O que é o GDPR?
O Regulamento Geral sobre a Proteção de Dados, ou GDPR, unifica as leis de privacidade de dados em toda a União Europeia (UE). O Parlamento Europeu aprovou o GDPR em 14 de abril de 2016, e ele entrou em vigor em 25 de maio de 2018.
O GDPR substituiu a antiga Diretiva de Proteção de Dados da UE de 1995. O GDPR concentra-se em tornar as empresas mais transparentes e expande os direitos de privacidade dos titulares dos dados. Sempre que uma violação de dados é detectada, o GDPR exige que a empresa notifique as autoridades supervisoras e todas as pessoas afetadas dentro de 72 horas.
É obrigatório para todos os cidadãos da UE e empresas que processam, armazenam ou gerenciam os dados de cidadãos da UE cumprir o GDPR. Isso também se aplica independentemente de serem cidadãos da UE. O GDPR também impõe penalidades por não conformidade. Muitas organizações usam software de gerenciamento de privacidade de dados para gerenciar a privacidade dos titulares de dados e mapear dados sensíveis.
Princípios do GDPR
Qualquer pessoa que processe dados deve fazê-lo de acordo com os princípios de proteção e responsabilidade descritos no Artigo 5.1-2. Abaixo estão os sete princípios básicos do GDPR que orientam suas regras e regulamentos.
- Legalidade, justiça e transparência. Os titulares dos dados devem ser informados sobre exatamente como seus dados serão usados.
- Limitação de propósito. Os dados podem ser coletados e processados para fins legítimos. Por exemplo, processar um contrato em que o titular dos dados está envolvido.
- Minimização de dados. Somente dados críticos podem ser coletados.
- Precisão dos dados. As organizações que coletam dados devem garantir sua precisão e atualidade. Os dados devem ser excluídos ou alterados conforme a solicitação do titular dos dados.
- Limitação de armazenamento. O GDPR aconselha contra a retenção de dados coletados por mais tempo do que o necessário.
- Integridade e confidencialidade. Os dados pessoais precisam ser protegidos com medidas adequadas. Devem ser seguros e protegidos contra roubo ou uso não autorizado.
- Conformidade de dados. Os coletores de dados são responsáveis por garantir a conformidade com o GDPR.
Vários direitos específicos dos titulares de dados de acordo com os sete princípios do GDPR são discutidos abaixo.
- O direito de ser esquecido. Os titulares dos dados podem solicitar que informações pessoalmente identificáveis (PII) sejam excluídas do armazenamento de uma empresa. No entanto, se a empresa puder demonstrar com sucesso uma base legal para manter os dados, ela tem o direito de recusar solicitações.
- O direito de acesso. Os dados armazenados estão acessíveis aos titulares dos dados para revisão.
- O direito de objeção. Os titulares dos dados podem recusar o uso ou processamento de dados pessoais. Se uma empresa satisfizer as condições legais para o processamento de dados pessoais, ela pode ignorar a recusa. No entanto, deve notificar o titular e explicar seu raciocínio.
- O direito de retificação. Correções de informações pessoais incorretas são possíveis mediante solicitação dos titulares dos dados.
- O direito de portabilidade. O acesso e a transferência de informações pessoais dos titulares dos dados são possíveis a critério do titular dos dados.
Como cumprir o GDPR
O GDPR informa os coletores de dados sobre os resultados esperados de uma excelente e responsável gestão de dados. No entanto, não define medidas técnicas específicas. Abaixo estão algumas práticas recomendadas que ajudam as empresas a cumprir o GDPR.
- É importante pedir antes de coletar dados pessoais. Os titulares dos dados devem ser participantes dispostos.
- As organizações devem coletar apenas o que precisam. Elas são responsáveis pela coleta e uso.
- As empresas não devem compartilhar dados com outros sem o consentimento dos usuários e a aprovação das autoridades supervisoras.
- É essencial criptografar todos os dados pessoais em repouso e em trânsito.
- É melhor ter duas cópias de backup seguras de dados pessoais em dois locais fora do local.
- As empresas devem ser capazes de editar ou excluir facilmente itens específicos de dados pessoais usando as ferramentas necessárias para verificar e documentar as ações.
Escopo do GDPR
O escopo de conformidade do GDPR é relativamente amplo. Portanto, seja uma empresa situada dentro da UE ou tenha um escritório fora da UE, é crucial entender como elas estão sob o domínio do GDPR se estiverem processando os dados de cidadãos da UE.
Abaixo estão duas maneiras de uma empresa estar sob o domínio do GDPR:
- Escopo Material: O Artigo 2 define o Escopo Material do GDPR para o processamento de dados pessoais. De acordo com o Escopo Material, mesmo que o centro de processamento (um processador) não esteja na UE, eles ainda estão sob o domínio do GDPR.
- Escopo Territorial: O Artigo 3 do GDPR explica o escopo territorial do GDPR e como ele é amplamente classificado em dois segmentos: Artigo 3(1) e Artigo 3(2). O escopo territorial refere-se a quando empresas dentro da região da UE processam as informações pessoais dos titulares dos dados.
Multas do GDPR por não conformidade
As penalidades por não conformidade são severas. Vários critérios são avaliados para determinar as taxas apropriadas, incluindo a duração da violação, o número de titulares de dados afetados e a gravidade da violação.
Se uma violação de dados é causada por negligência ou intenção também influencia as penalidades. Manter registros inadequados da coleta e processamento de dados pessoais pode levar a uma multa de 10 milhões de euros ou 2% da receita anual, com multas de até 20 milhões de euros ou até 4% da receita anual por completa não conformidade.
GDPR vs. CCPA
O GDPR e a Lei de Privacidade do Consumidor da Califórnia (CCPA) são leis de conformidade que protegem os dados dos usuários contra acesso e processamento não autorizados.
A CCPA é frequentemente chamada de "GDPR lite" nas comunidades de conformidade. Enquanto o GDPR protege os dados e a privacidade da UE, a CCPA é a lei de proteção e privacidade de dados para os residentes da Califórnia.
O GDPR exige que as empresas tenham bases legais para o processamento de dados, como consentimento. A CCPA não tem esse requisito, mas se concentra em criar transparência e educar os usuários sobre seus direitos de dados.
Saiba mais sobre software de gerenciamento de privacidade de dados e quanto tempo leva para implementar.

Sagar Joshi
Sagar Joshi is a former content marketing specialist at G2 in India. He is an engineer with a keen interest in data analytics and cybersecurity. He writes about topics related to them. You can find him reading books, learning a new language, or playing pool in his free time.