GDPR - sua empresa está preparada?
Com evolução tecnológica e a frenética utilização dos meios digitais, há uma troca absurda de dados. Seja em operações de compra e venda, realizando consultas, estudando, relacionando-se através de redes sociais... enfim, onde tudo acontece de forma virtual e constante, 24 horas por dia, 365 dias por ano, bastando um cadastro, que pode ser simples como o fornecimento de um nome, ou num grau mais complexo, onde é informada a quantidade de filhos ou endereço de correspondência.
Por consequência, há uma exposição constante da privacidade e, aliado à isto, um expressivo descontrole do uso e da finalidade dos dados concedidos, como foi o caso recente de utilização indevida de dados do Facebook. Num pretérito não tão distante, tivemos a ocorrência na Cambridge Analytica, cujos dados de 50 milhões de perfis do Facebook foram coletados, indevidamente (num contexto de permissão), visando influenciar a eleição de 2016 nos EUA.
Baseados em intercorrências semelhantes às da Cambridge Analytica (através do Facebook), surgiu a preocupação com os dados dos residentes e dos cidadãos da UE. Visando mitigar tais abusos, numa busca por clareza e transparência na manipulação dos dados, foi criada uma regulamentação internacional que prevê direitos e regras para a manipulação dos dados de tais cidadãos, o GDPR - General Data Protection Regulation.
A respectiva regulamentação foi adotada no ano de 2016, com um prazo legal de 2 anos para entrada em vigor, ou seja, passa a vigorar em 25 de maio de 2018. A partir desta data todos os dados dos cidadãos europeus e/ou residentes na UE que trafegarem neste universo digital (concernentes ou não às operações comerciais), dentro ou fora da UE, terão que ser adequados às regras estabelecidas neste regulamento.
Mas o que esse regulamento cobre, a quem se destina e quais suas implicações?
À partir deste mês, todas as empresas, dentro e fora do território Europeu, localizadas em qualquer lugar do mundo, cujas barreiras transacionais se derem dentro de um ambiente virtual, (e, portanto, aplica-se às empresas brasileiras), que manipularem ou processarem, de qualquer forma, dados de cidadãos e/ou residentes na UE, precisam adequar-se.
Mas como assim?
Todos os que coletam, processam ou manipulam dados de cidadãos europeus devem adequar-se e submeter-se ao disposto no GDPR, independente do objetivo dessas ações.
O manipulador/controlador de dados é o responsável por definir os parâmetros de como e porque tais dados serão trabalhados, ao passo que o processador é o responsável por efetivar a ação factual desses dados. Podemos dizer então que o controlador pode ser qualquer empresa ou instituição, a exemplo as operações de e-commerce, redes sociais, transações bancárias, compra de passagem aérea, programas de pontos de viagens, até a simples operação de biometria para acesso a um prédio. Já o processador pode ser qualquer empresa de TI que atua no processamento desses dados.
Diante da possibilidade de se processar e/ou controlar esses dados, há a obrigatoriedade de submeter-se a uma regra de compliance trazida pela GDPR, cuja não observância poderá acarretar em multas ‘salgadas’, que podem chegar ao valor de 20 milhões de euros, ou 4% do volume de negócios global da empresa - o que for maior. Não menos importante, poderá levar a suspensão da operação do site [empresa] no que concernem as ofertas e vendas ao mercado europeu.
A proteção dos dados dar-se-á desde a identificação inicial de dados até a notificação imediata de uma violação a uma autoridade competente.
As imposições feitas pela GDPR trazem consigo novas responsabilidades e obrigações voltadas a segurança digital, tais como:
- Fornecer informações transparentes aos titulares dos dados, ou seja, fornecer informações de quais dados estão sendo ou foram manipulados, por qual período serão utilizados e por quanto tempo serão arquivados.
- A utilização de dos dados fornecidos deve se limitar ao destino original, como por exemplo um cadastrado para um curso; este cadastro deverá ser utilizado apenas para efeitos de cadastro neste curso específico e mais nada, nem mesmo para uma futura divulgação de um outro curso de empresa do grupo sem a permissão explícita do usuário.
- Demonstrar o consentimento explícito do titular dos dados para o processamento de dados pessoais.
- Notificar as autoridades competentes sobre as violações de dados, em no máximo 72 horas após a ciência do fato.
- Direito ao esquecimento que, em outras palavras, é o direito do cidadão de que seus dados sejam excluídos do banco de dados da empresa ou mesmo requerer a migração de seus dados para outra empresa, quando solicitados.
Por isso, se a sua empresa transaciona com a EU ou pretende fazê-lo e ainda não está preparada para atender a tais exigências, é melhor correr.
Ao time de TI das empresas, bem como departamentos jurídicos, legal e compliance, este tema deve estar em seu mapa de discussões e as adequações devem estar no topo das prioridades. Para direcionar esse assunto, destacam-se alguns passos importantes:
- Analisar o grau de conformidade de sua empresa no que concerne às regulamentações de privacidade e proteção de dados.
- Verificar todos os aspectos de cibersegurança que devem ser implementados por exigências da regulamentação.
- Analisar o grau de maturidade de sua equipe no que se refere ao tema, pois mudanças serão necessárias e seu time deve estar preparado.