a sua empresa cumpre a norma e como dar continuidade ao processo.
- Para os profissionais da área de privacidade e segurança que querem ler mais sobre o GDPR, apenas para saber mais sobre o assunto, aqui está um link para a versão final em PDF, com todas as 150 páginas.
Por último, destaco que não sou advogado e que você não deve confiar neste ou em nenhum outro texto da Internet para obter assessoramento jurídico. O ideal é consultar um advogado devidamente qualificado em assuntos relacionados à interpretação e cumprimento do GDPR.