GDPR é lei européia que entrou em vigor, que reforça as proteções de dados dos cidadãos Europeus e empresas de todo o mundo que têm negócios com a Europa precisarão se adequar.
2. Quem sou?
Desenvolvedor a mais de 20 anos,
trabalho com várias linguagens. Atuei
em várias empresas tanto no Brasil
quanto no Exterior. Sou defensor do
Software Livre, em especial do Linux.
Nerd, atualmente apaixonado por
empreendedorismo, voluntário em
vários ações, sou fundador e sócio da
BonoBee e do Hackathon.Me
http://marcelosiqueira.com.br
3. O que é o GDPS?
O Regulamento Geral de Proteção de Dados (General Data Protection Regulation,
GDPR) é a norma mais recente da União Europeia que reforça as proteções de dados
pessoais dos seus cidadãos.
● Entrou em vigor no dia 25 de maio, passado.
● Leis harmoniza 27 países ao mesmo tempo.
● Ao todo são 65 exigências do GDPR.
https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679&from=PT
4. O que são os dados pessoais, de acordo com a GDPR?
Segundo a regulamentação GDPR, dados pessoais são quaisquer informações
relacionadas a uma pessoa que possam ser usados para identificá-la direta ou
indiretamente. Pode ser um nome, foto, endereço de e-mail, dados bancários, postagem
em sites de redes sociais, informações médicas, dados de GPS, cookies ou até mesmo
um simples endereço IP do computador são considerados dados pessoais.
5. A quem se aplica?
Toda empresas privadas ou públicas, que possuem relacionamento com clientes ou
parceiros europeus, terão que respeitar o novo regulamento. Desde grandes
instituições à pequenas plataformas de e-commerce, se há coleta ou tratamento de
dados pessoais de um indivíduo que está no território da União Europeia, de forma
relacionada à oferta de bens ou serviços, ainda que fornecidos gratuitamente, haverá
sujeição às normas do GDPR. É importante ressaltar que, se a empresa usa serviços
como o Amazon Web Services ou o Google Cloud, por exemplo, estas não poderão ser
responsabilizadas em caso de desconformidade de sua empresa com o GDPR.
6. Quais as principais mudanças trazidas pela GDPR?
O texto completo da norma estabelece os direitos dos indivíduos e visa facilitar o
acesso a informações pessoais detidas pelas empresas, bem como define as obrigações
impostas às organizações. Isso inclui um novo regime de multas e uma clara
responsabilização na obtenção de consentimento das pessoas sobre as quais coletam
informações. Tanto os dados pessoais como os dados sensíveis são abrangidos. Aqueles,
em termos gerais, que se referem a uma informação que pode ser usada para identificar
uma pessoa (pode ser um nome, endereço, fotos, endereço IP, etc.). Já os dados
pessoais sensíveis, englobam dados genéticos e de saúde, informações sobre pontos de
vista religiosos e políticos, orientação sexual e tantos outros.
7. Quais os impactos para os negócios fora da Europa?
Como resultado, as empresas devem esperar que a regulamentação seja rigorosamente
aplicada. Portanto, em maior ou menor grau de incidência, todas as empresas que
coletam, armazenam ou processam dados de cidadãos da UE, independentemente do
volume, estarão sujeitas à aplicação da norma.
8. O que é um DPO?
Encarregado da Proteção de Dados, ou DPO (Data Protection Officer), é responsável
pelo compliance na proteção de dados pessoais. Cabe, dentre outras atribuições,
informar e orientar os funcionários e contratados da empresa sobre as melhores
práticas, colaborar com as autoridades de controle e prestar aconselhamento no que
diz respeito à avaliação de impacto sobre a proteção de dados.
9. O que são as PIA´s?
As PIA´s (Privacy Impact Assessment) são avaliações de impacto na proteção de dados
que podem ser executados pela organização ou empresas terceiras de forma a avaliar a
origem, natureza, particularidade e a gravidade do risco para os direitos e liberdade dos
usuários.
A realização de PIA´s segundo a GDPR deverão ser realizados de forma obrigatória
quando ocorrer um novo projeto envolvendo o uso de dados pessoais, novos sistemas
de TI para armazenamento de dados pessoais, uma iniciativa de compartilhamento de
dados com organizações terceiras, uma atividade de identificação de dados
demográficos específicos e em casos que sejam necessários utilizar dados existentes da
organização para um novo propósito ou uma utilização mais intrusiva desse dado.
10. Quais as sanções previstas na lei?
As multas previstas no GDPR são bastante pesadas, em uma tentativa de levantar o
interesse de organizações que encaravam suas responsabilidades na proteção de dados
de forma descompromissada ou pouco séria. Pequenas infrações podem resultar em
multas de até € 10 milhões ou 2% do volume de negócios global da empresa; infrações
mais graves podem chegar a € 20 milhões ou 4% do volume de negócios global da
empresa (o que for maior).
11. Como as sanções serão aplicadas?
Para empresas brasileiras que têm uma presença física na Europa, o GDPR pode ser
aplicado diretamente pelas autoridades do respectivo Estado-membro da UE. No caso
de empresas estrangeiras sem uma presença física neste território, o GDPR exige a
designação de um representante “localizado na UE”. Isso não se aplicará a todos –
apenas àqueles que, conscientemente e ativamente, conduzem negócios na UE. Nesse
sentido, os tribunais europeus têm a capacidade discricionária de determinar se uma
empresa coleta propositadamente dados de cidadãos da UE ou se tal coleta ocorre de
forma inadvertida ou ocasional. Mas tudo isso depende do julgamento do
Estado-Membro.
12. Como minha empresa deve se preparar?
O planejamento precoce é essencial. Um primeiro passo a ser considerado é a revisão
das atividades de processamento de dados, a fim de mapear o ambiente e avaliar a
aplicabilidade do GDPR para cada caso específico.
É fundamental que as empresas designem alguém, seja um funcionário ou um
consultor externo, para se responsabilizar pela conformidade em matéria de proteção
de dados e que tal pessoa tenha conhecimento, apoio e autoridade para desempenhar
seu papel de forma independente e eficaz.
13. E a legislação brasileira?
Lei Carolina Dieckmann
Nome que ficou conhecida a lei 12.737/2012 que altera o código penal brasileiro e tipifica os delitos ou crimes
informáticos. (de 1 a 2 anos de prisão)
Marco Civil da Internet
No Brasil, ainda não há uma lei específica sobre privacidade de dados que dite a forma como lidar com os
dados, porém o Marco Civil, sancionado em 2015, define os deveres para operações que lidam com dados
confidenciais.
PL 5276/2016 - PL 4060/2012
PL 6291/2016 - PLS 330/2013 (GDPR Brasileira)
Projetos de leis que visam políticas de privacidades
14. Fique atento
1 - Legalidade e transparência
2 - Propósito e meios de coleta
3 - Limitação de coleta (minimização)
4 - Exatidão
5 - Limitação de armazenamento
6 - Segurança
16. Reflitam!
● Já é sabido que ativo mais importante de uma empresa digital, são os dados dos
clientes;
● Startups são empresas multinacionais;
● Toda empresa que tiver dados de cidadãos europeus, então devem seguir a
GDPR;
● Não é apenas uma questão de segurança de dados, de leis ou de tecnologia, mas
uma questão empresarial que deve ser tratada de forma holística e
comprometida, inserida nas estratégias de cada negócio.