GDPR

GDPR: Como se aplica ao Brasil? Saiba mais!

GDPR é uma sigla para General Data Protection Regulation, ou em português, Lei Geral de Proteção de Dados Pessoais (LGPD), que consiste em uma lei a qual visa garantir a privacidade e a segurança dos dados de usuários da web que vivem nos países membros da União Europeia.

New call-to-action

Esse tipo de documento foi criado como resposta à pressão da sociedade no geral por controles mais rígidos sobre a captação, armazenamento e utilização das informações dos usuários de serviços digitais. 

Suas principais diretrizes são a proteção da privacidade desses dados repassados a empresas e o direitos das pessoas de solicitarem essas informações a qualquer momento, bem como a obrigação das corporações de eliminarem os dados, caso seja da vontade do usuário.

Neste artigo, vamos abordar mais aspectos sobre o assunto, para entender como ele também afeta o Brasil. Acompanhe a seguir!

O que propõe o GDPR?

Como citamos brevemente acima, além de reforçar a segurança das informações pessoais dos indivíduos, um dos pontos-chave do GDPR é monitorar para que as organizações tenham uma maior responsabilidade ao tratar dos dados sensíveis dos seus clientes.

O alicerce dessas normas está firmado na transparência. Por exemplo, as corporações devem relatar ao governo imediatamente sobre possíveis vazamentos de dados ao governo.

Além disso, outro aspecto alterado é em relação ao rastreamento das atividades dos usuários na internet, que passou a ser mais limitado por parte das organizações.

As publicidades e anúncios online não podem ser tão personalizados e com base no comportamento de consumo das pessoas. Aliás, ainda sobre esses dados, as normas também proíbem que haja uma transferência da União Europeia para outros países de fora.

Se isso for necessário, para que seja possível, deve ser averiguado antes se esses países atendem a uma série de leis de proteção de dados, devendo ser consideradas minimamente satisfatórias pelo Parlamento Europeu.

Como afeta a legislação brasileira de proteção de dados?

As obrigações trazidas pelo GDPR ultrapassam o território europeu: organizações do mundo todo estão sujeitas à lei, caso façam a coleta de dados dos cidadãos do Velho Continente.

Quem tem prestação de serviços ou mantém relações comerciais com empresas ou pessoas nos países do bloco europeu, precisa seguir suas regras. Bem como lida com dados pessoais de cidadãos residentes na Europa, mesmo que não tenha sede física no continente.

Por outro lado, é válido lembrar que o Brasil também possui diversas normas que têm o objetivo de garantir a privacidade e segurança dos seus usuários na internet, como o Marco Civil (Lei nº 12.965) e a já sancionada Lei de Proteção de Dados Pessoais (LGPD), que entrará em vigência a partir de 2020. 

Resumo da lei

Entre as obrigações das empresas, de acordo com o GDPR, estão, de forma resumida:

  • As organizações devem utilizar uma linguagem transparente, concisa e acessível para comunicar as pessoas sobre que tipo de informação coletada, inclusive sempre que isso for solicitado;
  • Também deve ser informado, ao fazer essa coleta, para quais fins exatamente esses dados serão utilizados;
  • O consumidor precisa consentir a captação e armazenamento de cada dado colhido pela empresa;
  • Usuários têm o direito de pedir a eliminação ou o interrompimento de processamento de suas informações a qualquer momento;
  • Qualquer vazamento ou violação dos dados devem ser informados às autoridades europeias em até 72 horas;
  • Fica a cargo das empresas, tanto no Brasil, quanto na Europa, investirem no cuidado da segurança digital própria, para ter esse controle e não ser penalizado numa possível quebra da lei.

É bom lembrar que, no mercado já existem, inclusive, diversas consultorias que se propõem a ajudar essas empresas a se enquadrarem nos quesitos e exigências de segurança.

Quem não segue as orientações do GDPR pode ser punido?

Em tempos de informação acessível em segundos e internet globalizada, não resta dúvidas de que os prejuízos causados por um escândalo em relação ao vazamento de dados, ou sua má utilização, pode levar qualquer empresa a grandes crises de marketing. 

Isso acontece porque o trabalho digital é muito forte para a maioria das organizações nos dias de hoje, consequentemente, oferecer um ambiente cibernético que não seja considerado seguro pode trazer danos irreversíveis à imagem e credibilidade de determinada marca.

Em termos punitivos para o descumprimento do GDPR,  no caso de vazamento de informações, por exemplo, se a empresa deixar de notificar o país europeu afetado, poderá pagar uma ou mais multas de 10 milhões de euros ou 2% do seu faturamento internacional — o que pode vir a ser maior.

Neste ponto é válido frisar que infrações mais graves podem dobrar tanto o valor, quanto a porcentagem da receita.

No caso de empresas de fora da UE, que tenham filiais instaladas no continente, a responsabilização ocorrerá pelo próprio Estado-membro. 

Já as corporações que apenas atendem cidadãos europeus ou conduzem negócios na Europa, sem presença física, deverão apontar um representante legal em território europeu.

Entenda quais são as obrigações do GDPR

O documento publicado do GDPR é extenso e bem detalhado, são dezenas de páginas separadas por 11 capítulos. Vamos resumir os principais pontos para que seja possível entender a abrangência.

Direito ao esquecimento

As empresas, com o direito do esquecimento, são obrigadas a excluir todos os registros de informações pessoais que não sejam importantes para fins estatísticos, científicos, de saúde pública ou para o exercício da liberdade de expressão.

Essa medida visa a proteção das informações pessoais que circulam na Internet, para evitar que os dados sejam utilizados indevidamente.

Proteção para os menores de idade

Existe um capítulo especial dedicado à proteção dos menores de idade, para evitar que aconteça uma exposição indevida com os menores de idade na internet. Para que qualquer informação seja utilizada, será necessário o consentimento expresso dos pais.

Um exemplo disso é o consentimento dos pais para que menores de idade possam se cadastrar nas redes sociais. A medida não é exclusiva apenas para redes sociais, é apenas um exemplo da proteção e o cuidado com os menores de idade.

Permissão dos usuários para a utilização dos dados

Para que seja possível processar os dados pessoais, a empresa em questão necessita solicitar a permissão de forma clara, e que seja afirmativa de cada um dos usuários. Só dessa forma, será possível realizar o processamento das informações.

Ainda falando sobre permissão de utilização de informação, as empresas que coletarem e processarem as informações pessoais dos seus usuários, precisam explicar de forma clara as políticas de privacidade, de maneira que não deixe dúvidas sobre sua utilização.

Portabilidade de dados

Os usuários têm o direito de solicitar a transferência dos seus dados pessoais, sem que exista nenhum tipo de restrição, de um serviço conectado para o outro. A portabilidade de dados acontece da forma bem parecida de como acontece atualmente a portabilidade de operadora de celular.

Vazamento de informações sensíveis

Caso aconteça a invasão por hackers dos servidores de alguma empresa onde os seus dados pessoais estão armazenados, a empresa responsável pelas informações deve comunicar em até 72h após o conhecimento de tal fato para seus usuários.

Profissional responsável pela coleta de informações – Controlador de dados

A GDPR exige que as empresas que estão coletando e processando informações pessoais de usuários, devem ter um profissional responsável pelo tratamento das informações, chamado de controlador de dados.

Esse profissional deve demonstrar que a empresa está seguindo o regulamento corretamente, em conformidade com a legislação.

Como criar procedimentos para o tratamento de dados que respeitem as regras da GDPR?

As empresas precisam se adaptar com as novas regras, sendo importante estabelecer procedimentos para que garanta a execução das normas no processamento das informações. Veja algumas dicas.

Faça um mapeamento dos cenários

Primeiramente, deve ser identificado quais são os dados que devem ser protegidos, e quais são os processos que precisam ser executados para a coleta e para o processamento.

Estabeleça níveis de acesso

Deve ser estabelecido dentro da governança de informações, quem possui acesso aos dados dos clientes, sendo eles classificados por tipo de informação. Quanto mais sensível a informação, menos acessos devem ser concedidos.

Criação de processos de prevenção e detecção de falhas/fraudes

Todos os acessos devem ser controlados, para saber se a utilização está sendo realizada corretamente. E os dados confidenciais devem ter acesso restrito, para minimizar os riscos de acessos indevidos e vazamentos de informações.

Outras considerações

A atenção aos dados e à privacidade dos usuários da web é um tema extremamente atual e cada vez mais importante no que se refere a proteção, segurança e a construção de um relacionamento de confiança entre consumidores e empresas.

Neste sentido, mesmo fora da jurisdição do GDPR, essa preocupação deve ser incentivada, e o quanto antes as organizações precisam se ajustar aos princípios éticos mais rigorosos.

New call-to-action

As leis de proteção de dados, seja aqui no Brasil, na Europa, ou em qualquer lugar do mundo, buscam dar um poder maior para toda a sociedade, que deve ter conhecimento de quem armazena e manipula seus dados pessoais.

E, mesmo que ainda não seja uma exigência legal na realidade brasileira, por exemplo, já é considerado um diferencial competitivo crucial para demonstrar que o negócio se importa com essa discussão.

Veja também: Scale-up: 8 diferenças para entender mais sobre assunto

Gostou das dicas sobre o GDPR? Deixe o seu comentário e compartilhe estas dicas em suas redes sociais! Siga-nos também no Instagram! Acesse o site da Oitchau e conheça outras novidades.

PREÇOS A PARTIR DE APENAS R$ 120/mês

Junte-se a milhares de clientes satisfeitos que fazem a gestão de seus times com Oitchau