Nova lei de proteção de dados da União Europeia e seus requisitos-chave

Ultimamente, várias plataformas estão atualizando seus termos de serviço, o que se deve à nova lei de proteção de dados da União Europeia.

A General Data Protection Regulation (GDPR) entrou em vigor em 25 de maio de 2018 e visa tornar mais transparente, consciente e respeitoso o uso dos dados pessoais que as empresas fazem dos usuários que são cidadãos da União Europeia.

Neste post, vamos analisar 12 requisitos-chave da nova lei. Então prepara o seu café e vem acompanhar!

A nova regulamentação não impede que os dados das pessoas sejam coletados e utilizados de forma indevida. Porém, é uma oportunidade para que as organizações possam discutir sobre a importância da proteção dos dados e, mais do que isso, refletir sobre o uso dos dados dos usuários e a real necessidade de mantê-los.

A GDRP é considerada uma atualização de um regulamento criado no final dos anos 1990. A ideia é que essa reformulação levasse em consideração tanto o avanço da tecnologia quanto a exposição e utilização de dados pessoais dos usuários.

Portanto, a GDPR tem como objetivo regulamentar o processamento de dados pessoais dos cidadãos da União Europeia e estabelece requisitos que devem ser atendidos para garantir a privacidade e proteção dos dados — o que, no contexto da norma, é considerado como qualquer informação que possa identificar uma pessoa: Nome, foto, e-mail, redes sociais, localização geográfica, etc. Além disso, a norma confere aos usuários alguns direitos, como mais informações sobre a utilização dos dados e o direito a ser esquecido.

De forma geral, quando algum dado for fornecido, o usuário deverá ser informado sobre:

  • Qual organização fará uso dos dados
  • Qual o propósito de utilizar e manter os dados
  • Em que período os dados serão mantidos
  • Quais dados serão utilizados
  • Justificativa legal para processar os dados
  • Quem terá acesso aos dados
  • Possibilidade de transferência de dados para fora da UE
  • Direito a uma cópia desses dados
  • Direito a apresentar queixa junto à Autoridade de Proteção de Dados (DPA)
  • Direito a desistir da autorização do uso dos dados a qualquer momento

Essa regulamentação vale tanto para organizações quanto para instituições públicas de todo o mundo, ou seja, empresas que não estejam na União Europeia, mas que possuem, direta ou indiretamente, usuários de produtos ou serviços que sejam cidadãos da União Europeia.

É importante destacar que, caso ocorra vazamento de informação, a Autoridade de Proteção de Dados (DPA) deve ser notificada no máximo dentro de 72 horas após o conhecimento do problema.

12 requisitos-chave da GDPR

O GDPR contém 99 artigos que definem os seus requisitos e direitos concedidos aos cidadãos da UE. A seguir, vamos analisar seus requisitos-chave:

1. Processamento e armazenamento legal, justo e transparente de dados pessoais

Os usuários têm o direito a solicitar informações sobre quais dados estão sendo utilizados e sob qual justificativa estão sendo processados e/ou mantidos. De forma geral, as empresas devem garantir que todo o processamento:

  • Seja baseado em um propósito legítimo
  • Assuma a responsabilidade de não processar dados para qualquer finalidade que não seja a legítima
  • Informe os usuários sobre as atividades de processamento dos dados

Os dados devem ser processados de forma segura, protegendo de acessos não-autorizados e ​​somente para o propósito especificado e informado ao usuário. Esses dados podem ser armazenados, mas devem estar em um formato que permita a identificação dos titulares dos dados, e não devem ser mantidos por mais tempo do que o informado ao usuário.

2. Consentimento

Todo o processamento de dados pessoais deve ser feito legalmente, ou seja, o usuário deve dar o consentimento para permitir que seus dados pessoais sejam utilizados.

Esse consentimento deve ser formalizado, ressaltando que o usuário pode retirar seu consentimento a qualquer momento — e após receber tal solicitação, a organização deve interromper imediatamente o processamento dos dados.

Além disso, para realizar o processamento de dados de usuários menores de 16 anos, é necessário o consentimento explícito dos pais ou responsáveis.

As organizações devem coletar somente dados necessários e não devem mantê-los depois que o processamento, considerando o seu propósito, for concluído. Caso seja necessário, o processamento de fora do propósito legítimo precisará de um novo consentimento claro e explícito do usuário.

3. Direito à retificação

O usuário tem o direito a solicitar modificações dos seus dados pessoais caso eles não estejam atualizados ou estejam inconsistentes.

4. Direitos de acesso

Os usuários têm o direito de saber, a pedido:

  • Quais os dados pessoais uma organização está utilizando
  • Como os dados estão sendo utilizados

Além disso, com esta solicitação o usuário tem o direito de visualizar, alterar, copiar, transferir ou eliminar os dados pessoais.

5. Direito a ser esquecido e à eliminação de dados

Os usuários têm o direito a interromper o processamento e eliminar seus dados pessoais a partir de solicitação, ressaltando que não é um direito absoluto — é necessário levar em consideração o período de retenção, de acordo com as outras leis aplicáveis.

6. Direito à portabilidade de dados

Os usuários têm o direito de solicitar a transferência dos seus dados pessoais de empresa para empresa.

7. Proteção de dados

As organizações têm a responsabilidade de garantir a proteção e privacidade dos dados pessoais, independentemente se esses dados são processados na própria organização ou por terceiros.

8. Violações de dados

No momento em que alguma violação for identificada, as autoridades de supervisão e usuários afetados devem ser notificadas em até 72 horas após a detecção da violação. Além disso, as organizações devem manter o registro das violações identificadas para fins de auditoria.

9. Avaliações de impacto

As organizações devem realizar avaliações periódicas do impacto relacionado à proteção e à privacidade de dados para identificar riscos aos usuários, além de descrever como a empresa está lidando com cada dos riscos encontrados. Uma avaliação deve ser realizada no início do projeto e, a cada alteração significativa, deve ser realizada novamente.

10. Agentes de proteção de dados

Caso exista na organização um processamento significativo de dados, ela deve ter alguém responsável pela proteção de dados. O DPO (Data Protection Officer) será responsável por garantir as boas práticas do processamento de dados.

Isso é obrigatório para as seguintes organizações: instituições públicas, organizações que trabalham com monitoramento sistemático em larga escala e empresas que lidam com informações pessoais sensíveis.

11. Empresas internacionais

Organizações ou instituições públicas que não estejam na União Europeia devem cumprir a GDPR caso possuam, direta ou indiretamente, usuários de produtos ou serviços que sejam cidadãos da União Europeia e recolham ou processem dados desses cidadãos.

12. Conscientização e treinamento

As organizações devem se responsabilizar por manter os funcionários informados sobre os principais requisitos da GDPR. Além disso, é necessário realizar treinamentos periódicos para garantir que todos os colaboradores estejam cientes de suas responsabilidades com relação à proteção e privacidade de dados pessoais, além da necessidade da agilidade na identificação de violações de dados.

A norma também prevê algumas penalidades para quem não se adequar aos requisitos da GDPR. A multa pode chegar a € 20 milhões ou 4% do faturamento anual global, o que for maior. Essa multa vai depender da gravidade de cada caso.

 

Referências: Advisera, Udacity

Sobre o(a) autor(a)

Samantha Morais Nunes
Samantha Morais Nunes

Formada em Ciência da Computação pela PUC Minas e pós-graduada em Segurança da Informação pela UNA. Iniciou a carreira na área de QA em 2011 como estagiária e hoje atua como analista de qualidade de software na Take. Participou com Letícia (QA), André (QA) e Rhamon (PO), do STWC 2014, conquistando o 4º lugar na etapa South America e o prêmio Most Useful Test Report. Fez parte da equipe de organização do Minas Testing Conference, um evento sobre qualidade de software que ocorre em Belo Horizonte e atualmente faz parte da equipe de organização dos meetups de Segurança da Informação 0x0d1a e Machine Learning BH.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Você pode usar as seguintes tags e atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

by Take ® 2015 | Todos os direitos reservados.linkedin