O que significa o GDPR?
Regulamento Geral de Proteção de Dados.
Como isso aconteceu?
Em janeiro de 2012, a Comissão Europeia definiu planos para a reforma da proteção de dados em toda a União Europeia, a fim de tornar a Europa ‘adequada para a era digital’. Quase quatro anos depois, chegou-se a um acordo sobre o que isso envolveu e como será aplicado.
Um dos principais componentes das reformas é a introdução do Regulamento Geral de Proteção de Dados (GDPR). Este novo quadro da UE aplica-se a organizações em todos os estados membros e tem implicações para empresas e indivíduos em toda a Europa e além.
“O futuro digital da Europa só pode ser construído com base na confiança. Com sólidos padrões comuns de proteção de dados, as pessoas podem ter certeza de que estão no controle de suas informações pessoais”, disse Andrus Ansip, vice-presidente do Mercado Único Digital. as reformas foram acordadas em dezembro de 2015.
O que é o GDPR?
Na sua essência, GDPR é um novo conjunto de regras destinadas a dar aos cidadãos da UE mais controle sobre seus dados pessoais. Pretende simplificar o enquadramento regulamentar das empresas, para que tanto os cidadãos como as empresas da União Europeia possam beneficiar plenamente da economia digital.
As reformas são projetadas para refletir o mundo em que vivemos agora e traz leis e obrigações – incluindo as que envolvem dados pessoais, privacidade e consentimento – em toda a Europa até a velocidade da era da internet.
Fundamentalmente, quase todos os aspectos da nossa vida giram em torno de dados. De empresas de mídia social a bancos, varejistas e governos – quase todos os serviços que usamos envolvem a coleta e análise de nossos dados pessoais. Seu nome, endereço, número de cartão de crédito e mais todos coletados, analisados e, talvez mais importante, armazenados pelas organizações.
O que é a conformidade com o GDPR?
Violações de dados inevitavelmente acontecem. As informações são perdidas, roubadas ou liberadas de qualquer outra forma nas mãos de pessoas que nunca tiveram a intenção de vê-las – e essas pessoas geralmente têm intenções maliciosas.
Sob os termos do GDPR, as organizações não somente terão que garantir que os dados pessoais sejam coletados legalmente e sob condições estritas, mas aqueles que coletarem e gerenciarem os dados serão obrigados a protegê-los do uso indevido e da exploração, bem como a respeitar os direitos dos usuários. proprietários de dados – ou enfrentar penalidades por não fazê-lo.
A quem o GDPR se aplica?
O GDPR aplica-se a qualquer organização que opere na UE, bem como a quaisquer organizações fora da UE que ofereçam bens ou serviços a clientes ou empresas na UE. Isso significa que quase todas as grandes corporações do mundo precisarão estar prontas quando o GDPR entrar em vigor e começar a trabalhar em sua estratégia de conformidade com o GDPR.
Existem dois tipos diferentes de manipuladores de dados aos quais a legislação se aplica: ‘processadores’ e ‘controllers’. As definições de cada uma estão estabelecidas no artigo 4.º do Regulamento Geral de Proteção de Dados.
Além disso: compatível com GDPR? Aqui está uma lista de verificação de preparação em cinco etapas
Um controlador é “pessoa, autoridade pública, agência ou outro organismo que, sozinho ou em conjunto com outros, determina os objetivos e meios de processamento de dados pessoais”, enquanto o processador é “pessoa, autoridade pública, agência ou outro órgão que processa pessoal dados em nome do controlador “. Se você está atualmente sujeito à Lei de Proteção de Dados do Reino Unido, por exemplo, é provável que você também tenha que observar a conformidade com o GDPR.
“Você terá uma responsabilidade legal significativamente maior se for responsável por uma violação. Essas obrigações para processadores são um novo requisito do GDPR”, afirma o Information Commissioners Office do Reino Unido, autoridade responsável pelo registro de controladores de dados, tomando medidas de proteção de dados e lidar com preocupações e manuseio incorreto de dados.
O GDPR, por fim, impõe obrigações legais a um processador para manter registros de dados pessoais e como eles são processados, fornecendo um nível muito mais alto de responsabilidade legal caso a organização seja violada.
Os controladores também serão forçados a garantir que todos os contratos com processadores estejam em conformidade com o GDPR.
O que são dados pessoais no âmbito do GDPR?
Os tipos de dados considerados pessoais sob a legislação existente incluem nome, endereço e fotos. O GDPR amplia a definição de dados pessoais para que algo como um endereço IP possa ser dados pessoais. Também inclui dados pessoais confidenciais, como dados genéticos, e dados biométricos que podem ser processados para identificar um indivíduo de forma exclusiva.
Quando o GDPR entra em vigor?
O GDPR será aplicado em toda a União Europeia a partir de 25 de maio de 2018, e todos os países membros deverão transferi-lo para sua própria legislação nacional até 6 de maio de 2018.
Após quatro anos de preparação e debate, o GDPR foi aprovado pelo Parlamento Europeu em abril de 2016 e os textos oficiais e o regulamento da diretiva foram publicados em todas as línguas oficiais da UE em maio de 2016.
Qual é o prazo de cumprimento do GDPR?
A partir de 25 de maio de 2018, todas as organizações devem estar em conformidade com o GDPR.
Como o Brexit afeta o GDPR?
O Reino Unido deverá deixar a UE em 29 de março de 2019, pouco mais de dez meses após a entrada em vigor do GDPR. O governo do Reino Unido disse que isso não afetará o cumprimento do GDPR no país, e que o GDPR trabalhará para o benefício do Reino Unido, apesar do país deixar de ser um membro da UE. Portanto, é improvável que o Brexit tenha qualquer impacto nos requisitos de conformidade com o GDPR de uma organização.
O que significa GDPR para as empresas?
O GDPR estabelece uma lei em todo o continente e um único conjunto de regras aplicáveis às empresas que operam nos países membros da UE. Isso significa que o alcance da legislação se estende além das fronteiras da própria Europa, como organizações internacionais sediadas fora da região, mas com actividade em «solo europeu» deverá ainda ser cumprida.
Espera-se que, ao adotar legislação de dados com o GDPR, possa trazer benefícios para as empresas. A Comissão Europeia alega que, ao ter uma autoridade única de supervisão para toda a UE, tornará mais simples e mais barato para as empresas operar na região. De fato, a Comissão afirma que o PIBP economizará € 2,3 bilhões por ano em toda a Europa
“Ao unificar as regras da Europa sobre proteção de dados, os legisladores estão criando uma oportunidade de negócios e incentivando a inovação”, diz a Comissão.
O que isso significa, dizem eles, é que a regulamentação garantirá que proteções de proteção de dados sejam incorporadas em produtos e serviços desde o estágio inicial de desenvolvimento, fornecendo “proteção de dados por design” em novos produtos e tecnologias.
As organizações também serão encorajadas a adotar técnicas como ‘pseudonimização’ para se beneficiar da coleta e análise de dados pessoais, enquanto a privacidade de seus clientes é protegida ao mesmo tempo. (Embora alguns grupos tenham argumentado que isso já é tarde demais, dado o número de dispositivos conectados no mundo.)
O que significa GDPR para consumidores / cidadãos?
Devido ao grande número de violações de dados e hacks que ocorreram ao longo dos anos, a infeliz realidade para muitos é que alguns de seus dados – seja um endereço de e-mail, senha, número de seguro social ou registros de saúde confidenciais – foram expostos na internet.
Uma das principais mudanças que o GDPR trará é fornecer aos consumidores o direito de saber quando seus dados foram hackeados. As organizações serão obrigadas a notificar os organismos nacionais competentes o mais rapidamente possível, a fim de garantir que os cidadãos da UE possam tomar as medidas adequadas para impedir que os seus dados sejam indevidamente utilizados.
Também é prometido aos consumidores acesso mais fácil aos seus próprios dados pessoais em termos de como eles são processados, com as organizações informando que precisam detalhar como eles usam as informações dos clientes de uma maneira clara e compreensível.
Algumas organizações já mudaram para garantir que esse seja o caso, mesmo que seja tão básico quanto enviar emails aos clientes com informações sobre como seus dados são usados e fornecer a eles um opt-out se eles não emitirem seu consentimento para participar disso. Muitas organizações, como as dos setores de varejo e marketing, entraram em contato com os clientes para perguntar se desejam fazer parte de seu banco de dados.
Nessas circunstâncias, o cliente deve ter uma maneira fácil de desativar seus detalhes em uma lista de discussão. Enquanto isso, alguns outros setores foram avisados de que têm muito a fazer para garantir a conformidade com o DPRG – especialmente quando o consentimento está envolvido.
O GDPR também está programado para trazer um processo “direito a ser esquecido” esclarecido, que fornece direitos e liberdades adicionais para pessoas que não querem mais que seus dados pessoais sejam processados para que sejam excluídos, desde que não haja motivos para retê-los.
As organizações precisarão manter esses direitos do consumidor em mente quando o GDPR entrar em vigor.
Este e-mail de privacidade é realmente de uma empresa real? Poderia ser uma farsa?
Organizações de todos os tamanhos, em todos os setores, estão enviando e-mails aos clientes, solicitando a eles que optem por receber mensagens e outros materiais de marketing. Na maioria das vezes, se o cliente quiser permanecer na lista, basta clicar na parte do email que informa à empresa que deseja manter contato.
No entanto, com tantas organizações enviando e-mails em GDPR, criminosos e golpistas consideraram uma excelente oportunidade para enviar e-mails de phishing a fim de pegar pessoas desatentas – especialmente considerando como as pessoas podem estar recebendo mais e-mails de organizações do que o normal atualmente .
Pesquisadores da Redscan descobriram um desses esquemas, que vê criminosos posando como Airbnb e alegando que o usuário não será capaz de aceitar novas reservas ou enviar mensagens para possíveis clientes até que uma nova política de privacidade seja aceita. Os invasores mencionam especificamente a nova política de privacidade EY como a razão para a mensagem ser enviada.
No entanto, aqueles que estão por trás desse esquema estão alavancando muito o GDPR para roubar informações, porque enquanto a mensagem real do Airbnb não pede nenhuma informação, aqueles que recebem a mensagem falsa são solicitados a fornecer suas informações pessoais, incluindo credenciais de conta e cartão de pagamento. em formação.
É improvável que seja a única tentativa dos criminosos de pegar carona no GDPR para seu próprio benefício.
O que é uma notificação de violação de GDPR?
Assim que o GDPR entrar em vigor, será introduzido um dever para todas as organizações de denunciar certos tipos de violações de dados que envolvam acesso não autorizado ou perda de dados pessoais à autoridade supervisora relevante. Em alguns casos, as organizações também devem informar os indivíduos afetados pela violação.
As organizações serão obrigadas a denunciar quaisquer violações que possam resultar em risco aos direitos e liberdades das pessoas e levar a discriminação, danos à reputação, perda financeira, perda de confidencialidade ou qualquer outra desvantagem econômica ou social.
Em outras palavras, se o nome, endereço, dados de nascimento, registros de saúde, dados bancários ou quaisquer dados pessoais ou privados sobre clientes forem violados, a organização é obrigada a informar os afetados, bem como o órgão regulador relevante para que tudo seja possível. ser feito para restringir o dano.
Isso precisará ser feito por meio de uma notificação de violação, que deve ser entregue diretamente às vítimas. Essas informações não podem ser comunicadas apenas em um comunicado de imprensa, nas mídias sociais ou no site da empresa. Deve ser uma correspondência de um para um com os afetados.
Em GDPR, quando uma organização precisa fazer uma notificação sobre uma violação?
A violação deve ser comunicada ao órgão de supervisão relevante no prazo de 72 horas após a organização ter conhecimento dela pela primeira vez. Enquanto isso, se a violação for séria o suficiente para significar que os clientes ou o público devem ser notificados, a legislação do GDPR diz que os clientes devem ser responsabilizados sem ‘atraso indevido’.
Quais são as multas e penalidades do GDPR pelo não cumprimento?
O não cumprimento do GDPR pode resultar em uma multa variando de 10 milhões de euros a 4% do faturamento global anual da empresa, um número que, para alguns, pode significar bilhões.
As multas dependerão da gravidade da violação e se a empresa é considerada responsável pela conformidade e pelos regulamentos em relação à segurança de maneira suficientemente séria.
A multa máxima de 20 milhões de euros ou quatro por cento do volume de negócios mundial – o que for maior – é por violação dos direitos dos titulares dos dados, transferência internacional não autorizada de dados pessoais e falta de procedimentos para ou ignorar o acesso da pessoa. solicitações de dados.
Uma multa menor, de 10 milhões de euros ou dois por cento do faturamento mundial, será aplicada às empresas que manipularem os dados de outras maneiras. Elas incluem, mas não se limitam a, falha em relatar uma violação de dados, falha em criar privacidade por design e garantir que a proteção de dados seja aplicada no primeiro estágio de um projeto e ser compatível ao nomear um responsável pela proteção de dados organização seja uma daquelas exigidas pelo GDPR.
Artigo Original: https://www.zdnet.com/article/gdpr-an-executive-guide-to-what-you-need-to-know/