O que é GDPR?
O Regulamento Geral de Proteção de Dados (GDPR) é um regulamento que visa dar aos indivíduos na União Europeia (UE) controle sobre seus dados pessoais. Outro objetivo deste regulamento é fornecer um ambiente regulatório mais simples para negócios internacionais dentro da UE.
Como evoluiu o GDPR?
O precursor do GDPR foi a Diretiva de Proteção de Dados, adotada em 1995. O GDPR contém requisitos associados ao processamento de dados pessoais de indivíduos localizados na UE.
O GDPR foi adotado em 2017 e entrou em vigor em 25 de maio de 2018.
O que são dados pessoais de acordo com o GDPR?
Os seguintes tipos de dados são considerados pessoais no contexto do GDPR:
Nome
Endereço
Fotos
endereço de IP
Dados sensíveis, como dados genéticos ou biométricos, que podem ser usados para identificar o proprietário dos dados
A quem se aplica o GDPR?
Quase todas as grandes empresas do mundo precisarão considerar a conformidade com o GDPR. Isso ocorre porque o GDPR se aplica não apenas a organizações dentro da UE, mas também a qualquer organização que possa estar fora da UE, mas que ofereça serviços ou bens a empresas e clientes dentro da UE.
Requisitos de conformidade
O GDPR exige que as organizações que lidam com os dados pessoais dos usuários devem:
Use técnicas, como anonimização dos dados coletados, para proteger a privacidade dos usuários.
Projetar seus sistemas de informação com foco na privacidade.
Obtenha o consentimento do usuário para processar seus dados ou tenha outros propósitos legítimos para processar os dados.
Denuncie quaisquer violações em termos de privacidade de dados.
Nomeie um responsável pela proteção de dados (DPO) se as atividades principais da organização envolverem o manuseio de dados pessoais.
Divulgue claramente a coleta de dados, sua finalidade, por quanto tempo os dados serão retidos e se os dados estão sendo compartilhados com terceiros.
Qual é o custo da não conformidade?
O valor da multa depende da gravidade da violação de privacidade. Também depende da quantidade de esforço que a empresa empreendeu para aderir aos requisitos e regulamentos de conformidade.
As organizações que violarem o GDPR podem ser multadas em até € 20 milhões ou até 4% do faturamento anual do exercício anterior no caso de uma empresa, com base no que for maior. Este é um número que pode chegar a bilhões de euros para grandes organizações.
A multa mais alta de € 20 milhões ou 4% do faturamento mundial é para organizações que violaram os direitos de proteção de dados, não implementaram procedimentos de proteção de dados, transferiram dados pessoais através de fronteiras internacionais sem autorização ou ignoraram as solicitações do usuário para sua dados.
Exemplos de violações de dados do GDPR
No início de 2018, ocorreu a violação de dados Facebook-Cambridge Analytica. Os dados pessoais de milhões de usuários do Facebook foram usados pela Cambridge Analytica, sem consentimento, para fins de publicidade política. Isso foi feito por meio de um aplicativo criado por um acadêmico de Cambridge. O aplicativo utilizou não apenas os dados pessoais dos usuários que responderam a um questionário, mas também os dados de seus amigos. Em resposta, o Facebook emitiu um pedido de desculpas e testemunhou no Congresso.
O Facebook também enfrenta o pagamento de vários bilhões de dólares em multas por armazenar acidentalmente milhões de senhas de usuários em texto simples por vários anos. Nesse período, mais de 20.000 funcionários tiveram acesso direto a essas senhas. Embora não houvesse evidências de uso indevido, a comissão de proteção de dados da Irlanda (DPC), que é o regulador de privacidade do Facebook na Europa, anunciou que investigaria o assunto para ver se o Facebook violou o GDPR. Se uma violação fosse encontrada, o Facebook pagaria uma multa de aproximadamente US$ 2,2 bilhões.
Apenas uma semana após a entrada em vigor do GDPR, a CNIL – a autoridade francesa de proteção de dados – recebeu reclamações sobre o Google de duas organizações sem fins lucrativos. Uma organização sem fins lucrativos alegou que o Google forçou os usuários de dispositivos móveis Android a aceitar as políticas de privacidade do Google e consentir o uso de seus dados para fins publicitários. O outro mencionou que os dados pessoais dos usuários estavam sendo processados ilegalmente pelo Google para fins de publicidade.
Mudanças desde a introdução do GDPR
Desde o lançamento do GDPR em 2018, houve um impacto em várias organizações. De acordo com a Forrester, muitas organizações viram uma redução entre 25% e 40% de seu mercado total endereçável desde que o GDPR foi aplicado. Eles também tiveram que reavaliar sua estratégia de data center. Para as empresas de tecnologia, esta tem sido uma oportunidade de comercializar os recursos de privacidade de seus produtos.
O CEO da Apple, Tim Cook, mencionou que os Estados Unidos também precisariam de um equivalente ao GDPR. “”Nossas próprias informações, do cotidiano ao profundamente pessoal, estão sendo armadas contra nós com eficiência militar”, disse Cook.
O GDPR impactou a formulação de políticas em todo o mundo. Vários países sinalizaram que seriam modivoando suas leis de privacidade ou introduzindo nova legislação. Isso inclui Coreia do Sul, Brasil, Japão, Índia e outros países.
