Hoje falaremos sobre o "ótimo e terrível" GDPR (Regulamento Geral de Proteção de Dados) ou o Regulamento Geral de Proteção de Dados. Apesar do fato de a lei ter sido adotada em maio de 2018, muitas empresas ainda não cumprem todos os seus requisitos.
Nós nos reunimos com nosso DPO (Oficial de Proteção de Dados) para que ele pudesse explicar em termos simples o que é o GDPR e o que as empresas devem fazer para evitar multas elevadas.
O artigo contém notas de rodapé citando as definições básicas da lei.
- O que é GDPR?
- O RGPD é um direito internacional applies que se aplica a todo o mundo, embora tenha sido adotado na UE. Esta é uma lei que protege os direitos dos usuários na Internet, regulando, em particular, a transferência, o processamento, o armazenamento de dados pessoais de cada pessoa que esteja na UE ou seja um cidadão da UE.
¹ "O presente regulamento aplica-se ao tratamento de dados pessoais no contexto das atividades de um estabelecimento de um controlador ou de um processador na União, independentemente de o tratamento ocorrer na União ou não."- Mesmo que ele use os serviços / sites de empresas fora da UE?
- Sim, o status internacional permite estender o efeito da lei, não apenas na UE. Se alguém usar os recursos disponíveis a partir do território da UE ou for cidadão da UE, mas estiver no território de outros estados, ele ainda estará sujeito a esta lei.
- Qual foi o motivo de sua adoção?- A adoção do RGPD foi precedida por muitos casos de abuso de dados, incluindo pessoais. Os profissionais de marketing começaram a “aterrorizar” as pessoas com vários tipos de pesquisa. Eles começaram a estudar o comportamento e os hábitos de uma pessoa e a usar esse conhecimento, tornando-a mais indefesa. Quando uma pessoa executava algumas ações no site, sistemas de recomendação, por exemplo, provocavam um certo comportamento.
O Facebook, em algum momento, começou a vender legalmente dados de usuários para pesquisa. Além disso, todos os dados biométricos ficaram sob proteção, e isso é muito importante, pois passaportes eletrónicos introduzidos na UE.
- O que as empresas de países não pertencentes à UE devem fazer para cumprir os requisitos desta lei?
- É necessário observar as regras que esta lei define. Primeiro de tudo, você precisa notificar os usuários sobre a coleta de informações. Este é o primeiro visitante de recursos a encontrar. A empresa deve absolutamente clara e facilmente (inclusive por meio de soluções de design) transmitir ao usuário o que ele deseja, quais dados são coletados e por que eles precisam. Se, por exemplo, forem coletados parâmetros de peso, é necessário indicar por que eles serão usados (se seu objetivo real é oferecer um medicamento para perda de peso, ele deve ser escrito).
- Os dados devem ser armazenados em forma anônima?- A lei obriga a anonimizar os dados e armazená-los em lugares diferentes. Mas o fato é que existem duas funções principais aqui - processador ² e controlador ³.
O controlador é quem coleta e utiliza esses dados; é obrigado a armazená-los anonimamente e em locais diferentes, de modo que, por exemplo, invasores, tendo obtido acesso a algum banco de dados, não possam comparar esses dados com uma pessoa real. Por exemplo, seu nome, endereço, número do cartão bancário, altura, peso, estado civil, etc. Cada item deve ser armazenado em bancos de dados diferentes. Em um nome, no segundo estado civil, no terceiro endereço, etc.
Mas cada empresa possui algoritmos que permitem conectar tudo isso e usá-lo para seus próprios propósitos. Assim, fornecer armazenamento de dados é uma coisa. Mas o processamento - isso é completamente diferente. Deve haver protocolos de acesso a dados. Se eles não estiverem lá, no caso de um vazamento, isso será esclarecido pela comissão e, se você não tiver protocolos, a comissão decidirá que você o mantém bem e não o processa muito bem e toma medidas.
² “'processador' significa uma pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que processa dados pessoais em nome do responsável pelo tratamento”;
³ “'controlador' significa a pessoa singular ou coletiva, autoridade pública, agência ou outro órgão que, isoladamente ou em conjunto com terceiros, determina os propósitos e os meios do processamento de dados pessoais; quando as finalidades e os meios desse processamento forem determinados pela legislação da União ou do Estado-Membro ",
Processing “'processamento' significa qualquer operação ou conjunto de operações executadas em dados pessoais ou em conjuntos de dados pessoais, independentemente de serem automatizados, como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização, alinhamento ou combinação, restrição, apagamento ou destruição ”.
- Como o processo de tradução de um site / empresa existente é organizado para atender aos requisitos desta lei?
- Antes de tudo, é necessário analisar o estado atual da coleta e processamento de dados. Portanto, se no momento apenas um servidor for usado, é necessário dividi-lo em vários, para que seja impossível hackear todos os bancos de dados de uma fonte. A proteção deve estar na entrada de informações e o servidor é constantemente monitorado por software antivírus. É aconselhável fornecer o segundo canal com a Internet, para que, em caso de vazamento por um dos canais, desligue-o e realize um trabalho para eliminar todos os problemas no outro canal. O acesso deve ser feito apenas através de uma conexão VPN segura. Agora, todos os principais navegadores escrevem avisos ao tentar acessar páginas sem https.
Se https for usado, tudo estará bem. A propósito, o Google, que por muito tempo ignorou alguns requisitos desta lei, leva em consideração a presença de um certificado SSL como um dos fatores de classificação na pesquisa.
- O que ameaça o não cumprimento dos requisitos desta lei?
- Se estamos falando sobre o residente da UE, é claro que serão multas, ordens que serão emitidas pelas autoridades reguladoras após a análise e investigação. Em princípio, no nível macro, tudo isso é regulado por uma multa alta de 20 milhões de euros, ou 4% do volume de negócios anual . O tribunal europeu, que analisará o caso, prefere 4% do faturamento a 20 milhões de euros.
Mas este é o máximo. Um ano se passou desde a entrada em vigor da lei e já houve casos práticos. Nos casos em que o vazamento foi mínimo e ninguém ficou ferido, os atacantes foram pegos e a empresa simplesmente emitiu um aviso. Se, por negligência, algo não foi feito, eles pagaram uma multa, de alguns a centenas de milhares de euros. Até o momento, o Google emitiu a maior multa de € 50 milhões pela negligência contínua de certos requisitos da lei. Particularmente severamente punido pela perda de dados biométricos, por exemplo, instituições médicas, isso foi imediatamente avisado.
- Quem é obrigado a cumprir esta lei e a quem a ação não se aplica?
- Quem não armazena dados pessoais ⁵ - os dados que permitem identificar uma pessoa ou determinar sua localização, por exemplo, ip também estão incluídos aqui, mas no momento a comissão não considera ip como dados pessoais. Nome e número de telefone são dados pessoais se forem coletados com a intenção de não apenas entrar em contato com a pessoa, mas também usá-los de outra maneira. Se apenas para comunicação, os dados não têm força e limitações nos períodos de retenção. esses objetivos não envolvem a venda de mercadorias ou a previsão do comportamento do usuário.
Também vale lembrar que correio, login ou senha, separadamente, não são dados pessoais. Somente especificamente aqueles parâmetros que permitem personalizar uma pessoa ou determinar onde ela está, por exemplo, endereços ip + mac.
No espaço pós-soviético, estamos acostumados ao fato de que "se não é permitido, é proibido", em países liberais, pelo contrário, "o que não é proibido é permitido". Estes são dois paradigmas e atitudes completamente diferentes em relação à lei. E, portanto, a presunção de inocência é válida aqui - até que seja provado, você não é culpado.
'“' Dados pessoais 'significa qualquer informação relativa a uma pessoa singular identificada ou identificável (' titular dos dados '); uma pessoa singular identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador, como nome, número de identificação, dados de localização, identificador on-line ou a um ou mais fatores específicos de natureza física, fisiológica, identidade genética, mental, econômica, cultural ou social dessa pessoa natural ”;
- Agora, a comissão apresentou outra lei sobre a proteção de dados pessoais, a lei sobre cookies, conte-nos mais sobre isso.
- Esta é apenas a questão dos endereços IP. Através do ip, você pode determinar onde está a pessoa, toda a configuração do equipamento. Mas, ao mesmo tempo, é necessário cumprir de alguma forma com esta lei. Agora, o ip foi além do escopo desta lei . Mas eles não saem, a questão permanece em aberto, porque ainda exige regulamentação. Já havia duas de suas edições, em breve haverá uma terceira. Seu uso é ótimo para diminuir. A Grã-Bretanha já iniciou um movimento nessa direção .
Se a lei for adotada na versão atual, o Google e empresas similares simplesmente não poderão trabalhar na UE. Agora todo mundo está fazendo lobby pela mitigação desta lei. Mas vale a pena prestar homenagem à UE, eles estão prestando muita atenção às pessoas, seus cidadãos e residentes e estão promovendo esta lei em favor das pessoas. Embora a lei não tenha sido adotada, nem esteja na última fase da leitura. Mas guiados pela prática, mesmo que seja aceito em 2019, geralmente são de 1 a 2 anos para colocar todos os assuntos em ordem.
Agora, toda a questão é apenas até que ponto as empresas poderão penetrar na vida pessoal das pessoas.
- Qual é a composição da equipe necessária para implementar medidas para atender aos requisitos do local desta lei?
- Geralmente, isso implica emprego parcial; em casos raros, é necessário envolver toda a equipe em período integral. O analista realizará uma auditoria do estado atual da empresa, além de gerar especificações para execução. Um administrador de sistema ou DevOps, que será responsável por hardware, canais de comunicação e muito mais, e um programador , finalizará o site.
- Qual será o resultado do trabalho da equipe e empresa do cliente?
- Antes de tudo, o trabalho com dados pessoais (processamento) será alterado: a coleta, o processamento e o armazenamento estarão em conformidade com a lei. Com um alto grau de probabilidade, uma nova posição aparecerá na empresa do cliente - Data Protection Officer (DPO). O trabalho será realizado no site da empresa e na documentação disponível para os usuários (Declaração de Segurança, Política de Privacidade, Política de Processamento de Cookies, etc.). Protocolos internos para acesso e processamento de dados pessoais dos usuários serão exibidos.
Você pode aprender mais sobre o RGPD clicando no link: https://www.gdpreu.org/ (o recurso está disponível apenas em inglês).