GDPR – e aí, sua empresa está preparada?

Com evolução tecnológica e a frenética utilização dos meios digitais, há uma troca absurda de dados. Seja em operações de compra e venda, realizando consultas, estudando, relacionando-se através de redes sociais…, enfim, onde tudo acontece de forma virtual e constante, diariamente, 24 horas por dia, 365 dias por ano, bastando apenas um cadastro, que pode ser simples como o fornecimento de um nome, ou num grau mais complexo, onde é informada a quantidade de filhos ou endereço de correspondência.

Por consequência, há uma exposição constante da privacidade e, aliado a isto, um expressivo descontrole do uso e da finalidade dos dados concedidos, como foi o caso recente de utilização indevida de dados do Facebook. Num pretérito não tão distante, tivemos a ocorrência na Cambridge Analytica, cujos dados de 50 milhões de perfis do Facebook foram coletados, indevidamente (num contexto de permissão), visando influenciar a eleição de 2016 nos EUA.

Baseados em intercorrências semelhantes às da Cambridge Analytica (através do Facebook), surgiu a preocupação com os dados dos residentes e dos cidadãos da UE. Visando mitigar tais abusos, numa busca por clareza e transparência na manipulação destes dados, foi criada uma regulamentação internacional que prevê direitos e regras para a manipulação dos dados de tais cidadãos, o GDPR –  General Data Protection Regulation.

A respectiva regulamentação foi adotada no ano de 2016, com uma vacatio de dois anos para entrada em vigor, ou seja, passa a vigorar em 25 de maio deste mês. A partir da data, todos os dados dos cidadãos europeus e/ou residentes na UE que trafegarem neste universo digital (concernentes ou não a operações comerciais, gratuitas ou não), dentro ou fora da UE, terão que ser adequados às regras estabelecidas neste regulamento no GDPR.

Mas o que esse regulamento cobre, a quem se destina e quais suas implicações?

A partir deste mês, todas as empresas, dentro e fora do território Europeu, localizadas em qualquer lugar do mundo, cujas barreiras transacionais se derem dentro de um ambiente virtual, (e, portanto, se aplica às empresas brasileiras), que manipularem ou processarem, de qualquer forma, dados de cidadãos e/ou residentes na UE, precisam adequar-se a GDPR.

Mas como assim?

Todos os que coletam, processam ou manipulam dados de cidadãos europeus devem adequar-se e submeter-se ao disposto no GDPR, independente do objetivo dessas ações.

O manipulador/controlador de dados é o responsável por definir os parâmetros de como e porque tais dados serão trabalhados, ao passo que o processador é o responsável por efetivar a ação factual desses dados.  Podemos dizer então que o controlador pode ser qualquer empresa ou instituição, a exemplo as operações de e-commerce, redes sociais, transações bancárias, compra de passagem aérea, programas de pontos de viagens, até a simples operação de biometria para acesso a um prédio. Já o processador pode ser qualquer empresa de TI que atua no processamento desses dados.

Diante da possibilidade de se processar e/ou controlar esses dados, há a obrigatoriedade de submeter-se a uma regra de compliance trazidapela GDPR, cuja não observância poderá acarretar em multas ‘salgadas’, que podem chegar ao valor de 20 milhões de euros, ou 4% do volume de negócios global da empresa – o que for maior. Não menos importante, poderá levar a suspensão da operação do site [empresa] no que concernem as ofertas e vendas ao mercado europeu.

A proteção dos dados se dá desde a identificação inicial de dados até a notificação imediata de uma violação a uma autoridade competente.

As imposições feitas pela GDPR trazem consigo novas responsabilidades e obrigações voltadas a segurança digital, tais como:

• Fornecer informações transparentes aos titulares dos dados, ou seja, fornecer informações de quais dados estão sendo ou foram manipulados, por qual período serão utilizados e por quanto tempo serão arquivados
• A utilização de dos dados fornecidos deve se limitar ao destino original, como por exemplo um cadastrado para um curso; este cadastro deverá ser utilizado apenas para efeitos de cadastro neste curso específico e mais nada, nem mesmo, para uma futura divulgação de um outro curso de empresa do grupo sem a permissão explícita do usuário
• Demonstrar o consentimento explicito do titular dos dados para o processamento de dados pessoais
• Notificar as autoridades competentes sobre as violações de dados, em no máximo 72 horas após a ciência do fato
• Direito ao esquecimento que, em outras palavras, é o direito do cidadão de que seus dados sejam excluídos do banco de dados da empresa ou mesmo requerer a migração de seus dados para outra empresa, quando solicitados

Por isso, se a sua empresa transaciona com a UE ou pretende fazê-lo e ainda não está preparada para atender a tais exigências, é melhor correr.

Ao time de TI das empresas, bem como departamentos jurídicos, legal e compliance, este tema deve estar em seu mapa de discussões e as adequações devem estar no topo das prioridades. Para direcionar esse assunto, destacam-se alguns passos importantes:

• Analisar o grau de conformidade que sua empresa se encontra no que concernem às regulamentações de privacidade e proteção de dados.
• Verificar todos os aspectos de cibersegurança que devem ser implementados por exigências da regulamentação.
• Analisar o grau de maturidade de sua equipe no que se refere ao tema, pois mudanças serão necessárias e seu time deve estar preparado.

 Mãos à obra!