O que é GDPR?
O GDPR (Regulamento Geral de Proteção de Dados) da União Europeia é a lei de proteção de dados da União Europeia.
Quando entrou em vigor em 2018, foi a mudança mais significativa na proteção de dados em décadas desde a Diretiva ePrivacy e é a lei mais abrangente em todo o mundo que trata de questões de privacidade online.
Ele impõe deveres significativos às empresas para proteger os dados pessoais dos usuários. Isso inclui uma série de obrigações para a coleta, processamento, uso e transferência de dados, bem como a implementação de medidas de segurança de dados. Mais importante ainda, exige que as empresas não rastreiem os usuários sem obter seu consentimento explícito.
Além disso, o GDPR concede aos usuários direitos em relação aos seus próprios dados pessoais que todas as empresas devem respeitar.
Qualquer empresa que faça negócios na Europa e/ou com cidadãos europeus precisa estar em conformidade com o GDPR.
O não cumprimento do GDPR resulta nas maiores multas monetárias já estabelecidas por uma lei de proteção de dados.
Por que o GDPR?
Antes do GDPR, as leis de proteção de dados estavam desatualizadas e eram inconsistentes entre os estados membros da UE. O GDPR substituiu essas inconsistências por um regulamento obrigatório para todos os estados-membros da UE.
Como resultado, as leis entre os países da UE são unificadas. Se você cumprir o GDPR, significa que está em conformidade com as leis nacionais de proteção de dados de todos os países da UE.
Dados pessoais de acordo com o GDPR
Dados pessoais são quaisquer informações relacionadas a uma pessoa física que podem ser identificadas ou são identificáveis por essas informações, direta ou indiretamente.
Isso significa que:
- Qualquer informação pode ser considerado dado pessoal, desde que possam ser relacionadas a uma pessoa. Podem ser dados em formato textual, áudio ou vídeo. Pode ser nome pessoal, endereço de e-mail, endereço residencial, número de IP, número de ID, etc.
- A informação tem que ser relacionada a uma pessoa. Os dados da empresa e os dados da pessoa falecida não são dados pessoais GDPR.
- A pessoa pode ser identificada ou identificável. A pessoa é identificável se os dados forem pseudônimos ou desidentificados, mas podem ser revertidos. Por outro lado, dados irreversivelmente anônimos não são dados pessoais.
- Se a pessoa puder ser identificada indiretamente, por exemplo, combinando vários dados, isso também é um dado pessoal no GDPR. Um exemplo de identificação indireta é o comportamento de compra como dados.
Exemplos de dados pessoais incluem nome, sobrenome, endereços de e-mail como nome.sobrenome@empresa.com, endereço residencial, número do cartão de identificação, ID do cookie, Protocolo de Internet (IP).
Exemplos de dados não considerados dados pessoais incluem um número de registro da empresa, endereços de e-mail como info@empresa.com e dados anônimos.
Como comparar CCPA e GDPR?
Tanto o CCPA quanto o GDPR são leis de proteção de dados, mas os requisitos de cada um deles tendem a ser bastante diferentes.
Embora existam algumas semelhanças, principalmente em relação à transparência e aos direitos dos titulares dos dados, as duas leis diferem muito. Portanto, se você estiver em conformidade com o CCPA, isso não o tornará compatível com o GDPR e vice-versa.
Se a CCPA e o GDPR se aplicarem à sua empresa, você deve determinar o que cada um deles exige de sua empresa e agir de acordo para cumprir.
O que é a política de privacidade do GDPR
Uma política de privacidade GDPR é um documento com o qual a empresa informa o usuário sobre suas práticas de privacidade. Embora não seja explicitamente exigida pelo GDPR, a política de privacidade é a maneira mais comum de ser transparente para os usuários sobre o uso de seus dados.
Uma política de privacidade compatível com GDPR deve conter certos elementos para estar em conformidade. Esses elementos incluem:
- Sua identidade e detalhes de contato
- As categorias de dados pessoais que você processa
- Como você coleta e processa dados pessoais
- Por que você coleta e processa dados
- Detalhes sobre transferências de dados internacionais, se houver
- Direitos do titular dos dados
- Como exercer os direitos do titular dos dados
- Detalhes de contato do oficial de proteção de dados, se houver
Essas são apenas as informações mínimas necessárias que o GDPR exige que você forneça. Você pode adicionar mais, se quiser. Leia mais sobre como tornar seu site compatível com o GDPR.
Direitos do titular dos dados e DSAR
Os usuários de sites e aplicativos são chamados de titulares de dados no GDPR. O GDPR concede a eles direitos de titular dos dados. Esses direitos capacitam os usuários a proteger sua privacidade de dados contra a empresa que tem seus dados coletados.
Os direitos do titular dos dados incluem o direito a:
- Ser informado
- Acesso
- Correção
- Exclusão (direito de ser esquecido)
- Portabilidade de dados
- Restringir processamento
- Objeto de processamento
- Não estar sujeito a processamento automatizado de dados, incluindo criação de perfil.
Todas as empresas da UE devem esses direitos a todos os seus usuários. Todas as empresas fora da UE devem esses direitos a todos os seus usuários da UE.
Os usuários podem exercer seus direitos enviando solicitações de titulares de dados, incluindo solicitações DSAR. Ao verificar a identidade do usuário, você deve atender a sua solicitação e atendê-la.
A Secure Privacy fornece às empresas um centro DSAR para conformidade total com as solicitações dos titulares dos dados.
Multas e aplicação do GDPR
O GDPR prescreve as maiores penalidades do mundo relacionadas à proteção de dados. Leia mais sobre multas e restrições do GDPR em nosso post.
Cada país aponta uma autoridade administrativa independente responsável por garantir a proteção de dados pessoais. Por exemplo, na França temos a CNIL (Commission Nationale de l’informatique et des Libertés).
Transferência de dados GDPR
Leia tudo sobre a transferência de dados GDPR em nossa postagem do blog.
Transferência de dados fora da UE
A transferência de dados é o processo em que os dados pessoais fluem de uma empresa para outra ou do usuário para a empresa. Quando isso é uma transferência através das fronteiras internacionais, é uma transferência internacional de dados.
Leia tudo sobre a transferência de dados para fora da UE nesta postagem do blog.
Precisamos de um oficial de proteção de dados no GDPR?
O GDPR exige que apenas algumas das empresas designem um DPO (oficial de proteção de dados).
Você deve nomear um DPO se for uma empresa cujas atividades principais envolvam:
- As atividades principais de uma organização envolvem processamento requer monitoramento regular e sistemático de pessoas em grande escala, ou
- As atividades principais de uma organização consistem no processamento em grande escala de categorias especiais de dados ou dados relacionados a condenações criminais e infrações.
As autoridades públicas também são obrigadas a nomear um DPO em qualquer caso.
Em todos os outros casos, você não é obrigado a nomear um DPO.
Um DPO pode ser o proprietário da empresa, qualquer funcionário, um contratante independente ou uma organização para a qual você terceiriza os processos.
Precisamos de um representante do GDPR na UE?
Você precisa de um representante legal na UE se:
- Sua empresa não tem escritórios na UE e
- Você processa regularmente dados pessoais em grande escala, processa dados pessoais confidenciais ou dados relacionados a condenações criminais.
Em todos os outros casos, você não precisa nomear um representante legal na UE.
O que fazer em caso de violação
Uma violação de dados ocorre quando os dados pelos quais sua empresa/organização é responsável sofrem um incidente de segurança que resulta em uma violação de confidencialidade, disponibilidade ou integridade.
Na maioria dos casos, você precisa informar a autoridade de proteção de dados relevante. Você deve notificá-los em 72 horas após tomar conhecimento do incidente, ou mais tarde, se houver motivos razoáveis para o atraso.
Se a violação representar um risco para os direitos e liberdades dos titulares dos dados cujos dados foram violados, você também deve notificar os titulares dos dados.
Em alguns casos raros, onde a violação é insignificante e não representa nenhum risco para ninguém, você pode não ter que informar ninguém.
Se sua empresa/organização for uma processadora de dados, ela deve notificar todas as violações de dados ao controlador de dados.
