O Regulamento Geral de Proteção de Dados, ou GDPR, é uma lei da União Europeia (UE) que rege como as organizações dentro e fora da UE lidam com os dados pessoais de residentes da UE. O GDPR foi adotado pelo Parlamento Europeu e pelo Conselho da UE em 2016 e entrou em vigor em 25 de maio de 2018.
Especificamente, o GDPR
- define formas legalmente aprovadas de transferir e processar dados pessoais;
- detalha como as organizações devem proteger os dados pessoais em repouso e em trânsito; e
- estabelece os direitos dos residentes da UE sobre coleta, uso e posse de dados pessoais.
O GDPR define dados pessoais como qualquer informação relacionada a um ser humano identificável, incluindo identificadores diretos e indiretos. Identificadores diretos são os pontos de dados exclusivos de uma pessoa , como seu nome ou número de cartão de crédito. Os identificadores indiretos incluem características não exclusivas que ainda podem identificar uma pessoa, como características físicas e datas de nascimento.
No jargão do GDPR, um titular de dados é a pessoa sobre a qual um dado se refere. Por exemplo, se uma empresa coleta endereços de e-mail, os proprietários desses endereços seriam os titulares dos dados.
Embora o GDPR seja uma lei europeia, ela tem alcance global. Ela se aplica a qualquer organização em qualquer lugar que colete ou use os dados pessoais de residentes da UE.
Para ajudar as organizações a cumprir os requisitos do GDPR, a IBM está aprimorando o seu compromisso contínuo com a privacidade de dados desde a concepção. A IBM está trabalhando para incorporar princípios de proteção de dados com ainda mais profundidade em seus processos de negócios. Esse trabalho também fortalece as proteções existentes para limitar o acesso a dados pessoais, incluindo aplicações para dispositivos móveis que impedem o compartilhamento de dados pessoais por padrão.
Como parte desse esforço, muitas ofertas e serviços da IBM Cloud têm a certificação do Código de Conduta de Nuvem da União Europeia (CdC de Nuvem da UE) (link fora de ibm.com). Os requisitos do CdC de Nuvem da UE fornecem uma estrutura para provedores de serviços de nuvem (CSPs) para demonstrar sua capacidade de conformidade com o GDPR. Para obter mais informações sobre as ofertas e serviços específicos da IBM Cloud que obtiveram a certificação CdC de Nuvem da UE, acesse a nossa página do CdC de Nuvem da UE ou leia a nossa Verificação da Declaração de Adesão (link fora de ibm.com).
Para obter mais informações sobre segurança e privacidade da IBM, acesse o IBM Trust Center.
Para obter mais informações sobre os Termos Contratuais de Privacidade de Dados da IBM, consulte-os em Termos da IBM, em Proteção de Dados.
No caso de dúvidas relacionadas à privacidade de dados, entre em contato com a equipe de privacidade da IBM diretamente em chiefprivacyoffice@ca.ibm.com.
As normas e princípios de processamento de dados do GDPR se aplicam a todos os controladores e processadores de dados ativos no EEE, que incluem todos os 27 estados-membro da UE mais Islândia, Liechtenstein e Noruega.
Um controlador de dados (controlador) é qualquer organização, autoridade pública ou outro grupo ou pessoa que coleta dados pessoais e determina como são usados. Por exemplo, um site de rede social que mantém bancos de dados sobre seus usuários seria um controlador.
Um processador de dados (processador) é qualquer organização que age sobre dados pessoais de alguma forma, como analisar, armazenar ou alterar esses dados. Uma empresa pode ser tanto controladora quanto processadora. Os processadores também podem ser organizações de terceiros que processam dados em nome de um controlador, como um provedor de serviços de nuvem que oferece armazenamento de dados e funções de análise de dados.
Todos os controladores e processadores localizados no EEE estão vinculados ao GDPR, mesmo que armazenem e processem dados fora do EEE.
Uma empresa sediada fora do EEE estará vinculada ao GDPR se qualquer uma das seguintes condições se aplicar:
- A empresa oferece regularmente produtos e serviços aos residentes do EEE, mesmo que nenhum dinheiro mude de mãos.
- A empresa monitora regularmente a atividade dos residentes do EEE, como o uso de cookies de rastreamento.
- A empresa processa dados em nome de controladores sediados no EEE.
As únicas atividades de processamento de dados isentas do GDPR são atividades de segurança nacional ou de aplicação da lei e uso puramente pessoal dos dados.
O GDPR define vários princípios que os controladores e processadores devem seguir ao processar dados pessoais. Em termos gerais, esses princípios afirmam que todas as atividades de processamento devem ser claramente definidas, transparentes e justas.
De acordo com o princípio da limitação de finalidade, as empresas devem ter em mente uma finalidade específica e legal para todos os dados coletados. Elas devem transmitir essa finalidade aos usuários e coletar apenas a quantidade mínima de dados necessária para essa finalidade.
As empresas devem usar os dados de forma justa. Elas devem manter os usuários informados sobre o processamento de dados pessoais e seguir as normas de proteção de dados. De acordo com o princípio da limitação de armazenamento, uma empresa só deve manter os dados pessoais até que sua finalidade seja cumprida. Os dados devem ser excluídos assim que não forem mais necessários.
O GDPR define as bases legais que as empresas podem usar para processar dados pessoais. Pelo menos uma dessas condições deve ser atendida, caso contrário, o processamento é ilegal.
O titular dos dados autoriza o processamento dos dados. As empresas podem processar os dados de uma pessoa se consentirem. O consentimento só é válido se for informado, afirmativo e voluntário.
Para que o consentimento seja informado, a empresa deve explicar claramente o que coleta e como usará esses dados. Para que o consentimento seja afirmativo, o usuário deve adotar medidas intencionais para mostrar seu consentimento, como assinar uma declaração ou marcar uma caixa. O consentimento não pode ser a opção padrão, então coisas como caixas pré-marcadas violam o GDPR. Para que o consentimento seja voluntário, a empresa não pode influenciar ou coagir o titular de qualquer forma. A empresa não pode exigir consentimento para usar um serviço, a menos que o processamento seja necessário para o serviço funcionar. Por exemplo, uma empresa pode precisar do número do cartão de crédito de uma pessoa para vender para ela, mas provavelmente não precisa do endereço IP dela.
A empresa não pode agrupar autorizações se os dados estiverem sendo processados para vários fins. O titular deve poder aceitar ou rejeitar cada atividade de processamento individualmente. As organizações devem manter registros de consentimento. Os titulares podem retirar seu consentimento a qualquer momento. Se o fizerem, o processamento deverá ser interrompido.
Os dados devem ser processados para celebrar um contrato com o titular dos dados ou em nome do titular. Por exemplo, se alguém solicitar um empréstimo, o banco pode precisar processar seus dados financeiros e histórico profissional.
O controlador tem a obrigação legal de processar os dados. Por exemplo, algumas regulamentações de saúde exigem que os hospitais mantenham os dados do paciente arquivados.
Os dados devem ser processados para proteger os interesses vitais do titular ou de outra pessoa. Isso se refere a situações em que os dados devem ser processados para salvar a vida de uma pessoa ou evitar danos.
Os dados devem ser processados para realizar uma tarefa de interesse público ou parte da autoridade oficial do controlador. O jornalismo é um exemplo clássico de uma razão de interesse público para o processamento de dados pessoais. As agências governamentais podem processar dados pessoais para exercer suas funções oficiais.
Os dados devem ser processados para atender a um interesse legítimo do controlador ou de um terceiro. Um interesse legítimo é um benefício que uma empresa pode obter por meio do processamento de dados. Os exemplos incluem a verificação de antecedentes de funcionários ou o rastreamento de endereços IP em uma rede corporativa para fins de cibersegurança. O processamento deve ser necessário para contar como um interesse legítimo. Uma empresa não pode alegar um interesse legítimo se puder realizar a tarefa sem os dados em questão. Os titulares dos dados também devem esperar razoavelmente o processamento. Se os titulares ficarem surpresos ao saber que seus dados estão sendo usados de determinada maneira, a empresa provavelmente não tem motivos de interesse legítimo. Os direitos dos titulares dos dados geralmente prevalecem sobre os interesses legítimos de uma empresa.
As organizações devem estabelecer e documentar suas bases antes de coletar dados. Elas devem comunicar essas bases aos usuários. As empresas não podem alterar suas bases após o fato sem o consentimento do titular.
O GDPR considera alguns tipos de dados especialmente sensíveis. Estas categorias especiais incluem informações sobre a raça ou etnia, crenças religiosas, opiniões políticas e dados biométricos de uma pessoa, entre outras coisas.
As empresas só podem processar dados de categorias especiais em circunstâncias muito específicas. Isso inclui, entre outras:
O titular concedeu consentimento explícito.
O processamento é necessário para pesquisas científicas ou históricas.
Os dados sobre condenações criminais só podem ser controlados pelas autoridades oficiais e processados sob sua orientação.
Além de seguir os princípios de processamento e estabelecer uma base legal para todas as atividades de processamento, as organizações devem seguir algumas outras regras para estarem em conformidade com o GDPR.
Se uma empresa quiser processar dados de uma forma que represente um risco significativo para os titulares de dados, ela deve primeiro realizar uma avaliação de impacto à proteção de dados. Situações que podem desencadear uma avaliação podem incluir qualquer processamento automatizado ou qualquer processamento em grande escala de dados confidenciais.
A avaliação deve descrever o processamento, explicar por que é necessário, avaliar os riscos e analisar formas de mitigá-los. Se a avaliação demonstrar que existe um risco significativo não mitigado, a empresa deve consultar a autoridade de proteção de dados competente antes de avançar.
De acordo com o GDPR, algumas empresas devem nomear responsáveis pela proteção de dados (DPOs). O DPO é um diretor corporativo independente responsável pela conformidade com o GDPR. As empresas não podem retaliar um DPO pelo cumprimento das suas funções.
As responsabilidades do DPO incluem aconselhar as organizações sobre o GDPR e outras leis de proteção de dados, supervisionar as avaliações de impacto da proteção de dados e atuar como ponto de contato para reguladores governamentais e titulares de dados.
Todas as autoridades públicas devem nomear DPOs. As empresas privadas devem nomear DPOs se monitorarem os titulares de dados em grande escala ou processarem dados de categoria especial como atividade principal. Além disso, empresas fora da Europa devem designar representantes dentro do EEE se processarem regularmente os dados dos residentes do EEE ou dados particularmente confidenciais.
Os controladores de dados são responsáveis por todos os dados compartilhados com processadores e terceiros. Controladores e processadores muitas vezes celebram acordos formais de processamento de dados para cumprir o GDPR. Esses contratos vinculativos descrevem detalhes como os tipos de processamento que um processador pode fazer e os tipos de medidas de segurança que ele deve empregar.
Os processadores terceirizados só podem processar dados sob a direção do controlador. Eles não podem usar os dados de um controlador para seus próprios fins.
Os controladores no EEE só podem transferir dados para processadores nos chamados "países terceiros" fora do EEE em determinadas condições. Eles podem transferir dados livremente para qualquer país terceiro que a Comissão Europeia considere ter leis de privacidade de dados adequadas. Os controladores também podem transferir dados para processadores individuais cujas proteções a Comissão considere suficientes. Se nem o país nem o processador tiverem a aprovação da Comissão, a transferência ainda poderá ser permitida se o controlador puder garantir que os dados serão protegidos.
Os controladores e processadores devem implementar medidas de segurança organizacionais e técnicas para a proteção de dados pessoais.
As medidas organizacionais incluem processos como treinamento de funcionários sobre as normas do GDPR e implementação de políticas formais de governança de dados.
Os controles técnicos de segurança incluem software, hardware e outras ferramentas tecnológicas. Por exemplo, a criptografia e outras técnicas de pseudonimização podem dificultar a interceptação de dados pessoais por hackers. Por exemplo:
- O gerenciamento de acesso e identidade, a prevenção de perda de dados e outras ferramentas de segurança de dados podem impor permissões para que somente as pessoas certas possam acessar dados pessoais pelos motivos certos. As soluçõesde backup de dados podem restaurar dados danificados ou excluídos.
- As plataformas de gerenciamento de eventos e informações de segurança (SIEM) podem rastrear a atividade da rede e detectar violação de dados ou uso indevido, permitindo que a organização responda a incidentes mais rapidamente.
- Embora a simples presença de vulnerabilidades na rede possa não violar o GDPR, elas podem levar a violações, pois facilitam o acesso dos hackers aos dados protegidos. As soluções de gerenciamentodevulnerabilidades e de superfície de ataque podem ajudar as empresas a encontrar e fechar essas vulnerabilidades.
O GDPR orienta as empresas a adotarem o princípio da proteção de dados desde a concepção e por padrão. Em outras palavras, as organizações devem tornar a segurança dos dados um fator fundamental em todos os processos, produtos e sistemas que projetam ou implementam. Os princípios de proteção de dados devem ser a base de tudo o que a empresa faz, em vez de serem acrescentados como uma reflexão posterior.
Os controladores devem relatar a maioria das violações de dados pessoais a uma autoridade de controle no prazo de 72 horas. Se uma violação representar riscos para os titulares dos dados, como roubo monetário ou de identidade, a empresa deverá notificar os titulares afetados.
As notificações de violação devem ser enviadas diretamente às vítimas. Um anúncio público não é suficiente, a menos que a comunicação direta não seja razoável. As notificações devem incluir detalhes sobre os tipos de dados roubados, os riscos para os indivíduos e como a empresa está lidando com a situação. A notificação também deve informar aos titulares como entrar em contato com o DPO ou outro representante em caso de dúvidas. A empresa não precisa notificar os titulares se for improvável que uma violação represente um risco real para eles. Por exemplo, a notificação não é necessária se os dados roubados forem altamente criptografados e inutilizáveis para os hackers.
O GDPR estabelece uma série de direitos para os titulares de dados em sua jurisdição.
Os titulares dos dados têm o direito de saber quem tem seus dados, como os obtiveram e o que estão fazendo com eles.
Os titulares de dados têm o direito de acessar qualquer um de seus dados.
Os titulares de dados têm o direito de corrigir dados pessoais imprecisos ou desatualizados.
Às vezes chamado de "direito ao esquecimento", isso se refere ao direito de um titular de pedir às empresas que excluam seus dados. As empresas devem cumprir, a menos que seu interesse nos dados (por exemplo, uma obrigação legal de manter determinados registros) supere esse direito.
Se um titular acreditar que seus dados são imprecisos, usados ilegalmente ou não são mais necessários para a finalidade da empresa, ele poderá solicitar à empresa que limite o uso de seus dados. A empresa deve estar em conformidade, a menos que possa provar que tem um interesse superior no processamento dos dados.
Os titulares têm o direito de migrar seus dados de uma empresa para outra. As empresas devem facilitar a transferência de dados pessoais armazenando dados em formato compartilhável ou enviando-os a terceiros a pedido do titular.
Os titulares de dados podem se opor ao processamento de seus dados a qualquer momento. A empresa deve interromper o processamento a menos e até que possa provar que tem motivos legítimos e predominantes para fazê-lo.
O GDPR define o perfil como o uso de processamento automatizado para avaliar algum aspecto de uma pessoa, como prever seu desempenho no trabalho ou comportamento de navegação na web. As empresas não podem usar o processamento automatizado para tomar decisões significativas sem o consentimento das pessoas afetadas. Os titulares têm o direito de contestar as decisões tomadas com base exclusiva no processamento automatizado. Eles podem oferecer informações sobre a decisão e exigir que a empresa nomeie um funcionário humano para analisar a decisão.
O GDPR é aplicado por órgãos reguladores públicos chamados de autoridades de proteção de dados (DPAs), também conhecidos como autoridades de fiscalização. Cada estado-membro tem sua própria DPA, que tem jurisdição sobre as empresas sediadas naquele estado. As autoridades de fiscalização podem auditar empresas, ouvir reclamações de titulares de dados e investigar violações. Se uma possível violação diz respeito a titulares de vários estados, a investigação é conduzida pela autoridade de fiscalização no estado onde a empresa ou seu representante está sediado.
Em caso de não conformidade, as autoridades de fiscalização podem emitir multas e obrigar as organizações a fazer alterações específicas. Elas podem forçar as empresas a honrar as solicitações dos titulares de dados e encerrar atividades de processamento de dados ilícitas.
O Comitê Europeu para a Proteção de Dados (EDPB) facilita a coordenação entre os DPAs e garante a aplicação consistente das normas do GDPR em todo o EEE.
As multas por não conformidade podem ser substanciais. Infrações leves, como o processamento de dados de uma criança sem o consentimento dos pais, podem resultar em multas de até 10 milhões de euros ou 2% da receita mundial da organização no ano anterior, o valor que for maior.
Infrações graves, como o processamento de dados para fins ilícitos, podem resultar em multas de até 20 milhões de euros ou 4% da receita mundial da organização no ano anterior, o que for maior.
Proteja os dados importantes e simplifique os fluxos de trabalho de conformidade. O Guardium Insights fortalece a segurança dos dados com recursos robustos que ajudam a descobrir dados obscuros, proteger informações confidenciais, fornecer visibilidade central em nuvens híbridas e automatizar a aplicação de políticas de conformidade.
Crie uma infraestrutura segura e escalável a um custo mais baixo. Implemente novas aplicações instantaneamente e dimensione cargas de trabalho confidenciais e de missão crítica com base na demanda, tudo dentro de uma plataforma segura.
Prepare-se melhor para conter as violações entendendo as causas e os fatores que aumentam ou reduzem os custos que elas geram. Aprenda com as experiências de mais de 550 organizações que tiveram seus dados violados.
PII é qualquer informação que possa ser usada para descobrir a identidade dessa pessoa, como número de contribuinte, nome completo ou endereço de e-mail.
A jornada começa com uma estrutura de governança de dados multimodal, sustentada por uma framework de dados robusta, como a malha de dados.