search
A mídia que reinventa a empresa
Registrar un software

RGPD: Quem é afetado por essa nova regulamentação europeia?

RGPD: Quem é afetado por essa nova regulamentação europeia?

Por Alexis Quentrec

Em 12 de novembro de 2024

O Regulamento Geral de Proteção de Dados(GDPR) entrará em vigor em 25 de maio de 2018.
Esse regulamento europeu estabelece e reforça novas obrigações com relação ao uso (ou seja, processamento) de dados pessoais de cidadãos europeus.

O que são dados pessoais?

Dados pessoais são dados vinculados a uma pessoa física e que caracterizam essa pessoa. Normalmente, isso inclui sobrenome, nome, endereço, endereço de e-mail, mas também data de nascimento, endereço IP etc. Em suma, qualquer informação que possa ser usada para identificar uma pessoa física direta ou indiretamente.

O desafio do RGPD é controlar o processamento desses dados. Por processamento, entendemos o uso de dados por meio de um serviço de TI para atingir um objetivo específico.

Por exemplo, os dados podem ser processados para enviar um boletim informativo a todos aqueles que deram seu consentimento: o endereço de e-mail (possivelmente incluindo nome e sobrenome) é processado para enviar o boletim informativo.
O processamento também pode envolver a compilação de estatísticas para conhecer melhor os clientes usando ferramentas de big data, com o objetivo de traçar o perfil da base de clientes.
Por fim, não podemos nos esquecer de um caso que diz respeito a todas as empresas, sem exceção: o gerenciamento da folha de pagamento também envolve o processamento de dados pessoais.

Quais obrigações devem ser cumpridas?

Como o próprio nome sugere, a regulamentação diz respeito à proteção a ser concedida aos dados pessoais. As 88 páginas do regulamento estabelecem uma estrutura que deve ser respeitada e desenvolvida. Listamos alguns dos principais pontos abaixo.

Longe de listar os pontos técnicos a serem cumpridos, o regulamento exige que as empresas saibam exatamente quais dados possuem, como eles são processados, por quem e para quais finalidades.
Isso significa que um registro de processamento de dados deve ser mantido, fornecendo um guia de referência para identificar de forma clara e rápida as partes envolvidas e os dados em questão no caso de um incidente de segurança.

A regulamentação também fornece uma estrutura para o comportamento que as empresas devem promover em relação aos dados do usuário final, ou seja, maior transparência e responsabilidade.
Destacam-se as obrigações de informar aos usuários antecipadamente por quanto tempo seus dados serão usados e, acima de tudo, para quais finalidades, de forma precisa e explícita.

A nomeação de um Data Privacy Officer também é essencial. Ele ou ela é o principal arquiteto do cumprimento das obrigações do RGPD: responsável pelas análises de impacto, ponto de contato com os usuários finais e as autoridades, ele ou ela é a pedra angular do cumprimento do RGPD.
Este garante do RGPD pode ser comum a várias empresas, particularmente no mesmo setor de atividade: o DPO pode assim ser uma força de proposta para garantir a segurança dos dados pessoais dentro de diferentes departamentos, mas oferecendo a mesma proteção para os dados pessoais processados.

Por fim, por meio do DPO, as empresas terão que notificar as autoridades competentes sobre qualquer vazamento de dados em um prazo máximo de 72 horas após tomarem conhecimento. A obrigação de informar os usuários cujas informações tenham sido vazadas também está definida e deve ser acompanhada dos meios implementados para solucionar o problema.

Quem é afetado por esse regulamento?

Este regulamento se aplica a empresas que processam os dados de cidadãos europeus ou indivíduos em território europeu. Essas obrigações se aplicam a qualquer empresa que opere na Europa e, portanto, naturalmente a todas as empresas estabelecidas na Europa.

Por fim, o RGPD também se aplica a empresas estabelecidas no exterior, mas que processam dados pessoais em nome de empresas europeias.

Portanto, não há diferença entre editores e empresas usuárias: a mesma preocupação com a proteção de dados pessoais se aplica a ambos os tipos de empresa.

Penalidades dissuasivas

A conformidade com esse regulamento deve se tornar uma parte essencial da estratégia corporativa: se as empresas não levarem em conta as obrigações desse regulamento de forma séria e eficaz, as penalidades serão severas.

As penalidades para violações simples podem ser de até 2% do faturamento da empresa (no caso de uma empresa pertencente a um grupo internacional, esse valor é de 2% do faturamento do grupo) ou de até 10 milhões de euros.
No caso de má conduta grave, a penalidade é dobrada. Em todos os casos, o valor mais alto é retido.

Além do prejuízo financeiro, as repercussões serão maiores em termos da imagem da empresa infratora. Porque o objetivo dessa regulamentação não é punir o vazamento de dados, mas evitar o comportamento arriscado de empresas com pouca consideração pelos dados pessoais.

Editores e usuários, a mesma batalha?

Se eles precisam satisfazer a mesma necessidade de proteger os dados pessoais, há uma alavanca comum: essas obrigações representam uma oportunidade.

O regulamento foi criado para permitir que todos os usuários de um serviço recuperem o controle sobre os dados que são comunicados com bastante facilidade e processados com pouca consideração pela sua finalidade.

Isso abre a porta para empresas e editores que desejam projetar uma imagem respeitosa e honesta, promovendo o tratamento ético de dados pessoais.
Para isso, devem antecipar as obrigações do RGPD, oferecendo aos usuários, por exemplo:

  • Assumir o controle dos seus dados e da forma como são usados, listando de forma clara e precisa as várias operações de processamento, com a opção de optar por participar.
  • Portabilidade de seus dados, exportando-os em um formato padrão (csv, rtf, etc.).
  • Excluir seus dados de forma clara e simples em um espaço dedicado.
  • Ter um ponto de contato dedicado para qualquer dúvida sobre o processamento de dados.

Para um editor, o valor agregado consistirá em se posicionar como um facilitador e oferecer a seus clientes os meios para que tenham uma função ativa nas seguintes áreas em particular:

  • Controle de dados (localização, capacidade de mascarar/criptografar, etc.).
  • Comunicação no caso de um incidente.
  • Transparência com relação ao acesso e aos meios de proteção implementados.
  • A presença de um ponto de contato dedicado para quaisquer questões relacionadas à confidencialidade e ao processamento de dados.

Uma corrida já no sprint final

O RGPD entra em vigor amanhã. Para garantir a conformidade com as obrigações estabelecidas nesse regulamento, é essencial conhecê-lo desde já e antecipar os esforços necessários.

Conhecer e controlar seus ativos de dados é uma tarefa intensa, que deve ser realizada por equipes de negócios cujas preocupações estão distantes dessas questões.
Todos os atores envolvidos devem cooperar e se coordenar para garantir a conformidade com o RGPD: enfrentar os desafios profundos desse regulamento é uma oportunidade real de oferecer valor diferenciado, em um contexto relacionado a dados que está passando por mudanças duradouras.

Artigo traduzido do francês