Conformidade com o RGPD: como você pode proteger os dados pessoais da sua empresa?

Dados pessoais, normas europeias, consentimento explícito... O suficiente para dar suores frios àqueles que consideram as regras legais como um enigma indecifrável 📚🤔.

Não entre em pânico: aqui estão nossos conselhos para ajudá-lo a se tornar compatível com o RGPD. Spoiler: a conformidade não é um fardo, mas uma verdadeira alavanca para o crescimento!

Ver todos os software Regulamentação Geral de Proteção de Dados (RGPD)

Etapa 1: Mantenha um registro de processamento de dados em conformidade com o RGPD.

O registro de processamento de dados é um documento projetado para analisar e registrar dados pessoais dentro da empresa, incluindo aqueles mantidos por controladores e processadores de dados.

Dessa forma, você pode identificar quem tem acesso aos dados e para quais finalidades.

Reunir detalhes de cada atividade de processamento em conformidade com o RGPD

Os dados coletados neste registro concentram-se, em particular, em :

• a finalidade de cada atividade de processamento;
• as categorias de dados pessoais processados
• os destinatários dos dados
• transferências de dados para fora da UE;
• as medidas de segurança em vigor.

☝️ Observe que o Regulamento Geral de Proteção de Dados (GDPR) exige que esse registro seja mantido atualizado e disponibilizado às autoridades. Seu formato deve ser compreensível e de fácil acesso no caso de uma solicitação de consulta.

Informações obrigatórias a serem incluídas no registro

O registro em conformidade com o RGPD contém informações detalhadas sobre cada atividade de processamento de dados pessoais realizada pela empresa. De acordo com a Commission nationale de l'informatique et des libertés (CNIL), ele deve incluir :

• os detalhes de contato do controlador de dados (RT), bem como os do responsável pela proteção de dados (DPO), caso a empresa nomeie um DPO;
• uma descrição precisa e detalhada dos motivos pelos quais você está processando os dados;
• as categorias de dados pessoais processados
• as categorias de titulares de dados afetados pelo processamento
• os destinatários ou categorias de destinatários dos dados;
• quaisquer transferências de dados para países terceirose as garantias que regem essas transferências;
• por quanto tempo os dados são mantidos, de acordo com as exigências regulatórias;
• os processos técnicos e organizacionais implementados para garantir a segurança e limitar os riscos de violação das liberdades fundamentais.

Você deve estar ciente de que os registros de atividades modelo estão disponíveis na CNIL, nas Câmaras de Comércio e Indústria (CCI) e no portal governamental France Num. Você também pode usar ferramentas especializadas.

Por exemplo, com o Witik, uma plataforma de conformidade com o RGPD, em apenas alguns cliques é possível criar registros personalizados para atender às suas necessidades específicas, usando um banco de dados projetado e desenvolvido por um escritório de advocacia experiente. Além disso, o software o apoia em outros aspectos de sua conformidade com o RGPD: realização de auditorias, gerenciamento de consentimentos, segurança de dados etc.

Etapa 2: Classificação e categorização de dados pessoais para garantir a conformidade com o RGPD

O RGPD exige transparência e conformidade no processamento de dados pessoais. Para conseguir isso, você precisa identificar todas as atividades de processamento e, em seguida, classificá-las e categorizá-las.

Por um lado, você garante sua conformidade com o RGPD e reduz o risco de confusão durante as inspeções da CNIL ou de outras autoridades competentes. Por outro lado, você melhora a coleta, o uso, o armazenamento e a proteção dos dados pessoais dos usuários.

Os diferentes tipos de dados confidenciais

O RGPD faz distinção entre dados pessoais comuns e dados confidenciais. Os dados confidenciais incluem informações relacionadas a:

• saúde
• origem étnica
• opiniões políticas
• crenças religiosas
• orientação sexual;
• e outros aspectos da vida privada do indivíduo.

O GDPR proíbe o processamento de tais dados, a menos que seja justificado por uma base legal específica, como o consentimento explícito do titular dos dados ou quando for necessário proteger seus interesses vitais.

Antes de processar dados confidenciais, o consentimento dos usuários deve ser obtido, e medidas de segurança adicionais devem ser implementadas para garantir sua proteção.

Métodos de classificação e retenção de dados em conformidade com o RGPD

Para ajudar as empresas, o portal France Num oferece um modelo de classificação baseado no nível de sensibilidade dos dados:

• Nível 1: dados que não são particularmente sensíveis. Por exemplo, detalhes de contato comercial;
• Nível 2: dados que apresentam um risco de segurança moderado. Por exemplo, dados de transações (número do pedido, valor, data etc.);
• Nível 3: dados confidenciais que apresentam um alto risco para as pessoas envolvidas. Por exemplo, dados financeiros, como números de cartão de crédito.

Quanto mais alto o nível, maior o cuidado e a proteção necessários.

Também é imperativo determinar os períodos de retenção apropriados para cada tipo de dados, dependendo do tempo necessário para atingir a finalidade inicial para a qual foram coletados. Depois de decorrido esse período, os dados devem ser excluídos com segurança.

Etapa 3: Garantir e facilitar o exercício dos direitos dos usuários

A conformidade de sua empresa com o RGPD significa respeitar os direitos individuais aos dados pessoais.

Direitos individuais no centro da conformidade com o RGPD

Os usuários têm o direito de solicitar acesso, retificação, exclusão e portabilidade de seus dados pessoais. Eles também podem se opor ou limitar o processamento de seus dados.

Quais são os principais direitos individuais?

• O direito de acesso significa que os usuários podem solicitar à empresa os dados pessoais que ela mantém sobre eles. Se esses dados estiverem incorretos ou imprecisos, o usuário poderá solicitar que sejam retificados ou atualizados.
  
  
• O direito à exclusão de dados pessoais permite que o usuário solicite à empresa que os exclua em determinadas circunstâncias, como quando forem imprecisos, desnecessários ou quando o usuário retirar o consentimento.
  
  
• O direito à portabilidade de dados dá aos usuários o direito de transferir seus dados pessoais de uma empresa para outra.

A lista completa de direitos está disponível no site da CNIL.

Você tem um prazo máximo de 30 dias para responder às solicitações dos usuários.

Implemente procedimentos claros

Para permitir que os usuários exerçam seus direitos de dados pessoais, você deve :

• garantir a autenticidade da solicitação e a confidencialidade das informações fornecidas;
• implementar processos rápidos para responder às solicitações de exercício desses direitos.

Para ajudar as empresas nesse processo, a CNIL está oferecendo um guia abrangente de quatro etapas para entender melhor as especificidades dos direitos das pessoas. As recomendações incluem

• estabelecer tabelas de monitoramento de solicitações;
• desenvolver processos para verificação e validação de solicitações;
• treinamento de funcionários para entender melhor essas solicitações.

Etapa 4: Proteger os dados e evitar riscos

A segurança dos dados pessoais é um requisito fundamental para o status de Conformidade com o RGPD. Ao garantir que os dados sejam adequadamente protegidos, as empresas minimizam os riscos de violação dos direitos e liberdades das pessoas em questão.

Obrigações de segurança segundo o RGPD

A conformidade com o RGPD envolve a implementação de medidas de segurança adequadas para garantir a proteção dos dados pessoais.

Portanto, você deve:

1. Identificar os riscos para os dados;
2. Garantir a integridade e a qualidade dos dados pessoais ao longo do seu processamento (verificações regulares, auditorias de segurança, etc.);
3. Preparar planos de resposta a incidentes (mecanismos de detecção de intrusão, etc.);
4. Garantir que somente pessoas autorizadas tenham acesso aos dados pessoais, usando mecanismos de autenticação fortes (senhas fortes, sistemas biométricos, dados criptografados, etc.);
5. Comunicar imediatamente qualquer incidente à CNIL.

☝️ Lembre-se de que o não cumprimento das normas do RGPD é sinônimo de multas (muito) pesadas e pode chegar a 4% do faturamento anual de uma empresa ou a 20 milhões de euros, o que for maior.

As penalidades variam de acordo com a gravidade da infração e vão desde uma advertência até a indenização dos indivíduos envolvidos, suspensão ou retirada da licença para operar, injunções para interromper o processamento de dados em questão etc.

Práticas recomendadas de segurança de dados

Aqui estão algumas das melhores práticas para se tornar compatível com o RGPD:

• Realize uma avaliação de risco para determinar as vulnerabilidades de seu sistema e o impacto potencial no caso de um incidente de segurança;
  
  
• Nomear um Encarregado de Proteção de Dados, responsável pela gestão de dados pessoais e pela conformidade com o RGPD;
  
  
• Implemente políticas de confidencialidade indicando como os dados pessoais são gerenciados, processados e armazenados;
  
  
• Sensibilizar os colaboradores para as melhores práticas e regras de privacidade;
  
  
• Verificar se as políticas e os procedimentos da empresa estão em conformidade com os regulamentos do RGPD (em particular através de auditorias de conformidade);
  
  
• Monitorar as contas de usuários em risco potencial, como aqueles com acesso aos dados pessoais críticos da empresa, e colocar em prática medidas de proteção adicionais (controle de acesso, criptografia de dados etc.);
  
  
• Fazer backup regular de todos os dados pessoais para garantir que as informações não sejam perdidas.

No caso de uma violação real ou suspeita, você pode ser obrigado a notificar as autoridades relevantes e os usuários potencialmente afetados dentro de 72 horas.

Ver todos os software Regulamentação Geral de Proteção de Dados (RGPD)

Os principais pontos para se tornar compatível com o RGPD

O Regulamento Geral de Proteção de Dados (RGPD) impõe padrões rigorosos sobre a proteção da privacidade e dos dados pessoais. Nesse sentido, estar em Conformidade com o RGPD implica transparência, responsabilidade e continuidade da proteção de dados.

Embora possam parecer restritivas, as medidas de proteção de dados melhoram a qualidade da experiência do usuário e garantem que sua privacidade seja protegida.

O software de conformidade com o RGPD pode tornar isso mais fácil. Ele permite que você proteja os dados pessoais de seus clientes enquanto trabalha em um ambiente seguro.