O que é a lei GDPR?
GDPR, General Data Protection Regulation (Regulamento Geral de Proteção de Dados), trata-se do conjunto de regulações a respeito de proteção de dados na União Europeia. A GDPR entrou em vigor em 2016 e sua equivalente no Brasil é a Lei Geral de Proteção de Dados (LGPD), que entra em vigor no país em agosto de 2020.
O que o GDPR da União Europeia estabelece principalmente em relação à proteção de dados?
O pacote de medidas sobre proteção de dados, adotado em maio de 2016, tem por objetivo preparar a Europa para a era digital. Mais de 90 % dos europeus afirmam querer o mesmo nível de proteção de dados pessoais em toda a UE, independentemente do lugar em que os dados forem tratados.
Regulamento (UE) 2016/679 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Este texto inclui a retificação publicada no Jornal Oficial da União Europeia de 23 de maio de 2018.
Este regulamento constitui uma medida essencial para reforçar os direitos fundamentais das pessoas na era digital e facilitar a atividade comercial, mediante a clarificação das normas aplicáveis às empresas e aos organismos públicos no mercado único digital. Um ato legislativo único permitirá igualmente acabar com a atual fragmentação resultante da coexistência de sistemas nacionais diferentes e com encargos administrativos desnecessários.
O regulamento entrou em vigor em 24 de maio de 2016 e é aplicável desde 25 de maio de 2018. Mais informações para as empresas e os cidadãos. Informações sobre a incorporação do Regulamento Geral sobre a Proteção de Dados (RGPD) no Acordo EEE. Notificações dos Estados-Membros da UE à Comissão Europeia ao abrigo do RGPD.
Diretiva (UE) 2016/680 relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais relacionado com infrações penais ou a execução de sanções penais, e à livre circulação desses dados. A diretiva protege o direito fundamental dos cidadãos à proteção de dados em caso de utilização dos seus dados pessoais por autoridades responsáveis pela aplicação do direito penal, como as autoridades policiais ou judiciárias, para fins de aplicação da lei. Visará, nomeadamente, garantir que os dados pessoais das vítimas, testemunhas e dos suspeitos de crimes são devidamente protegidos, bem como facilitar a cooperação transnacional na luta contra a criminalidade e o terrorismo. A diretiva entrou em vigor em 5 de maio de 2016, devendo os países da UE tê-la transposto para o direito nacional até 6 de maio de 2018.
Factsheet – How will the data protection reform help fight international crime? Os países da UE criaram organismos nacionais responsáveis pela proteção de dados pessoais, em conformidade com o artigo 8.º, n.º 3, da Carta dos Direitos Fundamentais da UE. O Comité Europeu para a Proteção de Dados (CEPD) é um organismo europeu independente que assegura a aplicação coerente das regras de proteção de dados em toda a União Europeia. O CEPD foi criado pelo Regulamento Geral sobre a Proteção de Dados (RGPD). Este comité é composto por representantes das autoridades nacionais de proteção de dados dos países da UE/do EEE e da Autoridade Europeia para a Proteção de Dados (AEPD). A Comissão Europeia participa nas atividades e reuniões do comité, sem direito de voto. O secretariado do CEPD é assegurado pela AEPD. O secretariado desempenha as suas funções.
Porque a GDPR foi criada?
Se você administra uma empresa e nunca ouviu falar em GDPR, é possível que sua companhia não esteja aproveitando todas as possibilidades da era da informação. Essa sigla se refere a um regulamento criado na Europa, que dispõe sobre a proteção de dados pessoais de cidadãos europeus. Mas o que isso tem a ver com as empresas? O que acontece é que os dados de clientes são um insumo cada vez mais importante para as organizações. Com o mundo tão conectado, foram ampliadas as possibilidades de obter e processar informações. E muitas empresas perceberam o grande valor que os dados têm para garantir vantagens competitivas. É fácil de entender: os dados possibilitam conhecer melhor os clientes e possíveis clientes, o que permite desenvolver processos, produtos e serviços mais alinhados com suas expectativas. Já falamos bastante sobre isso em artigos sobre o big data e business intelligence. Recomendamos a leitura caso você deseje entender melhor esse universo.
Neste texto, queremos ir um pouco adiante. Além de falar sobre as oportunidades que estão nesses dados, vamos abordar a responsabilidade no seu uso. É disso que se trata o GDPR, como vamos procurar explicar ao longo do artigo. São estes os tópicos que você vai conferir:
O GDPR é um regulamento do Parlamento Europeu e Conselho da União Europeia que estabelece regras sobre a privacidade e proteção de dados de cidadãos da União Europeia e Espaço Econômico Europeu. A sigla significa General Data Protection Regulation, o que podemos traduzir como Regulamento Geral sobre a Proteção de Dados. A primeira proposta para o GDPR ocorreu em janeiro de 2012, e o fim das negociações se deu em dezembro de 2015, culminando na assinatura do regulamento, em janeiro de 2016. Sua vigência, porém, teve início somente em maio de 2018. Mas não se trata da primeira lei europeia nesse sentido. Em 1995, foi criada a Data Protection Directive, ou Diretiva de Proteção de Dados, revogada com a implementação do GDPR. Mesmo já existindo regras sobre a proteção de dados de cidadãos europeus, muita coisa mudou entre 95 e o cenário atual. A hiperconectividade e soluções tecnológicas levaram a obtenção e uso de dados de usuários a outro nível, gerando uma série de dilemas éticos com os quais não nos preocupávamos antes. Mais adiante, vamos detalhar o que diz o GDPR e as motivações por trás da sua criação.
Esses são dois conceitos fundamentais quando o assunto é proteção de dados. No caso da transparência, é a prática de não esconder nada. Afinal, uma coisa transparente permite que vejamos através dela, não é mesmo? No caso dos dados, significa que as empresas que coletam dados de pessoas precisam deixar muito claro para todos qual uso que farão deles. Sem a transparência, não é possível que haja consentimento, outro conceito importante no GDPR. A partir de uma política de transparência e notificação de privacidade, o próprio usuário deve ter controle de quais dados serão utilizados. Quanto à responsabilidade, trata-se de fazer com que as empresas.
Em quais casos o GDPR se aplica?
GDPR é o Regulamento Geral de Proteção de Dados (Regulamento (UE) 2016/679) que, em poucas palavras, basicamente esclarece como dados pessoais devem ser legalmente tratados (incluindo como são coletados, usados, protegidos ou compartilhados em geral).
O objetivo do GDPR é, portanto, fortalecer a proteção de dados para todas as pessoas cujas informações pessoais se enquadram em seu escopo, dando-lhes o controle total de seus dados pessoais.
Os dados pessoais no contexto do GDPR se referem a qualquer dado relativo a uma pessoa viva identificada ou identificável. Isto inclui também informações que, quando lidas em conjunto, podem levar à identificação de uma pessoa.
Isso se aplica até mesmo a dados que foram pseudônimizados ou criptografados desde que a criptografia / anonimidade seja reversível. Em termos de cumprimento das obrigações de proteção de dados sob o regulamento, isso significa que as chaves usadas para decifrar terão de ser mantidas separadamente dos dados pseudônimos.
Exemplos de dados pessoais incluem (mas não se limitam a) dados básicos de identidade, como nomes, saúde, dados genéticos e biométricos, dados da web, como endereços de IP, endereços de e-mail pessoais, opiniões políticas e dados de orientação sexual.
Exemplos de dados não pessoais incluem números de registro da empresa, endereços de e-mail genéricos da empresa, como [email protected] e dados anonimizados.
Por exemplo, uma empresa pode coletar informações do usuário em seu website e armazená-las usando serviços na nuvem de terceiros. Neste cenário, a empresa é o controlador dos dados e a organização que fornece os serviços na nuvem é o processador.
O GDPR se aplica quando:
- Esse escopo amplo cobre praticamente todas as atividades e, pode-se concluir que o GDPR se aplica independentemente de sua organização estar localizada na União Europeia ou não. Na verdade, essa pesquisa PwC mostrou que o GDPR é uma prioridade de proteção de dados para até 92% das empresas norte-americanas pesquisadas.
- Um equívoco comum é que apenas os usuários da UE são incluídos no escopo do GDPR, no entanto, as proteções do GDPR também se estendem aos usuários fora da UE se o controlador de dados for baseado na UE. Portanto, se você é um controlador de dados baseado na UE, você deve, por padrão, aplicar padrões GDPR a TODOS os seus usuários.
O GDPR está em vigor desde 25 de maio de 2018.
As condições de aplicação do GDPR são definidas em seus artigos 2 e 3, sob o ponto de vista material e territorial. Para determinar se uma atividade específica de tratamento é uma exceção ou não, nós temos que considerar estes dois aspectos.
O GDPR aplica-se ao tratamento de dados pessoais. Por isso, não se aplica aos dados da empresa, como razão social e endereço da empresa. Atenção nos casos de “pessoas físicas” que trabalham em uma empresa: quaisquer dados que se referem a elas são considerados “pessoais”, independentemente de serem tratados em um contexto Business to Customer (B2C) ou Business to Business (B2B).
Qual é o principal objetivo do GDPR?
Entender como funciona a legislação europeia de proteção de dados é fundamental para os negócios que visem realizar parcerias internacionais, tanto a curto quanto a longo prazo. É nítida a grande quantidade de informações à qual pessoas e empresas têm acesso atualmente. Todos os dias, você envia dados sobre localização, nome, telefone e identidade para várias plataformas e softwares, quer você saiba ou não.
O volume de dados disponíveis na internet fez com que muitas pessoas se preocupassem com a segurança das informações passadas para empresas e sites. Dessa forma, é função da companhia garantir o sigilo com o cliente e se responsabilizar pelas informações dos cidadãos em suas plataformas.
Foi nesse contexto que surgiu o GDPR, uma lei europeia que regulamenta a segurança dos dados dos cidadãos do continente em qualquer tipo de plataforma online. Apesar de ter sido criada no Velho Mundo, seu impacto é global, com uma influência que chega inclusive aos negócios brasileiros.
Quer saber mais sobre o GDPR? Então, continue a leitura e descubra tudo sobre essa legislação!
Desde o surgimento da internet, nas décadas de 60 e 70, um novo contexto social se instaura. As tecnologias da informação passam a, gradativamente, fazer parte do cotidiano de diversas pessoas ao redor do mundo. Com a rápida evolução tecnológica, chega-se ao mundo de hoje, extremamente globalizado e conectado, no qual os dados pessoais de cada cidadão estão disponíveis em uma série de plataformas e sites com finalidades distintas.
É nesse cenário que entra a questão da segurança das informações. Nos anos 70, de forma coerente com o direito à privacidade difundido pelos maiores países, surge uma série de legislações nacionais referentes à segurança dos dados online da população.
Foi assim que, em 1995, ganhou força a Diretiva relacionada à proteção de dados pessoais na União Europeia (UE). Ela une legislações de diversos países para regulamentar o uso desse tipo de informação pelas empresas e demais organizações que entrem em contato com qualquer cidadão do bloco.
Era essa a lei em vigor até o ano de 2016. Porém, com a tecnologia avançando rapidamente e o grande volume de dados circulando pela internet todos os dias, mesmo os diversos ajustes feitos na Diretiva de 1995 não foram suficientes para torná-la adequada ao contexto atual. Então, surge o projeto do GDPR, também conhecido como Regulação Geral de Proteção de Dados.
A General Data Protection Regulation, mais conhecida como GDPR, foi lançada para regular a proteção dos dados dos cidadãos de países que fazem parte da União Europeia. Ela foi idealizada no ano de 2012, mas aprovada apenas em 2016. A partir desse momento, as empresas começaram a realizar mudanças para se adequar à nova lei.
Com isso, em 25 de maio de 2018, iniciou-se a fiscalização em relação à GDPR em todos os tipos de organizações que armazenam e utilizam dados dos cidadãos europeus.
O regulamento foi criado como resposta a uma crescente exigência popular, com normas rígidas.
São princípios da GDPR?
O GDPR é sustentado por uma série de princípios de protecção de dados que impulsionam o cumprimento. Estes princípios descrevem as obrigações a que as organizações devem aderir quando recolhem, processam e armazenam os dados pessoais de um indivíduo.
Embora os princípios de protecção de dados sejam semelhantes aos encontrados na anterior Directiva de Protecção de Dados (DPP), são mais detalhados para assegurar maiores níveis de conformidade e para ter em conta os avanços tecnológicos.
Os sete princípios da GDPR fornecem às organizações um guia sobre a melhor forma de gerirem os seus dados pessoais e de alcançarem a conformidade com a GDPR.
O não cumprimento dos princípios pode deixar a sua organização sujeita a multas substanciais. A GDPR declara que as infracções aos princípios básicos para o processamento de dados pessoais estão sujeitas ao mais alto nível de multas. Isto pode significar uma multa até 4% do seu volume de negócios anual ou 20 milhões de euros, o que for maior.
Os sete princípios de protecção de dados que deve cumprir ao processar dados pessoais são os seguintes:
- O primeiro princípio é possivelmente o mais importante e enfatiza a transparência total para todos os sujeitos de dados da UE. Quando os dados são recolhidos, as organizações devem ser claras sobre os motivos da sua recolha e a forma como serão utilizados. Se uma pessoa em causa solicitar mais informações sobre o tratamento dos seus dados, as organizações têm o dever de as fornecer atempadamente. A recolha, tratamento e divulgação de dados deve ser feita em conformidade com a lei.
- Limitação do objectivoAs organizações devem ter uma razão específica e legítima para recolher e processar informações pessoais. Os dados só podem ser utilizados para a finalidade designada e não devem ser tratados para qualquer outra utilização, a menos que o titular dos dados tenha dado o seu consentimento explícito. Há um pouco mais de flexibilidade com o processamento que é conduzido para fins de arquivo no interesse público ou para fins científicos, históricos ou estatísticos.
- Minimização dos dadosSegundo a GDPR, os dados devem ser “adequados, pertinentes e limitados ao necessário em relação aos fins para os quais são processados”. Isto significa que as organizações devem armazenar apenas a quantidade mínima de dados necessários para os seus fins. As organizações não podem simplesmente recolher dados pessoais sobre a hipótese de estes poderem ser úteis no futuro. Se estiverem na posse de mais dados do que aqueles que são necessários, é provável que sejam ilegais.
- PrecisãoOs dados pessoais devem ser exactos, adequados à finalidade e actualizados. Isto significa que as organizações devem rever regularmente a informação detida sobre indivíduos e apagar ou alterar a informação inexacta em conformidade. Os indivíduos têm o direito de solicitar que dados incorrectos ou incompletos sejam apagados ou rectificados no prazo de 30 dias. Esta racionalização da informação ajudará a melhorar a conformi.
O que significa a sigla GDPR?
GDPR é uma sigla em inglês que significa General Data Protection Regulation. Ou, em português, Regulamentação Geral de Proteção de Dados. Trata-se de uma nova lei de proteção de dados que entrou em vigor na Europa. Proposta em 2012, a nova regulamentação foi aprovada pela União Europeia em 2016 e passou a valer oficialmente apenas em 2018.
A ideia da GDPR é aumentar o rigor com a proteção de dados que envolvem as identidades de cidadãos europeus. Isso impacta diretamente qualquer tipo de empresa que opere com plataforma online. Alguns exemplos são lojas virtuais, serviços financeiros, redes sociais, entre outros ambientes digitais que coletem e armazenem dados de seus visitantes e leads.
Já existia um conjunto de leis e regras em vigor desde 1995. Mas os avanços tecnológicos e o surgimento de diversos serviços oferecidos de forma online e através de plataformas digitais acabaram exigindo uma série de atualizações, que culminaram justamente com a criação da GDPR.
A GDPR é uma lei europeia. Assim, pelo menos em teoria, deve ser seguida apenas por empresas da Europa, que atuem no continente, que trabalhem com dados de usuários europeus ou que vivam na Europa. Em outras palavras, se existir algum tipo de relação com o continente, o conjunto de regras precisa ser cumprido.
Por este motivo, muitas empresas, inclusive do Brasil, que não necessariamente mantêm essa relação com clientes europeus, decidiram aderir à GDPR para já estar de acordo com as novas leis de proteção de dados dos usuários. Assim, é possível que você, enquanto usuário, já tenha direito a utilizar as normas. Da mesma forma, é importante verificar se sua empresa não aderiu ou pensa em aderir à GDPR.
Para entender onde começa e onde termina a responsabilidade das empresas no cumprimento nas normas da GDPR, é preciso compreender os conceitos de Data Controllers e Data Processors.
Data Controllers são as empresas que têm a responsabilidade pelos leads gerados diretamente por ela. Ou seja, são elas que controlam e promovem as estratégias para obtenção de novos contatos.
Já as Data Processors, como os softwares que processam dados privados, deverão adotar medidas técnicas e organizativas para que o processamento de informações seja feito de forma segura, respeitando a privacidade dos titulares dos dados.
Com a implementação do GPDR, várias regras foram colocadas em prática e as empresas precisam se adaptar a elas de uma forma geral. Porém, é importante que se destaque alguns pontos, aspectos que precisam ser observados e provavelmente ajustados no dia a dia das empresas, sobretudo nas ações de marketing. Veja os principais:
- O lead precisa estar totalmente ciente de que seus dados serão captados ao realizar a conversão. É necessário que a plataforma deixe bem claro que a pessoa está aceitando compartilhar seus dados. Sem letras miúdas nem asteriscos.
- Quem cede os dados também tem o direito a acessá-los. E também de saber qual dado seu foi captado e para que fim. Estas informações precisam estar bem cl
Pode-se dizer que o objetivo principal da GDPR é oferecer ao usuário maior controle e transparência sobre as informações pessoais armazenadas em bancos de dados?
O General Data Protection Regulation (GDPR, ou Regulamento Geral de Proteção de Dados) é a nova lei de privacidade imposta pela União Europeia (UE) que vem sendo distribuída para as empresas de tecnologia já há dois anos e entrou em vigor nesta sexta-feira (25) — causando, inclusive, barulho nas gigantes Facebook e Google. Isso deve influenciar algo no Brasil? Sim, inicialmente, no setor de negócios.
Essa lei pretende proteger a privacidade dos cidadãos diante das empresas de Internet. Seu objetivo é oferecer ao usuário maior controle e transparência sobre as informações pessoais armazenadas em bancos de dados das companhias. Fica ligado no post e saiba mais sobre a GDPR (General Data Protection Regulation).
A GDPR é a versão atualizada de outra lei de privacidade da União Europeia, chamada “Data Protection Directive” (Conduta de Proteção de Dados, em tradução livre), em vigência desde 1995. Tornou-se necessário elaborar uma nova versão porque, na época da elaboração da anterior, empresas com negócios baseados na Internet (como, por exemplo, o Facebook) não tinham o tamanho que possuem hoje em dia. Como consequência, a lei de 1995 não aborda a dinâmica atual dos dados na rede, como armazenamento, compartilhamento e risco de vazamento.
Conforme indica o nome da nova lei, a GDPR promove a proteção de dados pessoais presentes em bancos de empresas. A proposta principal é que o indivíduo tenha direito de saber quais informações ele fornece aos serviços de que usufrui. Além disso, a entidade deve explicar o porquê de requisitar determinados dados do cliente, e para qual finalidade elas serão usadas.
Afinal, que “dados” são esses? A GDPR não delimita um nível de importância, portanto, de acordo com a legislação, coletar informações menores como cookies no navegador é considerado tão pertinente quanto pedir nome ou endereço de residência.
O usuário tem poder para definir a quais dados a entidade terá acesso, e o direito de entregar suas informações ou não, dependendo da justificativa dada pelo serviço. Ele também poderá requisitar que tudo relacionado a si seja apagado do banco de dados da empresa. As empresas que não cumprirem os requisitos da GDPR correm o risco de pagar uma multa que pode variar de 2% do seu faturamento anual a 4%, em casos mais sérios de vazamento de dados.
Teoricamente, a GDPR deve ser seguida apenas por empresas europeias, ou atuantes no continente ou que trabalham com dados de cidadãos europeus. No entanto, muitas empresas estão estendendo a proteção de informação pessoal a todos os seus usuários, independente do país de origem. Microsoft, Facebook, Spotify, Apple, WhatsApp têm enviado e-mails e notificações aos usuários avisando sobre a atualização de política de privacidade de acordo com a nova lei.
As leis brasileiras ainda não são muito claras nos pontos já estabelecidos pela GDPR. Essa indefinição, juntamente com os recentes casos de vazamentos de dados, devem fazer com que muitas das medidas impostas pela UE também sejam debatidas.