search
A mídia que reinventa a empresa
Registrar un software

RGPD e sanções: não perca a conformidade!

RGPD e sanções: não perca a conformidade!

Por Nathalie Pouillard

Em 28 de outubro de 2024

RGPD e sanções: dois termos que causam arrepios nas empresas desde 25 de maio de 2018, quando o Regulamento Geral de Proteção de Dados entrou em vigor. De âmbito europeu, ele tem como objetivo fornecer uma estrutura para a segurança, a confidencialidade e a rastreabilidade dos dados pessoais em um ambiente cada vez mais digital. As empresas estão vendo suas obrigações aumentarem, estabelecidas em termos muito concretos em uma lei, sob pena de penalidades administrativas e criminais. Mas quais são exatamente essas obrigações? E, acima de tudo, como elas podem ser evitadas? Vamos dar uma olhada no que está envolvido e no que você pode fazer a respeito...

Definições e contexto do RGPD

Da Lei de Proteção de Dados ao RGPD

Você já está familiarizado com a lei francesa sobre tecnologia da informação, arquivos e liberdades, conhecida como "Loi Informatique et Libertés " (lei nº 78-17 de 6 de janeiro de 1978), que regula a liberdade de coletar, processar e usar dados pessoais, e estabelece obrigações em termos de direito de acesso, direito à portabilidade e direito de ser esquecido.

O RGPD é uma espécie de extensão dessa lei, trazida para o nível europeu:

O Regulamento Geral de Proteção de Dados (GDPR) é um texto normativo europeu que rege o processamento de dados igualmente em toda a União Europeia.

le portail de l’Économie, des Finances, de l’Action et des Comptes publics (economie.gouv.fr)

De fato, a Lei de Proteção de Dados foi atualizada em de junho de 2019 para transpor as novas regulamentações europeias para a legislação francesa. Essa nova versão está em vigor desde 16 de julho de 2019.

Os objetivos da implementação do RGPD são

  • reforçar os direitos dos consumidores e usuários
  • tornar as empresas (controladores de dados) e subcontratantes que lidam com dados pessoais (clientes potenciais, clientes, funcionários, etc.) mais responsáveis,
  • harmonizar as regulamentações nacionais na Europa,
  • consolidar a cooperação entre as diversas autoridades de proteção de dados.

GDPR e autoridades competentes

O Comitê Europeu de Proteção de Dados

A missão do Comitê Europeu de Proteção de Dados (EDPS) é garantir a aplicação consistente do RGPD para fins de :

  • prevenção e detecção de infrações penais
  • investigação, processo judicial e aplicação de penalidades criminais.

Ela é composta pelos chefes das autoridades do RGPD de cada Estado-Membro, por representantes das autoridades da Noruega, Islândia e Liechtenstein (sem direito a voto) e por representantes da Comissão Europeia. Eles são presididos nos primeiros cinco anos pela Sra. Andréa Jelinek, chefe da autoridade austríaca.

Cada Estado-Membro, portanto, tem sua própria autoridade competente, com as mesmas tarefas e poderes para garantir a aplicação uniforme do RGPD em toda a Europa, especialmente para disputas transfronteiriças. Na França, ainda é a CNIL, uma autoridade administrativa pública independente.

As autoridades de proteção europeias estão atualmente cooperando em 345 reclamações transfronteiriças. A CNIL está envolvida em 187 casos e é a autoridade principal em 15 casos. Essas reclamações levantam, principalmente, questões sobre consentimento.

baromètre CNIL/ Ifop 2018.

Missões da CNIL

Informação e prevenção

  • Informar funcionários, indivíduos e empresas sobre a proteção de dados pessoais,
  • Fornecimento de documentação,
  • Aumentar a conscientização.

Suporte e aconselhamento

  • Apoio aos membros do parlamento,
  • Emissão de pareceres e recomendações sobre projetos de lei e decretos.

Controle

  • Realização de inspeções no local, inspeções de documentos, audiências ou inspeções on-line,
  • De acordo com um programa pré-estabelecido, mas também com base em relatórios ou reclamações,
  • É dada atenção especial aos estabelecimentos que já foram notificados formalmente e aos sistemas de vigilância/videoproteção por vídeo.

Penalidades

Em caso de não conformidade observada durante a inspeção de uma empresa, a CNIL pode, por meio de seu comitê seleto dedicado a sanções

  • denunciar o delito ao Ministério Público,
  • impor uma penalidade financeira administrativa,
  • decidir publicar as penalidades impostas.

Antecipação

A CNIL criou um comitê de especialistas dos setores público e privado para antecipar novas tendências tecnológicas e seu impacto potencial sobre as liberdades (questões emergentes).

Obrigações das empresas

Conformidade com o RGPD: quem é afetado?

Todas as empresas :

  • privadas ou públicas,
  • que coletam ou processam dados pessoais,
  • independentemente de seu setor de atividade ou tamanho,
  • localizadas na União Europeia ou cuja atividade diga respeito a residentes europeus.

Elas devem proteger "indivíduos, independentemente de sua nacionalidade ou local de residência".

4 etapas para a conformidade

Como controladora de dados, a empresa deve ser capaz de fornecer todas as evidências de conformidade com a proteção de dados, como o registro de processamento, a análise de impacto (no caso de gerenciamento de dados altamente confidenciais, às vezes a pedido das autoridades de supervisão) e a prova de consentimento.

📑 O registro das atividades de processamento de dados

Previsto no artigo 30 do RGPD, este documento de inventário e análise centraliza o processamento de seus dados em vários departamentos: recrutamento, gerenciamento de folha de pagamento, treinamento, gerenciamento de crachás e acesso, estatísticas de vendas, gerenciamento de clientes e prospectos, etc.
Ele lista

  • As partes envolvidas no processamento de dados (controlador de dados, DPO, quando aplicável, subcontratados, controladores conjuntos),
  • as ferramentas e os serviços de TI que interagem em cada estágio do processamento de dados,
  • as categorias de dados processados (idades, categorias socioprofissionais, e-mails etc.),
  • os meios de coleta (GPS, cookies, formulários, etc.),
  • a finalidade para a qual os dados são coletados (fidelização, prospecção, etc.),
  • como os dados são usados (por quem), comunicados (a quem), quem mais tem acesso aos dados (hosts, prestadores de serviços intermediários, etc.),
  • por quanto tempo os dados são mantidos,
  • as medidas de segurança implementadas para o armazenamento de dados.

A nomeação de um encarregado de proteção de dados ( DPO ) é obrigatória para órgãos públicos e para aqueles que processam dados, especialmente dados confidenciais, que exigem monitoramento regular em grande escala. O DPO dá suporte à organização, orientando a governança dos dados pessoais, que é de responsabilidade da empresa.
Ele pode ser externo à empresa (como um advogado) ou interno (essa tarefa pode ser executada pelo Correspondente de Proteção de Dados já existente, por exemplo).

É preciso ter o consentimento das pessoas cujos dados estão sendo coletados. O ideal é manter um registro dos consentimentos, documentando as condições de coleta e as evidências.

♻️ Classificação de dados

  • Elimine todas as informações desnecessárias de seus formulários de coleta e bancos de dados;
  • Defina regras de exclusão automática ou arquivamento após um determinado período em seus aplicativos e software;
  • Verifique se os direitos de acesso aos dados estão limitados a determinadas pessoas, listadas no registro.

Você pode se ajudar respondendo a estas perguntas:

  • Os dados são necessários para sua empresa?
  • São sensíveis (origem racial ou étnica, opiniões políticas, crenças religiosas, filiação sindical, dados genéticos, biométricos, de saúde ou sexuais)?
  • O gerenciamento dos direitos de acesso está em conformidade?
  • Você tem dados antigos que não deveriam mais estar em sua posse?
    → Dados pessoais de pessoas que estão inativas há 3 anos ou mais (ex-funcionários, ex-clientes),
    → Consentimento dos visitantes de seu site para processar cookies que não foi renovado por 13 meses ou mais, etc.

💡 Respeito aos direitos dos indivíduos.

Os titulares dos dados são:

  • informados sobre quem coleta seus dados, quem tem acesso a eles, a quem são comunicados, por quais motivos e por quanto tempo são mantidos,
  • livres para se opor, facilmente, graças a procedimentos claramente definidos (por meio de um espaço pessoal, por e-mail, etc.),
  • ter suas solicitações de modificação ou exclusão atendidas em um prazo máximo de um mês.

66% dos franceses dizem que são "mais sensíveis do que nos últimos anos à proteção de seus dados pessoais". Suas preocupações: roubo de dados, invasão de redes sociais, spam/prospecção.

baromètre CNIL/ Ifop 2018.

🔒 Segurança de dados

A empresa é obrigada a garantir a integridade de seus ativos de dados, reduzindo os riscos de perda e invasão. Para fazer isso, você deve

  • garantir que o acesso às suas instalações seja seguro,
  • garantir que as contas de usuários externos e internos sejam protegidas com complexidade suficiente
  • manter seu software e o software antivírus atualizados
  • alterar suas senhas com frequência,
  • criptografar dados confidenciais,
  • configure um procedimento de backup e recuperação de dados.

    A função da CNIL

    Dependendo do resultado da inspeção da CNIL, várias ações podem ser tomadas.
    Se a inspeção :

    • for satisfatória, o presidente da CNIL enviará uma carta à empresa para encerrar o arquivo;
    • revelar violações menores (por exemplo, período de retenção de dados ligeiramente excedido), o presidente da CNIL enviará uma carta à empresa para encerrar o arquivo com recomendações;
    • identifica violações mais graves, o Presidente da CNIL pode notificar formalmente a organização para que cumpra as exigências dentro de um período especificado e/ou encaminhar o caso para a Seção Restrita da CNIL, que imporá as penalidades previstas nos artigos do RGPD;
    • Observe que, na ausência de uma resposta ou de medidas corretivas após uma notificação formal, o comitê seleto da CNIL responsável pelas sanções poderá assumir o caso, tornar públicas suas decisões e notificar o Ministério Público nos casos mais graves.

    Penalidades aplicáveis

    Sanções administrativas

    O comitê seleto da CNIL pode decidir impor sanções administrativas, em ordem crescente:

    • uma advertência
    • uma injunção de cumprimento, possivelmente com penalidades por atraso com base em um prazo (sujeito a uma multa),
    • restrição temporária ou permanente do processamento de dados,
    • suspensão de fluxos de dados,
    • uma ordem para cumprir as solicitações dos detentores de direitos, com penalidades por atraso dependendo do prazo,
    • uma multa administrativa.

    Dependendo da duração, da gravidade e da natureza da infração, a multa administrativa pode representar :

    • até 2% do faturamento anual mundial da empresa em N-1 ou 10 milhões de euros* (por não manter um registro de operações de processamento, por exemplo),
    • até 4% do faturamento anual mundial da empresa em N-1 ou 20 milhões de euros* (por não obter o consentimento dos titulares dos dados, recusa em cooperar com a CNIL, etc.).

    * Entre o cálculo da porcentagem e da soma, é usado o valor mais alto.

    A partir da data de notificação da decisão da CNIL, a empresa tem dois meses para apresentar um recurso ao Conseil d'État.

    Penalidades criminais

    Os Estados-Membros podem decidir aplicar uma penalidade criminal além da penalidade administrativa, para punir violações não cobertas pelo Artigo 83 do GDPR.

    O não processamento correto de dados pessoais, mesmo por negligência, é punível com 5 anos de prisão e multa de € 300.000 (artigos 226 16 a 226 24 do Código Penal).

    Danos e juros

    As pessoas cujos direitos tenham sido violados também podem apresentar uma reclamação e solicitar indenização na forma de danos. Essa sanção, no caso de ação judicial, é adicional a quaisquer penalidades administrativas e criminais.

    Alguns artigos importantes do RGPD

    Como mencionamos acima, aqui está uma breve visão geral...

    Artigos 45 e 46 do RGPD

    Tratam das transferências de dados pessoais para países terceiros ou organizações internacionais.

    Um controlador de dados não precisa solicitar autorização da CNIL e não pode ser penalizado por transferir dados pessoais para um país terceiro ou uma organização internacional, se as condições de segurança aplicadas forem satisfatórias nos termos do RGPD.
    A CNIL publica uma lista de países terceiros e organizações internacionais validados ou incluídos em listas negras no Jornal Oficial da União Europeia e em seu site.

    Se o destinatário não for verificado, o controlador ou processador não poderá transferir dados pessoais para um país terceiro ou para uma organização internacional, a menos que tenha fornecido garantias contratuais e os indivíduos envolvidos tenham "direitos executáveis e recursos legais eficazes".

    Trechos do artigo 83 do GDPR

    Esse artigo estabelece as condições gerais para a imposição de multas administrativas.

    Vários critérios são levados em consideração ao decidir se uma multa administrativa deve ser imposta e qual deve ser o seu valor:

    • a natureza, a gravidade e a duração da violação,
    • se ela foi deliberada ou negligente
    • as medidas corretivas implementadas
    • o grau de responsabilidade,
    • infrações anteriores,
    • o grau de cooperação com a autoridade supervisora,
    • o tipo de dados em questão,
    • como a autoridade competente tomou conhecimento da violação,
    • circunstâncias agravantes (benefícios financeiros obtidos ou perdas evitadas, direta ou indiretamente).

    Se o responsável pelo tratamento ou processador violar mais de uma regra do RGPD, "o montante total da multa administrativa não pode exceder o montante fixado para a violação mais grave".

    Primeiras sanções do RGPD e empresas penalizadas

    Os casos mais notáveis incluem:

    • Bouygues Telecom: €250.000 por proteção insuficiente de dados de clientes da B&You, com contratos e faturas de clientes acessíveis pela simples mudança de um endereço URL no site (mais de 2 milhões de clientes impactados por 2 anos) ;
    • O Facebook e sua subsidiária WhatsApp estão sob ameaça de uma reclamação da Internet Society (ISOC): apesar de ter sido condenada pela CNIL em 2017 (€150.000), a empresa continua a coletar informações confidenciais;
    • Google: € 50.000.000 por falta de transparência, informações insatisfatórias e ausência de consentimento válido para publicidade personalizada, após reclamações coletivas da None Of Your Business e La Quadrature du Net.

    RGPD e software: alguns pontos a serem observados

    Aplicativos de terceiros não cobertos pelo RGPD

    Em termos legais, um editor de software é um subcontratante para os fins do RGPD. Ele processa dados pessoais em nome de um cliente, que é referido como o controlador de dados.

    O editor de software às vezes oferece funções adicionais, por meio de aplicativos de terceiros, para os quais a conformidade com o regulamento europeu deve ser verificada. Por exemplo, as tecnologias de OCR (reconhecimento óptico de caracteres) às vezes vêm de soluções americanas ou russas, que não estão sujeitas ao RGPD. Os editores de software franceses que as integram em suas soluções devem propor uma cláusula de conformidade com o RGPD.

    O RGPD permite que a CNIL realize verificações em subcontratados responsáveis pela implementação do processamento em nome de uma organização responsável pelo processamento (por exemplo, hospedagem, manutenção).

    CNIL



    ⚠️ Os editores fora da zona do GDPR, especialmente nos EUA, às vezes oferecem "Adendos de processamento de dados" para conformidade com o GDPR, o que, no final, não garante a conformidade.

    O princípio da privacidade desde a concepção

    A partir do momento em que um site ou CRM é projetado, o princípio da privacidade desde a concepção deve ser aplicado, para atender à necessidade de proteger a privacidade desde o momento em que a ferramenta é criada.

    Quais soluções você deve adotar para garantir a conformidade com o RGPD?

    Os benefícios do software de conformidade

    Um departamento de sistemas de informação (ISD) irrepreensível, um DPO designado, advogados consultados - todas essas partes interessadas podem se mostrar indispensáveis graças ao seu conhecimento jurídico e de TI.
    Mas se você quiser garantir que sua conformidade seja completa, contínua e direta, o suporte de uma plataforma de software pode realmente fazer toda a diferença, poupando seu tempo e cabelos brancos.

    Uma solução de RGPD pode, por exemplo, permitir :

    • manter um registro obrigatório, um verdadeiro mapa do processamento dos dados pessoais dos usuários,
    • gerenciar auditorias de conformidade realizadas regularmente pelo DPO,
    • armazenar provas do consentimento do usuário ou do cliente,
    • categorizar dados, como dados confidenciais e sua finalidade,
    • implementação do gerenciamento de riscos para evitar vazamentos de dados,
    • verificação de procedimentos e tecnologias de criptografia para garantir a segurança dos dados,
    • fornecimento de ferramentas e modelos de informação para os consumidores,
    • identificar quaisquer transferências de dados para países fora da União Europeia,
    • verificar se os contratos com subcontratados dentro e fora da zona do RGPD estão em conformidade e atualizados,
    • manter-se a par das últimas notícias sobre a regulamentação europeia,
    • gerenciar e exibir os resultados das avaliações de impacto na proteção de dados (DPIAs).
      A CNIL desenvolveu um software de código aberto, o PIA ( Privacy Impact Assessment), para orientar as empresas nessa tarefa específica.

    Selecionamos várias soluções para ajudá-lo com sua governança de dados.

    Captain DPO

    O Captain DPO é uma solução colaborativa para DPOs, que permite o gerenciamento ágil e fluido de projetos.

    O responsável pela proteção de dados, seja ele interno ou externo a uma estrutura, supervisiona a conformidade de sua organização ou a de seus clientes, monitora a proteção de dados e documenta as medidas implementadas no caso de uma auditoria.
    Todas as partes interessadas (controlador de dados, responsável pela segurança dos sistemas de informação, etc.) são chamadas a garantir a conformidade total e efetiva. Os subcontratados também têm acesso à plataforma para receber instruções da sua empresa e enviar seus próprios relatórios de processamento.

    Os recursos incluem

    • Painel de controle interativo,
    • vários registros de processamento
    • mapeamento de aplicativos
    • mapeamento de riscos
    • gerenciamento de solicitações de retificação,
    • integração do software CNIL para análises de impacto,
    • autodiagnóstico do RGPD,
    • espaço e controle de versão de documentos,
    • indicadores de monitoramento de desempenho,
    • diretório de empresas, etc.

    Data Legal Drive

    Particularmente adequado para PMEs e PMIs, o Data Legal Drive foi projetado para oferecer um software seguro, intuitivo e colaborativo, quer você tenha um DPO interno ou externo, ou nenhum.

    A solução foi desenvolvida graças à ampla experiência jurídica em tecnologia da informação de nossos editores e advogados parceiros. Ela foi nomeada a melhor tecnologia jurídica nos prêmios Trophées du Droit e Victoires de l'innovation juridique em 2019.

    Ele ajuda as empresas a acelerar sua conformidade do ponto de vista jurídico, organizacional e técnico. Você pode centralizar seus procedimentos e ter acesso a documentação de ponta. Listas de tarefas, alertas e relatórios de progresso fornecem uma diretriz prática para atender a todos os critérios legais.

    Os recursos incluem

    • mapeamento de processamento e riscos
    • compilação de registros
    • diagnósticos de conformidade usando questionários interativos,
    • gerenciamento e monitoramento de contratos, alterações e outros documentos de conformidade com o RGPD,
    • gestão de pedidos dos titulares dos dados,
    • gestão de violações de dados pessoais, identificadas internamente ou reportadas pelos seus subcontratantes,
    • treinamento de monitoramento para aumentar a conscientização sobre as questões do RGPD,
    • banco de dados de documentos com modelos de cláusulas e contratos, avisos legais,
    • vigilância jurídica,
    • chat de suporte técnico e jurídico com um advogado, etc.

    Compliance Booster (anteriormente Smart GDPR)

    O Compliance Booster é uma solução personalizável e dimensionável que usa automação para facilitar as tarefas dos DPOs e controladores de dados.

    Ela permite que o DPO realize auditorias de RGPD e análises de impacto, além de conscientizar todos os funcionários e subcontratados por meio de cursos de treinamento, especialmente sobre a prevenção de riscos internos e externos.

    Seja qual for o seu nível de conformidade, a ferramenta o apoiará durante todo o processo e o ajudará a manter as boas práticas posteriormente.
    Projetada por responsáveis pela proteção de dados, ela é pré-configurada para 55.000 empresas e 700 setores, e pode ser ampliada para abranger as 10 principais normas de proteção de dados do mundo.

    Os recursos incluem

    • importação do trabalho de conformidade existente
    • interoperabilidade com seu software de negócios
    • manutenção de um registro de processamento e dados,
    • automação de tarefas recorrentes,
    • mapeamento semiautomático de operações de processamento,
    • auditorias inteligentes e estudos de impacto,
    • análise de lacunas de conformidade com priorização automática e modificável,
    • documentação especializada exportável,
    • departamento jurídico integrado,
    • cobertura de risco financeiro no caso de erros atribuíveis à plataforma etc.

    Apresentar uma cópia fiel

    A conformidade de sua empresa com o RGPD não é algo a ser considerado levianamente. Não só é obrigatório, como o não cumprimento pode resultar em penalidades significativas, afetando não só a sua carteira, mas também a imagem de marca da sua empresa.

    A associação ADEF, que administra acomodações para estudantes, famílias monoparentais e migrantes, foi multada em 75.000 euros dois meses após a introdução das normas.

    Independentemente do tamanho de sua organização e de seus recursos, conte com a ajuda de especialistas na área. Uma solução de conformidade com o RGPD o ajudará a configurar e monitorar os regulamentos. A paz de espírito é sua!

    Artigo traduzido do francês