O que é a EU GDPR por que ela é aplicável para todo o mundo?

A GDPR (General Data Protection Regulation – Regulamentação Geral de Proteção de Dados) substituirá a atual Diretiva (Diretiva de Proteção de Dados 95/46/EC). Ela não será aplicável até 25 de maio de 2018, mas ela requer que as organizações comecem a se preparar agora, levando em conta que algumas obrigações podem ser onerosas e consumirem tempo para implementar.

O que são dados pessoais?

Baseado na definição do Artigo 2 da Diretiva 95/46/EC, dados pessoais são quaisquer informações relacionadas a uma pessoa identificada ou identificável (“sujeito dos dados”); uma pessoa identificável é alguém que pode ser identificado, direta ou indiretamente, em particular por referência a um número de identificação ou por um ou mais fatores específicos a sua constituição física, fisiológica, mental, econômica, cultural ou identidade social.

O que é a EU General Data Protection Regulation (EU GDPR)?

Desde 1995, a legislação Europeia não tem atualizado a antiga diretiva (Data Protection Directive 95/46/EC) – esta diretiva foi transposta para seus países membros, resultando em uma diferenciação de regras entre os diferentes países da União Europeia.

Esta nova regulamentação (EU GDPR) foi aprovada em 14de abril de 2016, pelo Parlamento Europeu e Conselho da Europa. Ela será aplicada diretamente em cada país, permitindo uma consistência de regras entre nações sobre os direitos de privacidade dos cidadãos.

Alguns dos mais relevantes pontos são os seguintes:

• Levar em conta a natureza e o propósito do uso dos dados, tanto aqueles que determinam o propósito e meios de processamento de dados pessoais (Controladores de Dados), como aqueles que por sua vez podem gerenciá-los (Processadores de Dados), para estar em conformidade com a EU GDPR, terão que implementar medidas organizacionais e técnicas para atingir um nível apropriado de segurança de dados em termos de confidencialidade, integridade, disponibilidade e resiliência dos sistemas que os suportam, assim como a validação regular da eficácia destas medidas.
• Além das organizações da UE, a EU GDPR cobre organizações for a da UE que oferecem mercadorias e serviços para Sujeitos dos Dados da UE (“uma pessoa identificada ou identificável a quem os ‘dados pessoais’ se relacionam”), mesmo se forem gratuitas, ou que monitore o comportamento de Sujeitos dos Dados dentro da UE.
• Pela nova regulamentação, as organizações têm 1ue minimizar a coleta e retenção de dados e obter consentimento dos consumidores quando do processamento dos dados – em outras palavras, minimizar a coleta de dados do consumidor, minimizar com quem os dados são compartilhados, e minimizar por quanto tempo é mantido. A meta é que as organizações coletem ou armazenem apenas informações que elas precisam para o propósito pretendido, particularmente com relação a dados pessoais.
• A EU GDPR fortaleceu a diretiva anterior, permitindo o direito de ser esquecido pelos proprietários dos dados pessoais e a solicitação para exclusão de seus dados pelas organizações, incluindo dados publicados na web. A EU GDPR declara que “o (…) controlador terá a obrigação de excluir dados pessoais sem atraso indevido, especialmente em relação a dados pessoais que são coletados quando o sujeito dos dados foi uma criança, e o sujeito dos dados terá o direito de obter do controlador a exclusão de dados pessoais com relação a ele ou ela sem atraso indevido”.
• Em caso de vazamento de dados pessoais, a organização terá que notificar a organização responsável por este propósito, a DPA (Data Protection Authority – Autoridade de Proteção de Dados) (“Autoridade de supervisão nacional, agindo com completa independência, responsável pelo monitoramento da aplicação das regras de proteção de dados em nível nacional “), dentro de 72 horas após ter detectado a violação. Notificação obrigatória dos indivíduos afetados depende da possibilidade de acesso não autorizado à informação. A notificação não precisa ser feita a DPA se o vazamento é improvável de resultar em um risco aos direitos e liberdades dos indivíduos.
• Se a organização lida com categorias especiais de dados pessoais em larga escala, ela precisa designer um DPO (Data Protection Officer – Gestor de Proteção de Dados) como parte de sua diretoria.
• Se estas medidas não forem atendidas, AS penalidades são altas: até 20 milhões de Euros ou em caso de organizações, até 4% do volume anual de negócios, o que for mais alto.

Minha organização precisa estar em conformidade com a EU GDPR?

Existem dois tipos de responsabilidades com relação a proteção de dados pessoais: dos “controladores” de dados e dos “processadores” de dados.

Também deveria ser percebido que os dados pessoais de empregados estão incluídos no escopo desta regulamentação.

Assim, as organizações que precisam estar em conformidade com a EU GDPR são:

• Organizações (controladores e processadores) estabelecidos na UE, independente se o processamento é feito ou não dentro da UE.
• Organizações (controladores e processadores) não estabelecidos na UE oferecendo mercadorias e serviços dentro da UE ou para indivíduos da UE.

Como as organizações podem se preparar?

O impacto da EU GDPR é que a proteção de dados pessoais se tornou uma questão de importância vital para a gestão as organizações. É fundamental que a preparação de políticas seja baseada em uma estrutura de responsabilização e regras transparentes para assegurar resposta rápida a incidente de segurança e consequentes vazamentos de dados.

A adoção de normas como a ISO / IEC 27001 para Segurança da Informação será a base para rapidamente atingir a conformidade com a EU GDPR.

Para aprender mais sobre como a ISO 27001 pode ajudar com a proteção de dados pessoais, por favor leia nosso paper gratuito  Privacy, cyber security, and ISO 27001 – How are they related?

Nós agradecemos a Rhand Leal pela tradução para o português.