Prazo de conformidade com GDPR: como estar em conformidade em inglês simples

Publicados: 2018-05-15
Roshni Shaikh
Colaborador convidado

Basta pensar no que fez com que empresas como Google, LinkedIn, Twitter e afins mudassem seus termos e políticas de privacidade uma após a outra. Você já deve ter notado as notificações.

Sim, o Facebook já está no centro das atenções por discrepâncias de dados de usuários. Mas veja o que está acontecendo com todas as políticas de cookies. As empresas estão atualizando seus termos rapidamente.

O que está provocando esse frenesi? Claro, isso está acontecendo por causa de uma lei que conseguiu agitar o mundo dos negócios – GDPR

A lei GDPR da União Europeia entra em vigor a partir de 25 de maio de 2018. Isso tem sido notícia desde sua criação e adoção pelo Parlamento da UE em abril de 2016.

A Lei afetará as empresas que gerenciam uma grande quantidade de dados. Isto aplica-se a todos os dados dos cidadãos da UE, independentemente da sua localização.

O que é GDPR e por que está sendo implementado?

Em termos simples, como alguém que reside na UE, meus dados estão protegidos por causa do GDPR.

GDPR significa Regulamento Geral de Proteção de Dados. Substitui a antiga e obsoleta Diretiva de Proteção de Dados de 1995. O GDPR é mais relevante hoje, pois muita coisa mudou em um período de duas décadas.

Os rápidos avanços tecnológicos e o processamento/uso de dados pelas empresas levaram a perceber a necessidade de uma lei como o GDPR.

Este novo regulamento está sendo implementado para devolver o controle de dados pessoais aos cidadãos da UE. Ele é colocado em ação para controlar a capacidade de uma empresa de explorar os dados pessoais do público. O GDPR é implementado para dar aos cidadãos seus direitos digitais .

Esta lei não exige que os governos nacionais aprovem qualquer legislação sancionatória. Isso significa que é naturalmente aplicável a qualquer pessoa, organização ou empresa que lide com dados de cidadãos da UE.

Esta lei se aplica à sua empresa, independentemente de sua empresa operar em um nível de empresa para empresa ou empresa para consumidor.

Como o GDPR afetará seu negócio?

Sobre o efeito que a onda GDPR teve, há boas e más notícias. Vamos ver por quê.

Alguns pequenos empresários estão entrando em pânico e reclamando da súbita sobrecarga de trabalho. Russel Xiam, proprietário de uma empresa de suporte ao produto, diz que há muito o que fazer para migrar para plataformas de software compatíveis com GDPR.

Planejar o GDPR é equivalente a revisitar suas escolhas de negócios. Russel Xiam

Isso implica que as pequenas empresas são as mais afetadas.

John Higham, proprietário da Azybao, uma empresa de gerenciamento de projetos, disse que as pessoas estão se recusando a fazer negócios com empresas europeias porque têm medo de serem pegas no engarrafamento.

Isabelle Trijt, uma oficial de RH da Alemanha diz –

Eu tive que modificar/alterar/descartar as novas políticas de integração de funcionários e contratações para que ficássemos dentro do círculo compatível com GDPR. Eu também tive que assumir a responsabilidade de apagar todos os registros antigos contendo dados dos entrevistados anteriores.

Para adicionar a isso, um empresário em Bruxelas migrou para o MailChimp do Convertkit porque o Convertkit não estava dando uma opção de caixa de seleção que permite ao usuário “escolher” os dados. Isso implica que os empresários estão abandonando os provedores de serviços de e-mail que não dão mais controle ao usuário, embora o Convertkit tenha atualizado seu funcionamento a partir de hoje.

Isso faz sentido porque você, como empresa, não deve ser colocado em risco devido às regras que seu provedor de serviços de e-mail não seguiu. Afinal, o respondente de e-mail pode ter políticas que não se responsabilizam por qualquer prejuízo causado ao seu negócio, certo?

Embora seja raro que tal cenário ocorra, você ainda será responsabilizado por não estar em conformidade com as leis, pois é sualista de e-mail.

Por outro lado, Sidney Burks, CTO e cofundador da Ivizone da França, diz:

As novas políticas não tiveram um grande efeito em nossos negócios. Isso pode ser em grande parte devido ao fato de a lei francesa já ter requisitos bastante rigorosos em relação à proteção e privacidade de dados. O GDPR nos forçou a levar a privacidade de dados para o núcleo de nossos produtos e pensar nisso desde o início, no entanto, enquanto estamos desenvolvendo uma nova versão para nosso produto, conseguimos fazer isso de maneira limpa e eficiente.

Sidney também acrescenta que o GDPR forçou as empresas a colocar suas casas de dados em ordem. Eles agora adicionaram políticas adicionais para excluir dados obsoletos e desnecessários e reforçaram suas políticas de segurança interna em relação ao armazenamento e acesso a dados. Isso significa que eles fornecem um nível mais alto de segurança de dados para seus clientes.

Portanto, se sua empresa ou organização lida e processa dados de usuários, você deve se preocupar com a segurança dos dados de seus usuários. Você é obrigado a estar em conformidade com o GDPR neste caso. Se sua empresa não estiver em conformidade com a lei GDPR, você poderá enfrentar penalidades pesadas.

A penalidade mais alta para o desvio mais grave custará 4% do seu faturamento global ou 20 milhões de euros, o que for maior (mais sobre penalidades nas seções posteriores).

A Lei GDPR se aplica a ____?

Há uma enorme confusão sobre a quem a lei se aplica. Existem poucas fontes que falam de cidadãos da UE e há outras que falam de residentes da UE.

A confusão surge quando as pessoas com direitos GDPR são referenciadas como “titulares de dados”. Mas quem são esses titulares de dados?

Titulares dos dados, quem são eles?

O GDPR se aplica a todos os dados de cidadãos da UE?

Ou só se aplica a pessoas que residem na UE?

O titular dos dados é definido como uma pessoa física cujos dados pessoais são processados ​​por um controlador ou processador. O controlador ou processador pode ser uma empresa ou entidade empregada pela empresa que especifica o funil de processamento de dados.

O termo “titular dos dados” não tem uma definição específica. Na verdade, é uma conotação. O GDPR exige que as empresas protejam a privacidade e as informações pessoais dos cidadãos da UE em quaisquer transações que ocorram nos estados membros da UE. De acordo com o Cyber ​​Counsel, qualquer pessoa presente nos estados membros da UE em um determinado ponto se torna um titular de dados.

Quais são os tipos de dados que estão sujeitos a escrutínio?

O GDPR considera todos e quaisquer dados pessoais relativos a uma pessoa física como pertencentes a essa pessoa. O tipo de dados pode incluir:

  • Informações digitais
  • Dados biométricos
  • Dados genéticos
  • Dados criptografados
  • Dados pessoais

Os direitos de um titular de dados:

1. De acordo com o GDPR da UE, você pode optar por ser um titular de dados ou não. O que isso significa é que você pode se recusar a processar seus dados e, ao fazê-lo, estará exercendo seu direito de não ser um titular de dados.
2. Se optar por ser titular dos dados, tem o direito de ser informado sobre os seus dados. Você detém o direito de buscar todo o processamento de informações que envolva suas informações pessoais.

3. Você também tem plenos poderes e autoridade para alterar seus dados pessoais ou retirar seus dados a qualquer momento. Esta é a principal razão pela qual as empresas devem fornecer opções de caixa de seleção (discutidas na seção acima) para dar ao usuário mais liberdade e poder para obter seu consentimento.

4. Um titular de dados também pode opor-se ao processamento de qualquer/ou todos os seus dados se considerar que os dados processados ​​são imprecisos ou incorretos.

5. O titular dos dados também pode opor-se ou resistir à transferência dos seus dados de um prestador de serviços para outro. Além disso, como titular de dados, você também pode solicitar a exclusão de seus dados dos registros. Mas esse direito não pode ser conquistado pelo titular dos dados se os dados processados ​​forem para fins legais, de saúde pública, de pesquisa, etc.

Em suma, aplica-se a todos os residentes da UE, independentemente da localização da empresa, organização ou nacionalidade. E, violar os direitos dos titulares dos dados atrai pesadas penalidades.

Quais são os fatores que determinam uma penalidade?

1. Violações anteriores – Se você tem um histórico de violações, seja do ponto de vista do GDPR ou da Diretiva de Proteção de Dados anteriormente ativa, isso será um fator que determinará o valor da multa.
2. Causa – A violação pode ser intencional e com fins lucrativos. Ou teria sido o resultado de um passo insignificante. De qualquer forma, o órgão decisório define o valor da penalidade dependendo da causa.
3. Tipo de informação – Depende da classificação da informação utilizada. Por exemplo, uma empresa pode ter usado dados genéticos ou biométricos de uma(s) pessoa(s) para fins comerciais. Isso pode atrair uma penalidade maior do que informações como detalhes do emprego. Mais uma vez, a penalidade é definida inteiramente dentro dos limites e discricionariedade das leis da UE.
4. Soluções e Medidas – Se você tomou medidas para mitigar os danos causados ​​a uma pessoa ou grupo de pessoas diretamente afetadas pelo seu negócio, isso também se tornará um fator decisivo.
5. Medidas preventivas – A UE teve um período de transição de 2 anos antes de entrar em vigor e aplicação total em maio de 2018. Se sua empresa tomou medidas para manter a conformidade com as leis do GDPR e ainda assim ocorreu uma violação, isso será um ponto a ser destacado antes que a penalidade seja definida.
6. Intenção – Se o dano aos dados foi intencional, isso pode ser um gatilho para uma penalidade.
7. Cooperação e Relacionamento – Caso o negócio tenha sido obrigado a cooperar com a autoridade fiscalizadora para reparar o dano e eventualmente reverter a infração, isso funciona como um positivo que pode reduzir a penalidade.
8. Relatórios – Se a violação foi informada proativamente pelo próprio órgão infrator ou foi notificada por uma fonte secundária.

Observe que nenhum dos fatores acima garante uma penalidade específica porque a determinação da multa está totalmente dentro do critério das leis da UE.

Para obter mais informações, consulte os princípios básicos que levam à aplicação da lei GDPR aqui .

Nomeação de um Encarregado de Proteção de Dados (DPO)

Os dados que estão sendo processados ​​em sua empresa podem ter que passar por monitoramento. Se você precisar de ajuda para organizar sua empresa para cumprir o GDPR, o órgão da UE aconselha a procurar uma consulta especializada.

Cada um dos Estados-Membros da UE pode nomear uma ou mais autoridades públicas independentes para ajudar a monitorizar o cumprimento das leis de dados.

De acordo com o GDPR, os Encarregados de Proteção de Dados devem ser nomeados se sua empresa operar nos seguintes níveis:

1. Organizações que atuam como autoridades públicas

2. Empresas que lidam com agregação e monitoramento de dados em larga escala

3. Empresas que lidam com processamento em larga escala de informações pessoais cruciais

5 mitos sobre o GDPR

1. As empresas dos EUA são fortemente afetadas – Todas as empresas (não apenas as empresas dos EUA) com clientes da UE devem cumprir a lei.

2. Proprietários de pequenas empresas não precisam se preocupar com GDPR – Uma empresa pequena ou grande: se ela lida com dados de usuários, deve ser compatível com GDPR.

3. O consentimento do usuário não é obrigatório se o usuário optar por inserir suas informações pessoais durante a assinatura - O consentimento explícito do usuário na forma de uma caixa de seleção é obrigatório a partir de 25 de maio de 2018.

4. Se você não faz negócios dentro da UE, não deve se preocupar – Se você é uma empresa que lida com dados de cidadãos da UE, independentemente da localização dos cidadãos, aplica-se o GDPR.

5. Os dados do usuário são apenas os dados fornecidos pelos usuários – Quaisquer dados coletados, gerados, modificados, transformados ou adquiridos na forma de cookies, o comportamento do usuário ainda são dados do usuário.

Conclusão

Se você é uma empresa com um site que coleta informações pessoais dos titulares dos dados, agora você é obrigado a implementar formas legalmente compatíveis para adquirir informações do usuário. Por exemplo, se você tiver um pop-up ou formulário de inscrição em seu site, a única maneira de garantir que está obtendo o consentimento do usuário é:

  • Implementação do método double opt-in que agrupa apenas membros interessados ​​com consentimento.
  • Dando ao usuário as opções de escolha para regular seus dados.
  • Dando ao usuário a opção de cancelar a assinatura.
  • Garantir que todos os serviços de terceiros que você usa sejam compatíveis com GDPR.
  • Mantendo seus procedimentos de aquisição de dados sob controle.
  • Comunicar suas políticas de privacidade de maneira transparente.
  • Designar um responsável pela proteção de dados ou educar e treinar sua empresa para evitar a violação de dados.
  • Garantir auditorias regulares de dados e acessibilidade.
  • Minimizando os dados que você mantém e processa.

Isenção de responsabilidade: As informações acima são apenas para referência e fins informativos. Não serve como aconselhamento jurídico. Por favor, procure aconselhamento jurídico para qualquer aconselhamento adicional.