Regulamento geral de proteção de dados: você sabe o que é?

O Regulamento Geral de Proteção de Dados (GDPR em inglês) é um abrangente conjunto de regras de proteção à privacidade que entrará em vigor no dia 25 de maio, e que todo executivo de uma organização (CEO, CFO, CIO, CTO, CISO) precisa conhecer e avaliar o impacto em seu ambiente.

Em elaboração desde 2015, o GDPR é um marco no tratamento da informação e é visto como a iniciativa mais rigorosa da União Europeia para proteção dos dados dos cidadãos dos países-membros, e que afetará empresas de todo o mundo que coletam, processam e armazenam dados de usuários do bloco. Todas essas empresas (não importa a nacionalidade ou localização) precisarão se adequar às novas regras, do contrário, poderão receber sanções severas (a não conformidade pode resultar em multas de até € 20 milhões ou 4% da receita da empresa, o que for maior).

Entre as obrigações que as empresas deverão seguir estão: permitir que os usuários escolham como seus dados serão tratados, permitir o acesso e a solicitação à exclusão de informações pessoais, saber quais dados estão sendo coletados, desaprovar o seu uso para determinados fins e obter cópia de tudo o que foi armazenado.

Outras obrigações incluem notificação das autoridades de supervisão em até 72 horas em caso de violação de dados, notificação dos indivíduos impactados caso existam riscos para seus direitos e liberdades (como roubo de identidade, segurança pessoal, etc.), além da aplicação da privacidade por design, conceito no qual a proteção dos dados deve ser considerada desde o início do projeto de um processo, sistema ou tecnologia. Também é necessário que a empresa tenha em seus controles uma Avaliação de Impacto na Proteção de Dados Pessoais (DPIA), onde os executivos saibam dos possíveis impactos de vulnerabilidades e tratamento não adequado dos dados pessoais.

Além dos dados tradicionais de privacidade como números de documentos, data de nascimento, endereço residencial e número de telefone, o GDPR vai além e protege dados de localização, fotos, endereços IPs, comportamento on-line (como cookies) e quaisquer fatores relativos à identidade física, fisiológica, genética, mental, econômica, cultural ou social de uma pessoa, assim como dados que revelam a origem racial ou étnica, opiniões políticas, crenças filosóficas ou filiação sindical, bem como todas as informações relacionadas à saúde.

Os indivíduos passam a controlar como seus dados pessoais são coletados, processados e armazenados, obtendo direitos de privacidade individual como:

Direito de acesso

Uma organização deve permitir que os indivíduos tenham informações sobre, além de poderem acessar, quaisquer dados pessoais pertencentes a eles;

Direito de retificação

Os indivíduos podem corrigir dados incorretos ou incompletos sobre eles;

Direito de ser esquecido

Talvez uma das maiores novidades. As organizações devem apagar todos os dados pessoais que armazenam se um indivíduo assim desejar;

Direito a restrição de processamento

Em determinadas condições, um indivíduo pode restringir uma organização de processar seus dados pessoais;

Direito a portabilidade de dados

Os indivíduos podem solicitar seus dados pessoais e transferi-los para outra organização;

Direito de objeção

As pessoas podem se opor a ter seus dados pessoais processados de determinada maneira. Por exemplo, uma pessoa pode impedir que os profissionais de marketing utilizem suas informações;

Direito de não estar sujeito à tomada de decisões automatizadas

Os indivíduos devem fornecer consentimento explícito para estarem sujeitos a decisões tomadas pelo processamento automático de um sistema.

O modo de coleta padrão deve ser mínimo, contendo apenas os dados pessoais necessários para uma finalidade específica, descartando os mesmos, caso não exista necessidade de utilização futura (como uma compra pontual de um eletrodoméstico numa loja). Também, qualquer dado pessoal para ser coletado e utilizado precisa ter formalmente o consentimento do indivíduo e, no caso de menores de 16 anos de idade, o consentimento dos pais ou responsáveis.

A nomeação de um DPO (Data Protection Officer) é obrigatória para as empresas públicas, empresas envolvidas no processamento de alto risco e empresas processando categorias especiais de dados. Para empresas maiores, o profissional precisa ser dedicado, já em empresas menores, pode ser compartilhado.

As tarefas de um DPO são:

• Informar e aconselhar a organização de suas obrigações;
• Monitorar a conformidade, incluindo conscientização, treinamento de equipe e auditorias;
• Cooperar com as autoridades de proteção de dados e atuar como um ponto de contato.

Caso ocorra um incidente, a empresa precisará demonstrar evidências que trata os dados de maneira segura e de acordo com o regulamento, como por exemplo aplicando criptografia aos dados sensíveis (transmissão e armazenamento), gerenciando cópias de segurança, além de manter registros de todas as atividades de processamento.

Os procedimentos de Segurança da Informação são a base para o cumprimento dos controles definidos pelo GDPR e para a adequada proteção dos dados pessoais e corporativos.

Quer saber mais sobre segurança da informação de sua empresa? Acesse nosso infográfico 5 problemas gerados por vazamento de daos