search
A mídia que reinventa a empresa
Registrar un software

RGPD 2018: o que você precisa saber para preparar seu negócio

RGPD 2018: o que você precisa saber para preparar seu negócio

Por Grégory Coste.

Em 28 de outubro de 2024

Todos os nossos artigos sobre o RGPD :

  • As opiniões de 3 especialistas (Google, Crayon, Infoclip)
  • Quem é afetado pelas novas regulamentações?
  • O arquivo de leitura obrigatória sobre conformidade está aqui.
  • Consulte a opinião de um especialista:
    • A auditoria do RGPD na visão de Alexis Quentrec, especialista em RGPD, Nuageo
    • Uma vantagem para os gerentes de marketing, de acordo com Olivier Martineau, CEO da Spread
    • Um exemplo de registro de processamento de dados por Alain Garnier, CEO, Captain DPO
    • As obrigações dos processadores de dados, de acordo com Fabrice Perbost, sócio do escritório de advocacia Harlay
    • Anonimização de dados, por Jérôme Chagnoux, campeão do GDPR na Oracle
  • Os benefícios do GDPR, de acordo com Julie Paci, gerente de marketing da Mailjet

O que é o RGPD 2018? É o Regulamento Geral sobre a Proteção de Dados Pessoais, que entra em vigor em 25 de maio de 2018 na União Europeia. A CNIL deixa claro: os direitos das pessoas foram reforçados e as empresas devem cumprir uma série de obrigações em relação à proteção e ao processamento de dados para estar em conformidade com o GDPR (Regulamento Geral de Proteção de Dados).

O appvizer fornece todas as chaves necessárias para você entender essa nova lei, a importância da segurança de TI e compartilha algumas ferramentas de conformidade com você:

O que é o GDPR?

Vamos começar analisando os conceitos mais simples para entender o RGPD e seu princípio geral.

O RGPD em poucas palavras

O acrônimo RGPD significa Regulamento Geral de Proteção de Dados. GDPR também significa General Data Protection Regulation (Regulamento Geral de Proteção de Dados).

O GDPR é um regulamento europeu estabelecido pelo Parlamento Europeu e pelo Conselho da União Europeia. Ele reforma as regras que regem o processamento de dados pessoais.

Essa nova lei se aplica a partir de 25 de maio de 2018 a qualquer empresa que processe os dados pessoais de uma pessoa europeia, independentemente de a organização operar ou não na União Europeia.

Em resumo, o GDPR:

  • estabelece que o consentimento de um indivíduo é incondicional para a coleta e o processamento de seus dados,
  • estabelece ações obrigatórias que as empresas devem adotar para garantir a conformidade,
  • impõe penalidades pesadas a qualquer empresa que não esteja em conformidade e dá aos cidadãos o direito de tomar medidas legais.

O direito de controlar os dados pessoais

Esse regulamento especifica e fortalece os direitos de todos os europeus:

  • portabilidade de dados: os cidadãos da UE devem poder retirar seus dados de um serviço e transferi-los para outro;

  • transparência quanto ao uso de seus dados: os cidadãos da UE devem ser informados sobre como seus dados são usados. Eles devem poder acessar seus dados e modificá-los conforme desejarem;

  • menores de 16 anos são protegidos: na Internet, todas as plataformas devem obter o consentimento dos pais antes que seus filhos possam se registrar;

  • uma autoridade de proteção: se os cidadãos encontrarem um problema ou perceberem uma anomalia no processamento de seus dados, eles poderão entrar em contato com uma única autoridade em seu país para defender seus direitos;

  • Penalidades para empresas que violarem a lei: qualquer empresa que não respeitar os direitos dos cidadãos está sujeita a uma multa de 4% do seu faturamento mundial;

  • o direito de ser esquecido: de acordo com o princípio de respeito à privacidade, os cidadãos podem exigir que uma página da Web seja removida dos resultados de um mecanismo de busca (desindexação da página).

Quais dados devem ser protegidos?

Independentemente de serem coletados e usados por meio de uma plataforma on-line segura, na Internet ou em qualquer outro lugar, todos os dados pessoais devem se beneficiar das garantias de proteção estabelecidas na regulamentação europeia:

Os princípios de proteção de dados devem ser aplicados a qualquer informação relativa a uma pessoa física identificada ou identificável.

Fonte: Diretiva 2016/680 do Parlamento Europeu e do Conselho sobre o RGPD publicada no Jornal Oficial da União Europeia em 27 de abril de 2016.

Exemplos de dados pessoais a serem protegidos nos termos do RGPD:

  • gênero
  • idade
  • número de telefone
  • endereço de e-mail,
  • salário ou remuneração,
  • fotografia facial,
  • endereço postal,
  • estado civil,
  • nome de usuário e senha,
  • número do cartão bancário,
  • número do seguro social,
  • se você usa óculos (e o grau de correção),
  • quaisquer características físicas,
  • quaisquer características psicológicas,
  • etc.

Exemplos de informações confidenciais coletadas, por exemplo, para monitorar ou gerenciar um local aberto ao público:

  • opinião política
  • atividade sindical,
  • crenças religiosas (ou agnósticas),
  • preferências sexuais,
  • informações médicas,
  • análises biométricas,
  • condenações criminais,
  • dados relativos a menores de idade.

Quaisquer dados coletados para fins de criação de perfis de consumidores também devem ser protegidos e enquadrados na estrutura de transparência imposta por lei:

  • dados coletados na Internet por meio de cookies,
  • análise do comportamento do usuário da Internet identificado no site (dados comportamentais),
  • hábitos de consumo on-line ou off-line,
  • redirecionamento de publicidade,
  • metadados relativos a um indivíduo
  • etc.

Empresas envolvidas

Independentemente de sua localização geográfica, qualquer empresa é afetada pelo GDPR a partir do momento em que processa os dados pessoais de um europeu. A lei não faz distinção entre uma empresa que opera na Europa e uma empresa sediada fora da zona europeia que coleta e processa os dados de um cidadão europeu ou de um cidadão estrangeiro residente na Europa.

Sou afetado pelo RGPD?

Sua organização é afetada se, no curso de seus negócios, você usar pelo menos uma das seguintes palavras: prospect, cliente, funcionário, colega, paciente, contribuinte, cidadão, usuário, usuário, membro, doador.

Você armazena dados em um software de CRM, em uma plataforma on-line ou em um arquivo?
Você coleta, processa e usa os dados privados de cidadãos europeus?

Como o RGPD protege os cidadãos, há 99,9% de chance de você ser afetado!

O Regulamento Europeu de 2018 se aplica às seguintes empresas e organizações:

  • autoridades locais e regionais, administrações
  • Empresas (gerentes de recursos humanos, processadores de dados de clientes),
  • associações (profissionais, políticas, religiosas etc.),
  • hospitais e profissionais da área médica,
  • empresas de hospedagem,
  • Empresas de backup em nuvem,
  • serviços de armazenamento de dados,
  • editores de software ou sistemas de TI instalados em empresas,
  • VSEs, PMEs, etc.

As partes responsáveis pela proteção

A lei estipula que todas as empresas envolvidas em qualquer estágio do processamento de dados são responsáveis pela proteção de dados.

A autoridade de supervisão na França é a CNIL. Esse órgão emite certificações, realiza verificações e sanciona as empresas que não cumprem a regulamentação.

Aqui estão os principais participantes que devem ser responsabilizados a pedido da CNIL:

  • A empresa que usa dados pessoais: ela é responsável pelo processamento e deve adotar um código de conduta transparente, implantar procedimentos em conformidade e fornecer provas documentais em caso de inspeção;

  • O DPO (Data Protection Officer): esse especialista é nomeado pela empresa para garantir a melhor proteção de dados possível. A função do DPO é fornecer suporte independente para garantir que a empresa esteja em conformidade com o RGPD;

  • O subcontratante: a responsabilidade do subcontratante é assumida a partir do momento em que a sua atividade está relacionada com o processamento de dados; quer a sua sede seja na Europa ou em qualquer outro local, também ele deve estar em conformidade.

Conformidade e obrigações

Para preparar sua empresa para a conformidade com o RGPD, o appvizer fornece um guia detalhado. Aqui estão os principais pontos.

4 artigos a serem lembrados da lei europeia

A Diretiva 2016/680 do Parlamento Europeu e do Conselho sobre o RGPD foi publicada no Jornal Oficial da União Europeia em 27 de abril de 2016.

Por meio de seus artigos de lei, esse texto oficial do regulamento do RGPD especifica conceitos importantes:

  • O artigo 4, "Princípios relativos ao tratamento de dados pessoais", destaca, em particular, os aspectos lícitos e leais do tratamento, a relevância dos dados coletados em relação à finalidade de uso, bem como a retenção razoável de informações ao longo do tempo (12 meses).

  • O artigo 28, "Consulta prévia à autoridade supervisora", afirma que o controlador de dados deve fornecer uma avaliação de impacto à sua autoridade supervisora mediante solicitação. Essa autoridade avalia as condições de proteção de dados.

  • O artigo 32, "Nomeação do encarregado de proteção de dados", exige que todas as empresas nomeiem um encarregado de proteção de dados (além do controlador de dados) que seja bem versado em questões técnicas e direitos e capaz de se reportar à autoridade supervisora à qual se reporta.

  • O artigo 37, "Transferências sujeitas a salvaguardas adequadas", enfatiza que a transferência de dados pessoais para um país fora da União Europeia exige que o controlador de dados informe a autoridade supervisora e forneça a ela a documentação que especifica as "salvaguardas adequadas" para a proteção de dados.

Ações e documentos obrigatórios

Esses trechos do Regulamento Europeu refletem algumas das novas obrigações da empresa responsável pelo processamento de dados.

De acordo com a nova regulamentação, as empresas têm um maior senso de responsabilidade: elas se tornam controladoras de dados e devem documentar sua conformidade. Esse princípio é conhecido como Responsabilidade.

Aqui estão as principais obrigações a serem honradas e documentadas para cumprir o RGPD:

  • Manter um registro das operações de processamento de dados, incluindo: as pessoas responsáveis, a natureza dos dados, as finalidades, uma classificação das operações de processamento, o período de retenção, o fluxo e a transferência de dados geográficos, a fim de estabelecer a rastreabilidade dos dados;

  • Realizar uma Avaliação de Impacto na Proteção de Dados (DPIA): esse estudo abrangente identifica os riscos de perda ou vazamento de dados, suas causas e lista os recursos e as soluções técnicas necessárias para proteção e segurança;

  • Implementação de procedimentos internos: conscientização da equipe e introdução de práticas recomendadas, colocando em prática todos os processos obrigatórios que permitem que os proprietários de dados exerçam seus direitos (retificação, portabilidade, exclusão etc.);

  • Implantação de tecnologias que garantam a confidencialidade e a segurança dos dados: todos os procedimentos devem ser detalhados por escrito, e é altamente recomendável que um alto nível de segurança e confidencialidade seja incorporado desde o estágio de projeto de uma operação de processamento e da tecnologia relacionada. Essa abordagem é conhecida como Privacy by Design;

  • Supervisionar a transferência de dados para fora da União Europeia: verificar os contratos com subcontratados e fornecedores, garantindo que eles estejam em conformidade com os padrões do RGPD para evitar qualquer risco;

  • Manter provas de consentimento dos consumidores ou usuários;

  • Detalhar os procedimentos estabelecidos em caso de violação de dados: é necessário notificar a pessoa em questão o mais rapidamente possível e notificar a autoridade supervisora no prazo de 72 horas.

Penalidades

Embora as multas sejam altas, não devemos nos esquecer dos danos que todo cidadão pode reclamar: além do prejuízo financeiro, as repercussões na imagem da empresa podem destruir sua reputação e reduzir matematicamente sua atividade como resultado da perda de confiança do cliente.

O valor da multa

Nesse caso, a multa pode chegar a 10 milhões de euros: se a autoridade supervisora constatar que a empresa não cumpriu suas obrigações, como realizar uma avaliação de impacto (DPIA), manter um registro das operações de processamento de dados, implementar processos de segurança (inclusive para seus subcontratados) ou adotar a abordagem Privacy by Design, a empresa em questão está sujeita a uma multa equivalente a 2% de seu faturamento anual mundial.

Nesse caso, a multa pode chegar a 20 milhões de euros: se a autoridade supervisora constatar que a empresa não está cumprindo suas obrigações com relação ao princípio do consentimento e não está respeitando os direitos das pessoas, a multa será de 4% do faturamento mundial anual.

A posição da CNIL

Em um artigo no Les Echos (datado de 18/02/2018), Isabelle Falque-Pierrotin, Presidente da Commission Nationale de l'Informatique et des Libertés, fornece os seguintes esclarecimentos sobre a estratégia de controle da CNIL:

Seremos pragmáticos e flexíveis. Há vários princípios no GDPR que não são novos. Por exemplo, a obrigação de especificar as finalidades para as quais os dados pessoais são coletados ou os limites de tempo de retenção dos dados. Verificaremos esses pontos em 26 de maio, como fizemos em 12 de abril. Por outro lado, quando se trata de novos princípios ou ferramentas, como o direito à portabilidade de dados de um serviço para outro, agentes de proteção de dados ou o registro de processamento, adotaremos uma postura de apoio. Nosso objetivo não será sancionar imediatamente as violações de novas obrigações vinculadas ao RGPD. Isso certamente durará até o final de 2018. Depois disso, veremos.

Ferramentas de conformidade

Em 2018, a CNIL será conciliadora com as empresas que demonstrarem boa-fé. O importante é iniciar o processo e dar a si mesmo os meios para honrar os requisitos exigidos pelo regulamento. Aqui estão algumas soluções de conformidade com o RGPD para atingir o objetivo com tranquilidade. Saiba mais.

ORYGA: governança de dados pessoais

  • as finalidades do processamento estão alinhadas com a governança de seus dados pessoais,
  • formulários de processamento pré-preenchidos de acordo com a finalidade para economizar tempo,
  • integração da abordagem de privacidade por design na solução,
  • rastreabilidade de dados e solicitações de exercício de direitos,
  • processos de segurança detalhados,
  • gerenciamento integrado de eventos e riscos.

Compliance Booster: solução de conformidade com DPO sob demanda

  • avaliação de impacto de dados (DPIA),
  • o registro de processamento de dados,
  • terceirização de seu DPO (advogados especializados),
  • armazenamento do comprovante de consentimento,
  • transmissão do comprovante de consentimento para a CNIL em até 72 horas,
  • documentos totalmente informatizados e rastreáveis listando seus processos de segurança.

Argumento de fortalecimento da confiança: o Compliance Booster cobre o risco financeiro de até 90 milhões de euros no caso de um erro pelo qual ele seja responsável.

Privacil-DMPS: ferramenta de conformidade para DPOs

  • Resumos da DPIA para determinar as ações prioritárias a serem tomadas,
  • uma visão sinóptica das ações concluídas e futuras,
  • procedimentos simplificados para gerenciar o acesso e o exercício de direitos sobre dados pessoais,
  • as finalidades do processamento são determinadas
  • os procedimentos para restrição ou destruição são fornecidos no caso de uma solicitação.

A notificação à CNIL dentro de 72 horas no caso de uma violação de dados pode conter informações adicionais, como o nome e os detalhes de contato do DPO, a natureza da violação e as pessoas envolvidas, as consequências e os riscos em potencial e o início dos procedimentos apropriados.

Benefícios a longo prazo

As vantagens do RGPD para uma empresa ou organização são benéficas quando todos os aspectos do regulamento são considerados a longo prazo.
Um resumo dos benefícios que estão por vir.

Uma nova era de confiança

Esse requisito de segurança que devolve o poder ao consumidor inspirará confiança:

  • confiança do consumidor em empresas responsáveis que respeitam os direitos das pessoas quando se trata de seus dados,
  • confiança entre as empresas, que agora estão se apoiando em padrões comuns.

Um novo clima de negócios

A transparência criará um novo clima de confiança favorável aos negócios.

As empresas que assumem suas responsabilidades projetam uma imagem positiva e conquistam a fidelidade de seus clientes. O comportamento de compra e as opiniões expressas na Web e nas redes sociais direcionarão as escolhas para as empresas mais transparentes e respeitosas.

Isso marcará o fim das empresas opacas em que o gerenciamento de dados pessoais não é levado a sério.

Além disso, as barreiras comerciais entre os países da União Europeia - e isso também inclui empresas fora da União Europeia, já que o assunto do RGPD está muito em voga nos EUA - cairão como resultado de regras comuns de conformidade de processamento de dados.

Custos reduzidos

O que fazíamos antes do RGPD? Multiplicávamos nossos custos de conformidade por 28 países (28 leis diferentes). O RGPD simplificará o atual imbróglio de TI.

O padrão comum levará à detecção e à eliminação de processos e aplicativos "duplicados". Como resultado, os recursos e os processos operacionais serão racionalizados, resultando em economia orçamentária.

Marketing mais eficaz

Todas as ações de marketing digital se beneficiarão automaticamente de :

  • dados pessoais atualizados- não haverá mais informações imprecisas,
  • Consentimento comprovado, o que melhorará o direcionamento e a eficácia das campanhas de e-mail em particular,
  • processamento de dados centralizado- não haverá mais versões diferentes de arquivos de clientes

Por fim, o departamento de marketing economizará tempo, refinará sua segmentação e implementará melhores campanhas de aquisição de clientes.

Artigo traduzido do francês