O Regulamento Geral de Proteção de Dados (GDPR) é uma lei da União Europeia (UE) que rege como as organizações coletam e usam dados pessoais. Qualquer empresa que opere na UE ou que lide com dados de residentes da UE deve aderir aos requisitos do GDPR.
No entanto, a conformidade com o GDPR não é necessariamente uma questão simples. A lei descreve um conjunto de direitos de privacidade de dados para os usuários e uma série de princípios para o processamento de dados pessoais. As organizações devem defender esses direitos e princípios, mas o GDPR deixa espaço para cada empresa decidir como.
Os riscos são altos, e o GDPR impõe penalidades significativas em caso de não conformidade. As violações mais graves podem levar a multas de até EUR 20.000.000 ou 4% do faturamento global mundial da organização no ano anterior. Os reguladores do GDPR também podem encerrar atividades ilícitas de processamento de dados e obrigar as organizações a fazer alterações.
A lista de verificação abaixo abrange os principais regulamentos do GDPR. A forma como uma organização cumpre esses regulamentos dependerá de suas circunstâncias únicas, incluindo os tipos de dados que coleta e como usa esses dados.
O GDPR se aplica a qualquer organização sediada no Espaço Econômico Europeu (EEE). O EEE inclui todos os 27 estados membros da UE, além da Islândia, Liechtenstein e Noruega.
O GDPR também se aplica a organizações fora do EEE se:
O GDPR não se aplica apenas a empresas que usam dados de clientes para fins comerciais. Ele se aplica a praticamente qualquer organização que processe dados de residentes do EEE para qualquer finalidade. Escolas, hospitais e órgãos governamentais estão todos sob a autoridade do GDPR.
As únicas atividades de processamento de dados isentas do GDPR são atividades de segurança nacional ou de aplicação da lei e uso puramente pessoal dos dados.
O GDPR usa uma terminologia específica. Para entender os requisitos de conformidade, as organizações devem entender o que esses termos significam nesse contexto.
O GDPR define dados pessoais como qualquer informação relacionada a um ser humano identificável. Tudo, desde endereços de e-mail até opiniões políticas, conta como dados pessoais.
O titular dos dados é o ser humano que possui os dados. Em outras palavras, é a pessoa a quem os dados se relacionam. Digamos que uma empresa colete números de telefone para enviar mensagens de marketing por SMS. Os proprietários desses números de telefone seriam titulares de dados.
Quando o GDPR se refere a titulares de dados, significa titulares de dados que residem no EEE. Os titulares não precisam ser cidadãos da UE para ter direitos de privacidade de dados de acordo com o GDPR. Eles só precisam ser residentes do EEE.
Um controlador de dados é qualquer organização, grupo ou pessoa que obtém dados pessoais e determina como eles serão usados. Voltando ao exemplo anterior, uma empresa que coleta números de telefone para fins de marketing seria um controlador.
Processamento de dados é qualquer ação realizada com dados, incluindo coleta, armazenamento ou análise. Um processador de dados é qualquer organização ou agente que realiza tais ações.
Uma empresa pode ser tanto um controlador quanto um processador, como uma empresa que coleta números de telefone e os utiliza para enviar mensagens de marketing. Os processadores também incluem terceiros que processam dados em nome dos controladores, como um serviço de armazenamento em nuvem que hospeda um banco de dados de números de telefone para outra empresa.
Autoridades supervisoras são os órgãos reguladores que impõem os requisitos do GDPR. Cada país do EEE tem sua própria autoridade supervisora.
Em um nível alto, uma organização está em conformidade com o GDPR se:
A lista de verificação a seguir detalha ainda mais esses requisitos. As etapas práticas que uma organização adota para atender a esses requisitos dependerão de sua localização, recursos e atividades de processamento de dados, entre outros fatores.
O GDPR cria um conjunto de princípios que as organizações devem seguir ao processar dados pessoais. Os princípios são os seguintes:
O GDPR define as circunstâncias em que as empresas podem processar legalmente dados pessoais. Uma organização deve estabelecer e documentar sua base legal antes de coletar quaisquer dados. A organização deve comunicar essa base aos usuários no momento da coleta de dados. Ela não pode alterar a base após o fato, a menos que tenha o consentimento do usuário para fazê-lo.
As possíveis bases legais incluem:
De acordo com o princípio de limitação de finalidade do GDPR, os controladores devem ter uma finalidade identificada e documentada para a coleta de dados. O controlador deve comunicar essa finalidade aos usuários no momento da coleta e só pode usar os dados para essa finalidade específica.
Os controladores só podem coletar a quantidade mínima de dados necessária para cumprir sua finalidade declarada.
Os controladores devem adotar medidas razoáveis para garantir que os dados pessoais que mantêm sejam precisos e atuais.
O GDPR exige políticas rígidas de retenção e exclusão de dados. As empresas só podem manter os dados até que a finalidade especificada para a coleta desses dados tenha sido cumprida e devem excluí-los quando não precisarem mais deles.
Os controladores e processadores devem aplicar proteções adicionais a determinados tipos de dados pessoais.
Os dados de categoria especial incluem dados altamente confidenciais, como raça e biometria de uma pessoa. As organizações só podem processar dados de categorias especiais em circunstâncias muito limitadas, como para evitar ameaças graves à saúde pública. As empresas também podem processar dados de categorias especiais com o consentimento explícito do titular.
Os dados de condenação criminal só podem ser controlados por autoridades públicas. Os processadores só podem processar essas informações sob a orientação de uma autoridade pública.
Os controladores devem obter o consentimento dos pais antes de processar dados de crianças. Eles devem adotar medidas razoáveis para verificar as idades dos titulares e as identidades dos pais. Ao coletar dados de crianças, os controladores devem apresentar avisos de privacidade em linguagem adequada para crianças.
Cada estado do EEE determina sua própria definição de "criança" de acordo com o GDPR. Elas variam de "qualquer pessoa com menos de 13 anos" a "qualquer pessoa com menos de 16 anos".
Organizações com mais de 250 funcionários devem manter registros do processamento de dados. Organizações com menos de 250 funcionários devem manter registros se processarem dados altamente confidenciais, processarem dados regularmente ou processarem dados de uma forma que represente um risco significativo para os titulares dos dados.
Os controladores devem documentar coisas como os dados que coletam, o que fazem com esses dados, mapas de fluxos de dados e proteções de dados. Os processadores devem documentar os controladores para os quais trabalham, os tipos de processamento que fazem para cada controlador e os controles de segurança que usam.
De acordo com o GDPR, a responsabilidade final pela conformidade recai sobre o controlador dos dados. Isso significa que o controlador deve garantir, e ser capaz de provar, que seus processadores terceirizados atendem a todos os requisitos relevantes do GDPR.
O GDPR concede aos titulares dos dados certos direitos sobre seus dados. Os controladores e processadores devem honrar esses direitos.
As organizações devem oferecer aos titulares dos dados um meio simples de fazer valer seus direitos sobre seus dados. Esses direitos incluem:
Em geral, as organizações devem responder a todas as solicitações de acesso do titular dos dados dentro de 30 dias. As empresas normalmente devem atender à solicitação de um titular, a menos que a empresa possa provar que tem um motivo legítimo e primordial para não fazê-lo.
Se uma organização rejeitar uma solicitação, deve explicar o motivo. A organização também deve informar ao titular como recorrer da decisão ao executivo de proteção de dados da empresa ou à autoridade supervisora relevante.
De acordo com o GDPR, os titulares dos dados têm o direito de não serem vinculados por processos automatizados de tomada de decisões que possam ter um impacto significativo sobre eles. Isso inclui a criação de perfis, que o GDPR define como o uso de automação para avaliar algum aspecto de uma pessoa, como prever seu desempenho no trabalho.
Se uma organização usar decisões automatizadas, ela deverá fornecer aos titulares dos dados uma maneira de contestar essas decisões. Os titulares também podem solicitar que um funcionário humano avalie todas as decisões automatizadas que os afetem.
Os controladores e processadores devem informar os titulares dos dados de forma proativa e clara sobre as atividades de processamento de dados, incluindo os dados que coletam, o que fazem com eles e como os titulares podem exercer seus direitos sobre os dados.
Essas informações normalmente devem ser comunicadas por meio de um aviso de privacidade apresentado ao titular durante a coleta dos dados. Se a empresa não coletar dados pessoais diretamente dos titulares, os avisos de privacidade deverão ser enviados aos titulares dentro de um mês. As empresas também podem incluir esses detalhes em políticas de privacidade que sejam acessíveis publicamente em seus sites.
O GDPR exige que os controladores e processadores tomem medidas para evitar o uso indevido de dados pessoais e proteger os titulares dos dados contra danos.
Controladores e processadores devem implementar medidas de segurança para proteger a confidencialidade e integridade dos dados pessoais. O GDPR não exige nenhum controle específico, mas afirma que as empresas devem adotar medidas técnicas e organizacionais.
Medidas técnicas incluem soluções de tecnologia, como plataformas de gerenciamento de acesso e identidade (IAM), backups automatizados e ferramentas de segurança de dados. Embora o GDPR não exija explicitamente a criptografia de dados, ele recomenda que as organizações usem pseudonimização e anonimização sempre que possível.
Medidas organizacionais incluem treinamento de funcionários, avaliações de riscos contínuas e outras políticas e processos de segurança. As empresas também devem seguir o princípio da proteção de dados desde o design e por padrão ao criar ou implementar novos sistemas e produtos.
Se uma empresa planeja processar dados de uma forma que represente um alto risco para os direitos dos titulares, ela deve primeiro realizar uma avaliação de impacto da proteção de dados (DPIA). Os tipos de processamento que podem desencadear uma DPIA incluem a criação automatizada de perfis e o processamento em larga escala de categorias especiais de dados pessoais, entre outros.
Uma DPIA deve descrever os dados que estão sendo usados, o processamento pretendido e a finalidade do processamento. Ela deve identificar os riscos do processamento e formas de mitigar esses riscos. Se houver risco significativo não mitigado, a organização deve consultar uma autoridade supervisora antes de prosseguir.
Uma organização deve nomear um executivo de proteção de dados (DPO) se monitorar titulares em grande escala ou processar dados de categoria especial como atividade principal. Todas as autoridades públicas também devem nomear DPOs.
O DPO é responsável por garantir que a organização permaneça em conformidade com o GDPR. As principais funções incluem a coordenação com autoridades de proteção de dados, aconselhando a organização sobre os requisitos do GDPR e supervisionando DPIAs.
O DPO deve ser um executivo independente que se reporte diretamente ao mais alto nível da administração. A organização não pode retaliar o DPO pelo desempenho de suas funções.
As organizações devem relatar a maioria das violações de dados pessoais à autoridade supervisora relevante dentro de 72 horas. Se a violação representar um risco aos titulares dos dados, a organização também deverá notificá-los. As organizações devem notificar os titulares diretamente, a menos que a comunicação direta não seja razoável, caso em que um aviso público é aceitável.
Os processadores que sofrerem uma violação devem notificar os controladores relevantes sem demora injustificada.
Qualquer empresa fora do EEE que processe regularmente dados de residentes do EEE ou processe dados particularmente confidenciais deve nomear um representante dentro do EEE. O representante coordena com as autoridades governamentais em nome da empresa e atua como ponto de contato para questões de conformidade com o GDPR.
O GDPR define regras sobre como as organizações compartilham dados pessoais com outras empresas dentro e fora do EEE.
Um controlador pode compartilhar dados pessoais com processadores e outros terceiros, mas essas relações devem ser regidas por acordos formais de processamento de dados. Esses acordos devem descrever os direitos e responsabilidades de todas as partes em relação ao GDPR.
Os processadores terceirizados só podem processar dados de acordo com as instruções do controlador. Eles não podem usar os dados de um controlador para seus próprios fins. Um processador deve obter aprovação do controlador antes de compartilhar dados com um subprocessador.
Um controlador só pode compartilhar dados com terceiros localizados fora do EEE se a transferência de dados atender a pelo menos um dos seguintes critérios:
A conformidade com o GDPR é um processo contínuo, e os requisitos de uma organização podem mudar à medida que ela coleta novos dados e se envolve em novos tipos de atividades de processamento.
Soluções de segurança e conformidade de dados como o IBM Security Guardium podem ajudar a simplificar o processo de alcançar e manter a conformidade com o GDPR. O Guardium pode descobrir automaticamente dados regulamentados pelo GDPR, impor regras de conformidade para esses dados, monitorar o uso de dados e capacitar as organizações a responder a ameaças à segurança de dados.
Explore as soluções de proteção e segurança de dados
Saiba mais sobre o pacote de produtos de segurança e conformidade de dados da IBM.