Banner image

Entenda de uma vez o que é GDPR e como afeta as empresas de TI

12 de dezembro de 2018
Por Felipe Alves

A União Europeia deu, em 2018 com a aprovação da GDPR, mais um passo em direção aos direitos de seus cidadãos. Em maio deste ano, os europeus se tornaram donos, efetivos, de seus próprios dados. Eles têm o direito de retomar a sua posse de empresas se assim desejaram. E é importante ressaltar que o direito do europeu sobre seus dados se estende pelo mundo inteiro, e isso afeta diretamente o Brasil.

E será esse o assunto deste post. Vamos falar sobre o que é GDPR, como ela afeta as empresas de TI e como se adequar a essa nova lei. Quer entender de uma vez o tema? Então não deixe de conferir nosso post e boa leitura.

Entendendo o que é GDPR

GDPR é o acrônimo para General Data Privacy Protection Regulation. É uma lei que atinge todos os cidadãos europeus, morando na Europa ou não. Foi aprovada em 2016, mas somente agora em 2018 que entrou em vigor de fato. Ela trata da proteção e regulamentação de dados sob diferentes perspectivas. Ainda, estabelece claramente os limiares entre os direitos e deveres dos cidadãos europeus e seus dados.

6 aspectos importantes a serem considerados na GDPR

As principais medidas da GDPR precisam ser muito bem avaliadas para que não ocorra implicações legais. E isso pode afetar diretamente as empresas de TI. A seguir listamos as características mais importantes:

1. Entendimento sobre a natureza dos dados

A coleta de dados só pode ser realizada com um propósito bem específico. Sites, aplicativos e plataformas de cadastros não devem coletar mais informação que o necessário. O motivo é evitar que falhas de segurança e vazamentos exponham os cidadãos europeus de forma desnecessária.

Os responsáveis que têm a posse dos dados são chamados de controladores e processadores. O controlador é quem coleta e mantém a posse do conteúdo de terceiros. O operador é quem usa essas informações. Essa distinção é necessária, pois, diferencia as responsabilidades do manuseio dos dados dos titulares.

Para compreender melhor a sua natureza, é necessário implementar medidas organizacionais que garantam a segurança, pois o conteúdo deve ser guardado em uma infraestrutura que seja confiável, acessível, durável e íntegra.

2. Respeito ao cidadão, onde quer que ele esteja

Esse é o principal ponto onde as empresas de TI do Brasil são afetadas. Produtos e serviços que tenham cadastro de pessoas físicas ou jurídicas na União Europeia estão sujeitos a GDPR. Ou seja, cadastros, contratos e qualquer relação com esses cidadãos estão sob a aplicação da lei.

3. Redução da coleta

A retenção de informação deve ser restrita somente ao que é necessário. Nada de ficar coletando endereço, número de telefone, entre outras coisas para usar serviços simples que requerem apenas campos como nome e e-mail.

Além disso, deverá haver o consentimento explícito do usuário e nada pode ser coletado secretamente.

4. Exclusão permanente de dados ao terminar o contrato de serviço

Os usuários europeus têm o direito de serem esquecidos totalmente pelas empresas que um dia já tiveram posse de suas informações. Se desejarem, eles podem solicitar a exclusão permanente de seus dados.

5. Notificação em caso de vazamento

Se houver falhas de segurança ou vazamento de dados, os clientes devem ser comunicados. A GDPR estipula um prazo de até 72 horas depois do ocorrido. A diretriz é para alertar ao DPA, Data Protection Authority, sobre a falha.

6. Realização da gestão eficiente de dados

Toda empresa precisa ter em seu corpo de funcionários um DPO, ou Data Protection Officer. Ele é um profissional responsável pela gestão e proteção de dados da empresa, e a exigência da GDPR é de que ele seja um membro da diretoria.

Como a GDPR afeta as empresas de TI

Essa lei clarifica bem o conceito de controladores e processadores de dados. Qualquer empresa de TI que controle ou processe informações de cidadãos europeus está sujeitas a ela.

Por isso, corporações de TI, que oferecem produtos e serviços para a União Europeia, devem cumprir com as obrigações impostas pela GDPR. Isso é muito comum para as instituições com serviços onlines que desenvolvem aplicativos publicados em lojas internacionais, como a Google Play Store, por exemplo.

6 passos para ficar dentro da lei

Se a sua empresa presta qualquer tipo de serviço que pode estar sujeito às implicações da GDPR, então é preciso adotar algumas medidas para se enquadrar na nova legislação. A primeira mudança deve ser nas políticas internas de responsabilização, que garantam a integridade e segurança dos dados dos usuários. Para isso é só seguir alguns passos importantes.

1. Realizar identificação de dados

Tanto informações de clientes quanto de funcionários precisam ser devidamente coletadas. Elas devem ser armazenadas em locais seguros e de fácil acesso em caso da solicitação de remoção.

2. Automatizar a política de dados

Quaisquer operações que envolvam acesso aos dados deve ser automatizada. O sistema precisa ter validação e controle de acesso, recursos de criptografia, políticas de privacidade e rede de retenção de informações. A automatização combate as possíveis brechas na prestação de serviços.

3. Possuir um processo bem definido para remoção de dados pessoais

Caso o cliente ou funcionário solicite a retirada completa de seus dados, eles devem ser removidos rapidamente e sem nenhum problema. Isso envolve excluir informações de banco de dados, redes sociais, sites corporativos, backups e outros locais de armazenamento.

4. Enxugar a quantidade de dados requisitados aos usuários

Apenas o conteúdo estritamente necessário deve ser solicitado aos usuários. Para que isso ocorra, a empresa precisa ter um modelo de negócios que seja consistente com a coleta. Além disso, ela deve se preocupar com o excesso e duplicata de informações que são desnecessárias.

5. Realizar auditorias constantes

As auditorias devem ser realizadas por uma governança de TI que ficará com a responsabilidade de garantir que os dados estão em conformidade com o modelo de negócios da empresa.

6. Ter planos de emergências em caso de vazamentos

As empresas precisam ter planos de desastre para caso de vazamentos de conteúdos sensíveis. Ele deve ser um processo que envolve o DPO e a DPA.

É importante estar atento à lei, pois as multas podem ser altas. Os valores podem chegar até 20 milhões de euros. Além disso, o Brasil também aprovou a lei geral de proteção aos dados que é bem similar à europeia. Adequar-se a GDPR será um grande passo para estar dentro da legislação brasileira, em vigor em 2020.

Curtiu nosso conteúdo sobre GDPR? Então não deixe de conferir nosso post sobre como otimizar a sua gestão de TI. Até a próxima!