O que é GDPR?

Quando entrou em vigor em 2018, foi a mudança mais significativa na proteção de dados em décadas desde a Diretiva ePrivacy e é a lei mais abrangente em todo o mundo que trata de questões de privacidade online.

Ele impõe deveres significativos às empresas para proteger os dados pessoais dos usuários. Isso inclui uma série de obrigações para a coleta, processamento, uso e transferência de dados, bem como a implementação de medidas de segurança de dados. Mais importante ainda, exige que as empresas não rastreiem os usuários sem obter seu consentimento explícito.

Além disso, o GDPR concede aos usuários direitos em relação aos seus próprios dados pessoais que todas as empresas devem respeitar.

Qualquer empresa que faça negócios na Europa e/ou com cidadãos europeus precisa estar em conformidade com o GDPR.

O não cumprimento do GDPR resulta nas maiores multas monetárias já estabelecidas por uma lei de proteção de dados.

Por que o GDPR?

Antes do GDPR, as leis de proteção de dados estavam desatualizadas e eram inconsistentes entre os estados membros da UE. O GDPR substituiu essas inconsistências por um regulamento obrigatório para todos os estados-membros da UE.

Como resultado, as leis entre os países da UE são unificadas. Se você cumprir o GDPR, significa que está em conformidade com as leis nacionais de proteção de dados de todos os países da UE.

Dados pessoais de acordo com o GDPR

Dados pessoais são quaisquer informações relacionadas a uma pessoa física que podem ser identificadas ou são identificáveis ​​por essas informações, direta ou indiretamente.

Isso significa que:

• Qualquer informação pode ser considerado dado pessoal, desde que possam ser relacionadas a uma pessoa. Podem ser dados em formato textual, áudio ou vídeo. Pode ser nome pessoal, endereço de e-mail, endereço residencial, número de IP, número de ID, etc.
• A informação tem que ser relacionada a uma pessoa. Os dados da empresa e os dados da pessoa falecida não são dados pessoais GDPR.
• A pessoa pode ser identificada ou identificável. A pessoa é identificável se os dados forem pseudônimos ou desidentificados, mas podem ser revertidos. Por outro lado, dados irreversivelmente anônimos não são dados pessoais.
• Se a pessoa puder ser identificada indiretamente, por exemplo, combinando vários dados, isso também é um dado pessoal no GDPR. Um exemplo de identificação indireta é o comportamento de compra como dados.

Exemplos de dados pessoais incluem nome, sobrenome, endereços de e-mail como nome.sobrenome@empresa.com, endereço residencial, número do cartão de identificação, ID do cookie, Protocolo de Internet (IP).

Exemplos de dados não considerados dados pessoais incluem um número de registro da empresa, endereços de e-mail como info@empresa.com e dados anônimos.

Como comparar CCPA e GDPR?

Tanto o CCPA quanto o GDPR são leis de proteção de dados, mas os requisitos de cada um deles tendem a ser bastante diferentes.

Embora existam algumas semelhanças, principalmente em relação à transparência e aos direitos dos titulares dos dados, as duas leis diferem muito. Portanto, se você estiver em conformidade com o CCPA, isso não o tornará compatível com o GDPR e vice-versa.

Se a CCPA e o GDPR se aplicarem à sua empresa, você deve determinar o que cada um deles exige de sua empresa e agir de acordo para cumprir.

O que é a política de privacidade do GDPR

Uma política de privacidade GDPR é um documento com o qual a empresa informa o usuário sobre suas práticas de privacidade. Embora não seja explicitamente exigida pelo GDPR, a política de privacidade é a maneira mais comum de ser transparente para os usuários sobre o uso de seus dados.

Uma política de privacidade compatível com GDPR deve conter certos elementos para estar em conformidade. Esses elementos incluem:

• Sua identidade e detalhes de contato
• As categorias de dados pessoais que você processa
• Como você coleta e processa dados pessoais
• Por que você coleta e processa dados
• Detalhes sobre transferências de dados internacionais, se houver
• Direitos do titular dos dados
• Como exercer os direitos do titular dos dados
• Detalhes de contato do oficial de proteção de dados, se houver

Essas são apenas as informações mínimas necessárias que o GDPR exige que você forneça. Você pode adicionar mais, se quiser. Leia mais sobre como tornar seu site compatível com o GDPR.

Direitos do titular dos dados e DSAR

Os usuários de sites e aplicativos são chamados de titulares de dados no GDPR. O GDPR concede a eles direitos de titular dos dados. Esses direitos capacitam os usuários a proteger sua privacidade de dados contra a empresa que tem seus dados coletados.

Os direitos do titular dos dados incluem o direito a:

• Ser informado
• Acesso
• Correção
• Exclusão (direito de ser esquecido)
• Portabilidade de dados
• Restringir processamento
• Objeto de processamento
• Não estar sujeito a processamento automatizado de dados, incluindo criação de perfil.

Todas as empresas da UE devem esses direitos a todos os seus usuários. Todas as empresas fora da UE devem esses direitos a todos os seus usuários da UE.

Os usuários podem exercer seus direitos enviando solicitações de titulares de dados, incluindo solicitações DSAR. Ao verificar a identidade do usuário, você deve atender a sua solicitação e atendê-la.

A Secure Privacy fornece às empresas um centro DSAR para conformidade total com as solicitações dos titulares dos dados.

Multas e aplicação do GDPR

O GDPR prescreve as maiores penalidades do mundo relacionadas à proteção de dados. Leia mais sobre multas e restrições do GDPR em nosso post.

Cada país aponta uma autoridade administrativa independente responsável por garantir a proteção de dados pessoais. Por exemplo, na França temos a CNIL (Commission Nationale de l’informatique et des Libertés).

Transferência de dados GDPR

Leia tudo sobre a transferência de dados GDPR em nossa postagem do blog.

Transferência de dados fora da UE

A transferência de dados é o processo em que os dados pessoais fluem de uma empresa para outra ou do usuário para a empresa. Quando isso é uma transferência através das fronteiras internacionais, é uma transferência internacional de dados.

Leia tudo sobre a transferência de dados para fora da UE nesta postagem do blog.

Precisamos de um oficial de proteção de dados no GDPR?

O GDPR exige que apenas algumas das empresas designem um DPO (oficial de proteção de dados).

Você deve nomear um DPO se for uma empresa cujas atividades principais envolvam:

• As atividades principais de uma organização envolvem processamento requer monitoramento regular e sistemático de pessoas em grande escala, ou
• As atividades principais de uma organização consistem no processamento em grande escala de categorias especiais de dados ou dados relacionados a condenações criminais e infrações.

As autoridades públicas também são obrigadas a nomear um DPO em qualquer caso.

Em todos os outros casos, você não é obrigado a nomear um DPO.

Um DPO pode ser o proprietário da empresa, qualquer funcionário, um contratante independente ou uma organização para a qual você terceiriza os processos.

Precisamos de um representante do GDPR na UE?

Você precisa de um representante legal na UE se:

• Sua empresa não tem escritórios na UE e
• Você processa regularmente dados pessoais em grande escala, processa dados pessoais confidenciais ou dados relacionados a condenações criminais.

Em todos os outros casos, você não precisa nomear um representante legal na UE.

O que fazer em caso de violação

Uma violação de dados ocorre quando os dados pelos quais sua empresa/organização é responsável sofrem um incidente de segurança que resulta em uma violação de confidencialidade, disponibilidade ou integridade.

Na maioria dos casos, você precisa informar a autoridade de proteção de dados relevante. Você deve notificá-los em 72 horas após tomar conhecimento do incidente, ou mais tarde, se houver motivos razoáveis ​​para o atraso.

Se a violação representar um risco para os direitos e liberdades dos titulares dos dados cujos dados foram violados, você também deve notificar os titulares dos dados.

Em alguns casos raros, onde a violação é insignificante e não representa nenhum risco para ninguém, você pode não ter que informar ninguém.

Se sua empresa/organização for uma processadora de dados, ela deve notificar todas as violações de dados ao controlador de dados.