Regulamento Geral de Proteção de Dados (GDPR)
Os Regulamentos Gerais de Proteção de Dados (" GDPR ", abreviado) têm sido publicados muito recentemente. Mas quais são as novas regras e como elas afetam seus negócios?
O fundo
Em 1995, a Comissão Europeia publicou a directiva relativa à protecção de dados . Isso exigia que todos os estados membros da UE implementassem sua própria legislação de proteção de dados para garantir que os dados pessoais de seus cidadãos fossem adequadamente protegidos e para garantir que os cidadãos tivessem direitos específicos para saber quais dados estavam sendo mantidos por terceiros. para poder exigir que os dados sejam corrigidos ou eliminados quando apropriado.
No entanto, nos anos seguintes, o rápido desenvolvimento das mídias sociais, dos smartphones e da evolução contínua da Internet mostrou que as proteções legais existentes não eram adequadas. Como resultado, a Comissão Européia propôs um novo regulamento - o Regulamento Geral de Proteção de Dados. Ao contrário da anterior Diretiva de Proteção de Dados, que permitia a membros individuais da UE implementarem as regras à sua maneira, os Regulamentos GDPR deveriam ser implementados como um regulamento único em toda a UE em uma única data: 25 de maio de 2018.
Um dos principais objectivos do RGPD era alargar o actual regime de protecção de dados na Europa para garantir que todos os cidadãos da UE tivessem o mesmo nível de protecção, independentemente de os seus dados serem tratados ou processados por uma empresa da UE ou por uma empresa não pertencente à UE. A comissão afirmou que seu objetivo era garantir que todos os cidadãos tivessem um conjunto padrão de "direitos digitais" em uma era em que os dados pessoais eram cada vez mais importantes para a economia digital do futuro.
Por que o GDPR é importante?
O GDPR é importante para todos os negócios devido ao amplo escopo dos Regulamentos, mas também devido às penalidades significativas por não conformidade. No caso de violações graves, as multas podem atingir o máximo de 20 milhões de euros ou 4% do volume de negócios global .
O GDPR também amplia o escopo de responsabilidade em potencial por qualquer violação de dados. Anteriormente havia uma distinção entre "controladores" de dados que realmente possuíam "processadores" de dados e dados que foram contratados pelo controlador para fazer algo com esses dados. O primeiro pode ser responsável por qualquer perda ou uso indevido de dados pessoais, mas não pelo segundo. No entanto, sob o GDPR, tanto o controlador quanto o processador serão solidários. Isso significa que uma ou ambas as partes podem ser processadas por indivíduos afetados ou multadas por reguladores.
Uma vez que muitas empresas no setor de tecnologia tendem a ser processadores, isso significa que, sob o GDPR, essas empresas terão agora uma responsabilidade potencial que elas não possuíam anteriormente!
O que o GDPR realmente requer?
O GDPR estabelece várias obrigações para qualquer pessoa que esteja controlando ou processando dados. Isso não pretende ser um guia exaustivo, mas os requisitos básicos são os seguintes:
- Saiba quais dados você controla e de onde você tirou
- Para quaisquer dados que você controle ou processe, assegure-se de estar fazendo isso em uma "base legal" (isso é explicado mais adiante)
- Tome medidas adequadas para proteger quaisquer dados que você controle ou processe e para mimetizar quaisquer riscos para esses dados
- Quando você subcontrata qualquer processamento de dados que você controla, você deve garantir que o processador esteja trabalhando para padrões de proteção equivalentes.
- Quando você tem dados "pessoais" ou "confidenciais", deve tomar medidas adicionais para garantir a proteção desses dados. Os dados pessoais são amplamente divulgados - até mesmo um endereço de e-mail ou um endereço IP pode ser considerado um dado pessoal!
- Quando um indivíduo assim o solicitar, você deve fornecer uma cópia de todos os dados que você tiver sobre eles rapidamente e em um formato legível por máquina ("portabilidade de dados").
- Quando um indivíduo solicita que você faça isso, você deve remover todos os dados que você possui (o "direito de ser esquecido")
"Base legal"
"Base Legal" é uma das partes mais importantes do GDPR. Essencialmente, exige que qualquer dado coletado ou processado seja feito de forma legal. Se não houver base legal, os dados não poderão ser coletados ou processados e deverão ser destruídos.
Há vários cenários diferentes que contam como base legal:
- Onde o usuário consentiu explicitamente em coletar e processar seus dados. Esta é a base legal mais comum e também é bastante fácil de satisfazer. Você deve informar ao usuário, de forma clara e inequívoca, quais dados coletará e por que está fazendo isso. Você deve, então, dar ao usuário a oportunidade de optar por essa coleta (observe que isso deve ser opt-in e não ser desativado)
- Onde você precisa coletar dados para cumprir um contrato. Também é provável que esta seja uma base legal comum e se destine a permitir a coleta e o processamento de dados para situações comuns, como uma loja on-line que vende bens ou serviços. Nessa situação, o cliente entrou em um contrato comprando bens ou serviços, portanto, seria legítimo coletar informações de faturamento e remessa e passá-las a um processador de cartão de crédito, já que isso é necessário para realmente cumprir esse contrato. No entanto, usar esses dados para uma finalidade diferente (como marketing) não seria uma base legal, pois não seria necessário para cumprir o contrato.
- Onde exigido por lei. Pode haver algumas situações em que os dados devem ser coletados e processados porque são exigidos por lei. Um bom exemplo seria que bancos e instituições financeiras são freqüentemente obrigados por lei a manter certos registros por até 6 anos.
- Onde há um interesse vital. É improvável que essa base legal seja encontrada no mundo dos negócios, pois é destinada a emergências de vida ou morte e cobriria o processamento de dados por instituições como os serviços de emergência.
- Onde necessário para uma tarefa pública. Também é improvável que isso seja encontrado, uma vez que se destina a permitir que departamentos governamentais ou outros órgãos oficiais possam coletar e processar dados para realizar seus trabalhos. Os exemplos podem incluir escritórios de advocacia que precisam coletar e processar dados para fornecer um serviço como ir ao tribunal.
- Finalmente, há "interesse legítimo". Isto é deliberadamente elaborado para ser bastante vago, mas essencialmente permite a coleta e processamento de dados, se houver um interesse legítimo primordial em fazê-lo. Um bom exemplo seria se um indivíduo pedisse que não recebesse e-mails de marketing de uma empresa, então haveria um interesse legítimo em manter o endereço de e-mail dessa pessoa para garantir que os e-mails de marketing não fossem enviados a essa pessoa, em vez de excluir completamente os dados dessa pessoa e, portanto, arriscar-se a enviá-las acidentalmente no futuro. No entanto, existe um alto nível de interesse legítimo - deve ser do interesse primordial do indivíduo e não apenas porque é conveniente para a empresa.
É importante notar também que onde os dados sendo coletados ou processados são "sensíveis" (basicamente qualquer coisa relacionada à raça, religião, preferência sexual, afiliação política, registros médicos ou associação a sindicatos), então um conjunto muito mais estrito de requisitos de base legal se aplica. - Basicamente, você só pode coletar ou processar esses dados quando houver consentimento explícito do usuário, seja de interesse público ou seja exigido por lei.
E quanto a Reincubar?
Para saber mais sobre os direitos e obrigações da Reincubate no âmbito do GDPR, consulte nossa política de privacidade .