top of page

Você sabe o que é GDPR?

  • Roberto Barberá
  • 9 de jun. de 2018
  • 8 min de leitura

Este artigo foi inspirado nas idéias de Adam Geitgey (https://medium.com/@ageitgey)

Se você tem um site, presta serviços via internet, ou desenvolve aplicativos, entenda o GDPR (General Data Protection Rule).

Como um colegial, ou universitário que ainda não iniciou seu projeto de fim de curso, você está (ou, pelo menos, deveria) perdendo o sono, com medo do que terá que mudar no projeto do seu site, serviço ou aplicativo? Ou está cheio de dúvidas sobre o enorme texto do documento que trata do GDPR, mas está sem paciência para ler aquilo tudo?

Vamos dar um jeito nisto! Aqui vai minha versão resumida e básica do que as regras do GDPR significam para o seu pequeno negócio na Internet - no menor número de palavras possível!

Nota: não sou advogado, não sou residente da União Europeia (UE) e nem dos EUA. Sou carioca da gema e estou apenas compartilhando minhas próprias anotações para ajudar a economizar o seu tempo e apontar, aqui, o que julgo ser a direção correta. Da mesma forma, não faço afirmações de que esta informação seja inquestionavelmente precisa.

O que é a regulamentação GDPR?

Ao contrário do governo dos EUA, a UE dá claros sinais de cansaço em relação ao comportamento das gigantes de tecnologia e internet, que coletam toneladas de dados de consumidores e, em seguida, os deixam vazar, ou abusam destas informações de forma recorrente.

Para tentar consertar o atual estado de coisas, a UE criou o Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês). Trata-se de um conjunto de novos regulamentos da UE que estabelece, exatamente, como as empresas devem gerenciar os dados pessoais que coletam.

A má notícia, pelo menos na minha visão, é a de que, se sua “empresinha web” brasileira não as cumprir, pode ser multada em gigantescas proporções. Os valores podem chegar ao volume de dezenas de milhões de euros (na proporção da gravidade da violação cometida), como apontam as regras previstas no GPDR.

União Européia? Mas estamos no Brasil! (Você acha que eu devo ter bebido todas? Calma, vá lendo e conclua).

Lamento informar, mas, a menos que goste de viver perigosamente, seu site provavelmente será afetado. Você deve seguir os regulamentos do GDPR para o gerenciamento de dados pessoais, se oferecer produtos ou serviços a qualquer pessoa na UE, independentemente de sua localização geográfica!

Tente acompanhar meu raciocínio! Seu website, ou aplicativo para dispositivos móveis (app), é enquadrado como um serviço. E endereços IP, por exemplo, são considerados dados pessoais. Então, a menos que você bloqueie todos os acessos vindos da UE para seu site, você precisará obedecer ao GDPR.

Mas ouvi dizer que o GDPR só se aplica a empresas com mais de 250 funcionários!

Não, isso não é verdade para todos os casos. Existem algumas regras de documentação que foram relaxadas para pequenas empresas. São aquelas que processam dados pessoais ocasionalmente. Mas, em geral, você ainda precisa seguir as normas do GDPR.

Quando é que o GDPR entra em vigor?

Seu site pode começar a ser multado, por não seguir as regras, a partir de 25 de maio de 2018.

Ok, tudo bem! Que tipo de dados pessoais são regulados?

O GDPR abrange todos os dados que possam ser usados ​​para identificar uma pessoa, mesmo que indiretamente. Portanto, os seguintes tipos de dados pessoais são regulados:

  • Coisas óbvias, como nomes, endereços, localização GPS e dados bancários.

  • Coisas menos óbvias, como endereços IP, endereços de e-mail ou, até mesmo postagens de um usuário, tweets ou histórias do instagram.

  • Coisas ainda menos óbvias, como identificações automáticas (ids) de usuários, ou dados "anônimos", se for possível ser feito algum tipo de “engenharia social” dos dados, para identificar a pessoa que os originou.

O que preciso fazer para me enquadrar e cumprir o GDPR?

Enquanto o Regulamento GDPR é bastante longo e complexo, podemos dividi-lo, mentalmente, em alguns requisitos mais amplos que são mais fáceis de pensar, usando, apenas, bom senso:

Requisito 1: justifique sua necessidade de guardar os dados pessoais

Primeiro, você só pode coletar dados pessoais se tiver uma razão válida para armazená-los. Portanto, você não pode simplesmente criar sua própria razão. O GPDR estabelece que há seis justificativas legais para a coleta de dados:

  1. Você obteve o consentimento explícito do usuário para coletar os dados.

  2. Você precisa dos dados para cumprir as objeções contratuais com o usuário   -   como a forma de como uma empresa de telefonia, obviamente, precisa saber o número de telefone de um cliente, para fornecer o serviço telefônico.

  3. Você precisa dos dados para cumprir alguma outra lei.

  4. Você precisa dos dados para proteger a vida de alguém.

  5. Você é uma autoridade pública (como um escritório do governo) e precisa dos dados para cumprir suas responsabilidades.

  6. Você possui um "interesse legítimo" nos dados. Esta justificativa é vaga e requer documentação extra.

Em geral, espera-se que você use a justificativa mais limitada possível e que possua uma necessidade comercial real, para todos os dados coletados.

Além disso, você precisa escolher sua justificativa legal para coletar os dados, antes de colecioná-los. Precisa, também, informar ao usuário esta justificativa, no momento em que for coletar os dados. Por exemplo, você não pode dizer a um usuário que precisa do endereço dele para fazer a entrega do produto a ele acabou de adquirir no seu site, para depois revender este endereço para anunciantes.

Cada uma destas justificativas legais tem seu próprio subconjunto de regras, as quais você deve seguir. Por exemplo, obter o consentimento de um usuário para coletar seus dados deve ser feito de acordo com um conjunto de regras muito específicas. Já se foram os dias daquelas caixas de seleção pré-marcadas e das isenções legais escondidas nas políticas de privacidade.

As coisas ficam ainda mais confusas, se você estiver trabalhando com certos tipos de dados considerados extra sensíveis -   coisas como etnia, religião, orientação sexual, afiliação a partidos políticos ou a sindicatos, informações sobre saúde e biometria. Se você trabalha com esse tipo de dado, melhor seria parar de ler este artigo e procurar um profissional.

Requisito 2: dar aos usuários controle sobre os dados pessoais fornecidos

Depois de coletar dados, você deve fornecer aos usuários controle sobre os dados coletados. Nos contornos do GDPR são citados oito direitos específicos que os usuários possuem, sobre seus dados:

  1. Você tem que dizer aos seus usuários porque você está coletando seus dados, o que você estará fazendo com eles e por quanto tempo você os estará mantendo.

  2. Se algum usuário solicitar, você deverá fornecer uma cópia de todos os dados coletados sobre eles.

  3. Se um usuário disser que os dados estão imprecisos, será necessário corrigi-los.

  4. Se algum usuário solicitar, você precisará excluir todos os dados.

  5. Se um usuário solicitar, você precisará interromper o processamento destes dados.

  6. Se o usuário quiser mudar de seu serviço para outro serviço, você deve permitir que ele transfira seus dados para fora de seu serviço, em um formato legível por outra máquina.

  7. Todo usuário tem o direito especial de se opor a que seus dados sejam usados para determinados fins, como marketing direto.

  8. Se você estiver usando dados pessoais para tomada de decisões, ou para a criação de perfis automatizados (como alimentar os dados do cliente em um modelo de aprendizado de máquinas, para aprovar um empréstimo), então seu site estará exposto a um monte de requisitos extras para explicar como o seu modelo funciona, o que significa ter um sistema com tais recursos e por aí vai.

Na maioria dos casos você se vê obrigado, pelo GDPR, a processar qualquer uma das solicitações citadas, dentro do prazo de trinta dias.

Dependendo de sua justificativa para coletar os dados, nem todos estes direitos se aplicam integralmente. Há uma matriz bizantina de quais direitos se aplicam, para quais justificativas legais. Mas se você geralmente estrutura as operações de seu site para suportar todos esses direitos, você não tem com o que se preocupar.

Requisito 3: manter seguros os dados do cliente

Sob o GDPR, você é obrigado a manter os dados pessoais coletados seguros. Você se torna obrigado a testar regularmente suas medidas de segurança. Espera-se, também, que você como responsável pelo produto serviço, ou aplicativo, considere a segurança como parte integrante de seu processo de design e não apenas como mera formalidade. Adotar medidas de segurança paliativas, depois de construir seu produto ou serviço, pode não ser suficiente e extremamente caro.

O que isso significa exatamente? O GDPR somente fornece diretrizes para orientar a adoção de “medidas técnicas e organizacionais apropriadas”. Ele não diz exatamente o que você precisa fazer. Para ajudar, a lista de controle é, provavelmente, um bom lugar para começar.

Neste sentido, há a necessidade de monitorar, proativamente, as violações de dados, reportar qualquer violação dentro de 72 horas aos reguladores e manter registros de quaisquer destas violações.

Requisito 4: Implementar governança de dados e manter documentação

Uma grande parte do GDPR é manter a governança adequada, a prestação de contas e a manutenção de registros. Por tudo o que mencionamos até agora, você precisa documentar sua conformidade.

Aqui estão alguns dos requisitos específicos:

  1. Você deve ter registros escritos dos seus objetivos para coletar dados, suas políticas de retenção de dados, um histórico de dados a qualquer momento, suas políticas de segurança e assim por diante.

  2. Se você contratar alguém externo para processar seus dados para você, você deve ter um contrato escrito com eles, delineando claramente seus requisitos e responsabilidades em manter privacidade.

Se você é sócio de uma empresa de pequeno ou médio porte (menos de 250 funcionários) que apenas faz processamento de dados “ocasionalmente”, alguns desses requisitos são relaxados e não se espera que você mantenha registros escritos (com algumas exceções).

As coisas ficam muito mais complicadas se você for uma empresa grande (mais de 250 funcionários) ou trabalhar com dados classificados como "arriscados". Se qualquer uma das situações mencionadas se aplicar à sua empresa, procure um profissional. Você terá que comprovar a realização de auditorias regulares de proteção e nomear um Diretor de Proteção de Dados (DPO, da sigla em inglês Data Protection Officer), para garantir seu conjunto de Ações de Proteção de Dados (DPA, da sigla em inglês).

Isto parece impossível! Desisto!

Por ser gestor de um pequeno negócio online, no Brasil (empresa brasileira), você pode ficar tentado a investir para simplesmente bloquear todos os acessos oriundos de países da UE, ao invés de arriscar-se à exposição a 20 milhões de euros em multas. Porém, este tipo de reação pode ser um tiro no pé. O objetivo destes regulamentos é o de melhorar o manuseio de dados. O espírito não é o de introduzir regras de cara implementação, ou caça multas, ou impossíveis de cumprir. O GDPR esclarece claramente que as empresas que fazem o melhor para cooperar com os reguladores e que seguem seus regramentos, estarão muito menos sujeitas a sanções.

Ok, eu já entendi a ideia básica. Preciso começar a ser responsável e transparente com os dados de meus clientes. Mas onde posso aprender mais sobre os regulamentos do GDPR?

Um bom exemplo a ser seguido (só para variar) é o do Reino Unido, que mesmo às vésperas do BREXIT, abraçou o GDPR e já o adotou, mesmo que temporariamente, para adaptá-lo e produzir o seu próprio “GDPR” pós BREXIT.

Imaginem como seria o nosso Brasil, se tivesse governantes que adotassem esta visão suprapartidária, em que apenas o objetivo de melhorar o estado de coisas (para a maioria da população) estivesse em foco. A atitude dos políticos do Reino Unido demonstra que, mesmo num ambiente conturbado pelo BREXIT, é possível fazer o espírito público prevalecer, com firmeza e serenidade, mesmo no caso de situações extremamente complexas, como as que são tratadas pelo GDPR. É uma questão de aprendermos a reconhecer e a escolher a elite que queremos. Por isto votar nas pessoas certas é tão importante, sobretudo, para o Congresso.

Para aprender a aplicar cada um dos requisitos aqui mencionados e conhecer maiores detalhes sobre a adoção do GDPR, confira o guia GDPR do Gabinete do Comissário Independente do Reino Unido (use o Google Translator, que permite a tradução de documentos inteiros, se necessário). Este guia aborda cada um dos tópicos aqui referidos, com muito mais detalhes, oferecendo listas de verificação de conformidade e links para as regulamentações completas.

Fica a sugestão.

Bom fim de semana a todos.


 
 
 

Comments

Por trás do Blog
Procurar por Tags
Leitura Recomendada

Missão Juno 

Tags
  • Facebook Basic Black
  • Twitter Basic Black
  • Google+ Basic Black

©  Orgulhosamente criado com Wix.com

    Gostou da leitura? Faça a diferença. Doe para 

Eles são super heróis de verdade!!

bottom of page