Lista de verificação de conformidade com o GDPR
22 de janeiro de 2024
9 minutos de leitura

O Regulamento Geral de Proteção de Dados (GDPR) é uma lei da União Europeia (UE) que rege como as organizações coletam e usam dados pessoais. Qualquer empresa que opere na UE ou que lide com dados de residentes da UE deve aderir aos requisitos do GDPR.

No entanto, a conformidade com o GDPR não é necessariamente uma questão simples. A lei descreve um conjunto de direitos de privacidade de dados para os usuários e uma série de princípios para o processamento de dados pessoais. As organizações devem defender esses direitos e princípios, mas o GDPR deixa espaço para cada empresa decidir como.

Os riscos são altos, e o GDPR impõe penalidades significativas em caso de não conformidade. As violações mais graves podem levar a multas de até EUR 20.000.000 ou 4% do faturamento global mundial da organização no ano anterior. Os reguladores do GDPR também podem encerrar atividades ilícitas de processamento de dados e obrigar as organizações a fazer alterações.

A lista de verificação abaixo abrange os principais regulamentos do GDPR. A forma como uma organização cumpre esses regulamentos dependerá de suas circunstâncias únicas, incluindo os tipos de dados que coleta e como usa esses dados.

Noções básicas do GDPR

O GDPR se aplica a qualquer organização sediada no Espaço Econômico Europeu (EEE). O EEE inclui todos os 27 estados membros da UE, além da Islândia, Liechtenstein e Noruega.

O GDPR também se aplica a organizações fora do EEE se:

  • A empresa oferece regularmente produtos ou serviços aos residentes do EEE, mesmo que nenhum dinheiro seja trocado.
  • A empresa monitora regularmente a atividade dos residentes do EEE, como o uso de cookies de rastreamento.
  • A empresa processa dados em nome de uma empresa sediada no EEE.

O GDPR não se aplica apenas a empresas que usam dados de clientes para fins comerciais. Ele se aplica a praticamente qualquer organização que processe dados de residentes do EEE para qualquer finalidade. Escolas, hospitais e órgãos governamentais estão todos sob a autoridade do GDPR.

As únicas atividades de processamento de dados isentas do GDPR são atividades de segurança nacional ou de aplicação da lei e uso puramente pessoal dos dados.

Definições úteis

O GDPR usa uma terminologia específica. Para entender os requisitos de conformidade, as organizações devem entender o que esses termos significam nesse contexto.

O GDPR define dados pessoais como qualquer informação relacionada a um ser humano identificável. Tudo, desde endereços de e-mail até opiniões políticas, conta como dados pessoais.

O titular dos dados é o ser humano que possui os dados. Em outras palavras, é a pessoa a quem os dados se relacionam. Digamos que uma empresa colete números de telefone para enviar mensagens de marketing por SMS. Os proprietários desses números de telefone seriam titulares de dados.

Quando o GDPR se refere a titulares de dados, significa titulares de dados que residem no EEE. Os titulares não precisam ser cidadãos da UE para ter direitos de privacidade de dados de acordo com o GDPR. Eles só precisam ser residentes do EEE.

Um controlador de dados é qualquer organização, grupo ou pessoa que obtém dados pessoais e determina como eles serão usados. Voltando ao exemplo anterior, uma empresa que coleta números de telefone para fins de marketing seria um controlador.

Processamento de dados é qualquer ação realizada com dados, incluindo coleta, armazenamento ou análise. Um processador de dados é qualquer organização ou agente que realiza tais ações.

Uma empresa pode ser tanto um controlador quanto um processador, como uma empresa que coleta números de telefone e os utiliza para enviar mensagens de marketing. Os processadores também incluem terceiros que processam dados em nome dos controladores, como um serviço de armazenamento em nuvem que hospeda um banco de dados de números de telefone para outra empresa.

Autoridades supervisoras são os órgãos reguladores que impõem os requisitos do GDPR. Cada país do EEE tem sua própria autoridade supervisora.

A lista de verificação de conformidade com o GDPR

Em um nível alto, uma organização está em conformidade com o GDPR se:

  • Adere aos princípios de processamento de dados
  • Mantém os direitos dos titulares de dados
  • Aplica medidas apropriadas de segurança de dados
  • Segue as regras para transferências de dados e compartilhamento de dados

A lista de verificação a seguir detalha ainda mais esses requisitos. As etapas práticas que uma organização adota para atender a esses requisitos dependerão de sua localização, recursos e atividades de processamento de dados, entre outros fatores.

Princípios de processamento de dados

O GDPR cria um conjunto de princípios que as organizações devem seguir ao processar dados pessoais. Os princípios são os seguintes:

A organização tem uma base legal para processar dados.

O GDPR define as circunstâncias em que as empresas podem processar legalmente dados pessoais. Uma organização deve estabelecer e documentar sua base legal antes de coletar quaisquer dados. A organização deve comunicar essa base aos usuários no momento da coleta de dados. Ela não pode alterar a base após o fato, a menos que tenha o consentimento do usuário para fazê-lo.

As possíveis bases legais incluem:

  • A organização tem o consentimento do titular para processar seus dados. Observe que o consentimento do usuário só é válido se for informado, afirmativo e dado livremente.
    • Consentimento informado significa que a empresa explica claramente quais dados está coletando e como usará esses dados.
    • Consentimento afirmativo significa que o usuário deve realizar alguma ação intencional para demonstrar consentimento, como assinar uma declaração ou marcar uma caixa. O consentimento não pode ser a opção padrão.
    • Consentimento dado livremente significa que a empresa não tenta influenciar ou coagir o titular dos dados. O titular deve poder retirar seu consentimento a qualquer momento.
  • A organização deve processar os dados para executar um contrato com o titular dos dados ou em nome do titular dos dados.
  • A organização tem a obrigação legal de processar os dados.
  • A organização deve processar os dados para proteger a vida do titular dos dados ou de outra pessoa.
  • A organização está processando dados por motivos de interesse público, como jornalismo ou saúde pública.
  • A organização é uma autoridade pública que processa dados para realizar uma função oficial.
  • A organização está processando os dados para buscar um interesse legítimo.
    • Um interesse legítimo é um benefício que o controlador ou outra parte pode obter com o processamento dos dados. Os exemplos incluem a realização de verificações de antecedentes de funcionários ou o rastreamento de endereços IP em uma rede corporativa para fins de cibersegurança. Para alegar uma base de interesse legítimo, a organização deve provar que o processamento é necessário e não infringe os direitos dos titulares.

A organização coleta dados para uma finalidade específica e os utiliza apenas para essa finalidade.

De acordo com o princípio de limitação de finalidade do GDPR, os controladores devem ter uma finalidade identificada e documentada para a coleta de dados. O controlador deve comunicar essa finalidade aos usuários no momento da coleta e só pode usar os dados para essa finalidade específica.

A organização coleta apenas a quantidade mínima de dados necessária.

Os controladores só podem coletar a quantidade mínima de dados necessária para cumprir sua finalidade declarada.

A organização mantém os dados precisos e atualizados.

Os controladores devem adotar medidas razoáveis para garantir que os dados pessoais que mantêm sejam precisos e atuais.

A organização exclui os dados quando eles não são mais necessários.

O GDPR exige políticas rígidas de retenção e exclusão de dados. As empresas só podem manter os dados até que a finalidade especificada para a coleta desses dados tenha sido cumprida e devem excluí-los quando não precisarem mais deles.

A organização toma precauções extras ao processar dados de crianças ou dados de categorias especiais.

Os controladores e processadores devem aplicar proteções adicionais a determinados tipos de dados pessoais.

Os dados de categoria especial incluem dados altamente confidenciais, como raça e biometria de uma pessoa. As organizações só podem processar dados de categorias especiais em circunstâncias muito limitadas, como para evitar ameaças graves à saúde pública. As empresas também podem processar dados de categorias especiais com o consentimento explícito do titular.

Os dados de condenação criminal só podem ser controlados por autoridades públicas. Os processadores só podem processar essas informações sob a orientação de uma autoridade pública.

Os controladores devem obter o consentimento dos pais antes de processar dados de crianças. Eles devem adotar medidas razoáveis para verificar as idades dos titulares e as identidades dos pais. Ao coletar dados de crianças, os controladores devem apresentar avisos de privacidade em linguagem adequada para crianças.

Cada estado do EEE determina sua própria definição de "criança" de acordo com o GDPR. Elas variam de "qualquer pessoa com menos de 13 anos" a "qualquer pessoa com menos de 16 anos".

A organização documenta todas as atividades de processamento de dados.

Organizações com mais de 250 funcionários devem manter registros do processamento de dados. Organizações com menos de 250 funcionários devem manter registros se processarem dados altamente confidenciais, processarem dados regularmente ou processarem dados de uma forma que represente um risco significativo para os titulares dos dados.

Os controladores devem documentar coisas como os dados que coletam, o que fazem com esses dados, mapas de fluxos de dados e proteções de dados. Os processadores devem documentar os controladores para os quais trabalham, os tipos de processamento que fazem para cada controlador e os controles de segurança que usam.

O controlador é o responsável final por garantir a conformidade.

De acordo com o GDPR, a responsabilidade final pela conformidade recai sobre o controlador dos dados. Isso significa que o controlador deve garantir, e ser capaz de provar, que seus processadores terceirizados atendem a todos os requisitos relevantes do GDPR.

Direitos dos titulares dos dados

O GDPR concede aos titulares dos dados certos direitos sobre seus dados. Os controladores e processadores devem honrar esses direitos.

A organização oferece aos titulares dos dados maneiras fáceis de exercer seus direitos.

As organizações devem oferecer aos titulares dos dados um meio simples de fazer valer seus direitos sobre seus dados. Esses direitos incluem:

  • O direito de acesso: os titulares devem poder solicitar e receber cópias de seus dados, bem como informações relevantes sobre como a empresa usa os dados.
  • O direito à retificação: os titulares devem ser capazes de corrigir ou atualizar seus dados.
  • O direito de apagar: os titulares devem poder solicitar a exclusão de seus dados. 
  • O direito de restringir o processamento: os titulares devem ser capazes de restringir como seus dados são usados se suspeitarem que os dados são imprecisos, não são mais necessários ou estão sendo usados indevidamente.
  • O direito de se opor: os titulares devem ser capazes de se opor ao processamento. Os titulares que já concederam seu consentimento devem poder retirá-lo facilmente a qualquer momento.
  • O direito à portabilidade de dados: os titulares têm o direito de transferir seus dados, e os controladores e processadores devem facilitar essas transferências.

Em geral, as organizações devem responder a todas as solicitações de acesso do titular dos dados dentro de 30 dias. As empresas normalmente devem atender à solicitação de um titular, a menos que a empresa possa provar que tem um motivo legítimo e primordial para não fazê-lo.

Se uma organização rejeitar uma solicitação, deve explicar o motivo. A organização também deve informar ao titular como recorrer da decisão ao executivo de proteção de dados da empresa ou à autoridade supervisora relevante.

A organização oferece aos titulares dos dados uma maneira de contestar decisões automatizadas.

De acordo com o GDPR, os titulares dos dados têm o direito de não serem vinculados por processos automatizados de tomada de decisões que possam ter um impacto significativo sobre eles. Isso inclui a criação de perfis, que o GDPR define como o uso de automação para avaliar algum aspecto de uma pessoa, como prever seu desempenho no trabalho.

Se uma organização usar decisões automatizadas, ela deverá fornecer aos titulares dos dados uma maneira de contestar essas decisões. Os titulares também podem solicitar que um funcionário humano avalie todas as decisões automatizadas que os afetem.

A organização é transparente sobre como usa os dados pessoais.

Os controladores e processadores devem informar os titulares dos dados de forma proativa e clara sobre as atividades de processamento de dados, incluindo os dados que coletam, o que fazem com eles e como os titulares podem exercer seus direitos sobre os dados.

Essas informações normalmente devem ser comunicadas por meio de um aviso de privacidade apresentado ao titular durante a coleta dos dados. Se a empresa não coletar dados pessoais diretamente dos titulares, os avisos de privacidade deverão ser enviados aos titulares dentro de um mês. As empresas também podem incluir esses detalhes em políticas de privacidade que sejam acessíveis publicamente em seus sites.

Medidas de privacidade e proteção de dados

O GDPR exige que os controladores e processadores tomem medidas para evitar o uso indevido de dados pessoais e proteger os titulares dos dados contra danos.

A organização implementou controles de cibersegurança apropriados.

Controladores e processadores devem implementar medidas de segurança para proteger a confidencialidade e integridade dos dados pessoais. O GDPR não exige nenhum controle específico, mas afirma que as empresas devem adotar medidas técnicas e organizacionais.

Medidas técnicas incluem soluções de tecnologia, como plataformas de gerenciamento de acesso e identidade (IAM), backups automatizados e ferramentas de segurança de dados. Embora o GDPR não exija explicitamente a criptografia de dados, ele recomenda que as organizações usem pseudonimização e anonimização sempre que possível.

Medidas organizacionais incluem treinamento de funcionários, avaliações de riscos contínuas e outras políticas e processos de segurança. As empresas também devem seguir o princípio da proteção de dados desde o design e por padrão ao criar ou implementar novos sistemas e produtos.

A organização realiza avaliações do impacto da proteção de dados (DPIAs) conforme a necessidade.

Se uma empresa planeja processar dados de uma forma que represente um alto risco para os direitos dos titulares, ela deve primeiro realizar uma avaliação de impacto da proteção de dados (DPIA). Os tipos de processamento que podem desencadear uma DPIA incluem a criação automatizada de perfis e o processamento em larga escala de categorias especiais de dados pessoais, entre outros.

Uma DPIA deve descrever os dados que estão sendo usados, o processamento pretendido e a finalidade do processamento. Ela deve identificar os riscos do processamento e formas de mitigar esses riscos. Se houver risco significativo não mitigado, a organização deve consultar uma autoridade supervisora antes de prosseguir.

A organização nomeou um executivo de proteção de dados (DPO), se necessário.

Uma organização deve nomear um executivo de proteção de dados (DPO) se monitorar titulares em grande escala ou processar dados de categoria especial como atividade principal. Todas as autoridades públicas também devem nomear DPOs.

O DPO é responsável por garantir que a organização permaneça em conformidade com o GDPR. As principais funções incluem a coordenação com autoridades de proteção de dados, aconselhando a organização sobre os requisitos do GDPR e supervisionando DPIAs.

O DPO deve ser um executivo independente que se reporte diretamente ao mais alto nível da administração. A organização não pode retaliar o DPO pelo desempenho de suas funções.

A organização notifica as autoridades supervisoras e os titulares de dados quando ocorrem violações de dados.

As organizações devem relatar a maioria das violações de dados pessoais à autoridade supervisora relevante dentro de 72 horas. Se a violação representar um risco aos titulares dos dados, a organização também deverá notificá-los. As organizações devem notificar os titulares diretamente, a menos que a comunicação direta não seja razoável, caso em que um aviso público é aceitável.

Os processadores que sofrerem uma violação devem notificar os controladores relevantes sem demora injustificada.

Se estiver localizada fora do EEE, a organização nomeou um representante no EEE.

Qualquer empresa fora do EEE que processe regularmente dados de residentes do EEE ou processe dados particularmente confidenciais deve nomear um representante dentro do EEE. O representante coordena com as autoridades governamentais em nome da empresa e atua como ponto de contato para questões de conformidade com o GDPR.

Transferências de dados e compartilhamento de dados

O GDPR define regras sobre como as organizações compartilham dados pessoais com outras empresas dentro e fora do EEE.

A organização usa acordos formais de processamento de dados para reger as relações com os processadores.

Um controlador pode compartilhar dados pessoais com processadores e outros terceiros, mas essas relações devem ser regidas por acordos formais de processamento de dados. Esses acordos devem descrever os direitos e responsabilidades de todas as partes em relação ao GDPR.

Os processadores terceirizados só podem processar dados de acordo com as instruções do controlador. Eles não podem usar os dados de um controlador para seus próprios fins. Um processador deve obter aprovação do controlador antes de compartilhar dados com um subprocessador.

A organização só realiza transferências de dados aprovadas fora do EEE.

Um controlador só pode compartilhar dados com terceiros localizados fora do EEE se a transferência de dados atender a pelo menos um dos seguintes critérios:

  • A Comissão Europeia considerou adequadas as leis de privacidade de dados do país onde o terceiro está localizado.
  • A Comissão Europeia considerou que o terceiro tem políticas e controles de proteção de dados adequados.
  • O controlador adotou todas as medidas necessárias para garantir a segurança e a privacidade dos dados que estão sendo transferidos.
Explore as soluções de conformidade com o GDPR

A conformidade com o GDPR é um processo contínuo, e os requisitos de uma organização podem mudar à medida que ela coleta novos dados e se envolve em novos tipos de atividades de processamento.

Soluções de segurança e conformidade de dados como o IBM Security Guardium podem ajudar a simplificar o processo de alcançar e manter a conformidade com o GDPR. O Guardium pode descobrir automaticamente dados regulamentados pelo GDPR, impor regras de conformidade para esses dados, monitorar o uso de dados e capacitar as organizações a responder a ameaças à segurança de dados.

 
Autor
Matt Kosinski Writer