.jpg "Quero me preparar")
.jpg "Quero me preparar")
Novo regulamento da União Europeia tem por objetivo aumentar a segurança dos dados pessoais dos residentes do bloco
GDPR é sigla em inglês para General Data Protection Regulation - em tradução, Regulamento Geral de Proteção de Dados - e é uma lei da União Europeia que entrou em vigor no dia 25 de maio deste ano e introduziu novas normas sobre obrigações, responsabilidades, direitos e restrições sobre o fluxo de dados internacionais.
O regulamento foi criado com o intuito de proteger a privacidade e dados pessoais dos residentes da União Europeia, adicionando normas mais rígidas, elevando o nível de segurança e prestação de contas exigidas especialmente para empresas que manipulam dados desses cidadãos, estando a companhia, ou não, geograficamente localizada no bloco.
Se uma empresa coletar alguma informação de residentes da UE na internet ou tiver relacionamentos com qualquer pessoa que faça negócios por lá, ela deve seguir as normas do GDPR, o que interfere diretamente em negócios de diferentes segmentos, que precisam avaliar suas condutas para se adaptarem às exigências.
O novo regulamento baliza como os dados pessoais dos residentes da União Europeia devem ser processados, desde a coleta, gravação, armazenamento até a edição. Pela primeira vez, introduz discussão sobre violação de dados na legislação europeia, sendo uma ruptura para os padrões de cibersegurança mundial.
Empresas que não se adequarem, deverão enfrentar pesadas multas por falta de conformidade.
Quais são as principais regras?
O documento é extenso e com o resumo de muitas discussões que tem levado anos para serem concluídas. Porém, algumas das mudanças mais relevantes são, por exemplo, prazo de até 72 horas para reportar um incidente assim que tiver conhecimento sobre o assunto, que envolva dados pessoais de algum residente europeu.
Outra exigência é que empresas terceirizadas também devem estar na cadeia de suprimentos, seguindo as normas, sendo a empresa contratante também responsável pela conformidade das ações. Por consequência, treinamento de fornecedores pode ser necessário, assim como validação das redes do parceiro ou mesmo a troca de empresas por outras que estejam regulares.
Para utilizar os dados de um usuário, a empresa deve ter de forma escrita ou oral o consentimento dessa pessoa, de que seus dados serão utilizados, antes mesmo de serem processados.
Nesta questão, o usuário passa a ter o direito do esquecimento, podendo alterar ou ocultar parte de suas informações pessoais, assim como o direito de retirar o consentimento dado anteriormente. Na prática, significa, que a empresa deverá ter um local em que centraliza e armazena essas informações e que deverão estar disponíveis para edição do usuário, quando necessário.
Como a empresa deve se preparar?
O primeiro passo é a empresa criar um comitê gestor, com uma liderança executiva que vai guiar o processo de conformidade para as novas regras. Em seguida, estudar minuciosamente as regras do GDPR e fazer um diagnóstico da empresa para saber se está de acordo com as exigências e, se não estiver, quais os processos que devem ser iniciados, investimentos e cronogramas para que entre em concordância.
Realizar treinamentos com a equipe interna para ter a certeza de que entenderam a mudança e que não haverá risco de ações que estejam fora do regulamento. Levantamento aponta que uma multa por falta de alinhamento com o GDPR pode representar até 4% da receita total de uma empresa. Quem quer arriscar?
O ideal é buscar também um parceiro especializado no regulamento para ajudar a encurtar o caminho e reduzir riscos e custos na implantação das novas regras de confidencialidade.
Escreva seu comentário