O Regulamento Geral de Proteção de Dados (GDPR), a lei de privacidade de dados histórica da União Europeia, entrou em vigor em 2018. No entanto, muitas organizações ainda têm dificuldade em atender aos requisitos de conformidade, e as autoridades de proteção de dados da UE não hesitam em aplicar penalidades.
Mesmo as maiores empresas do mundo não estão imunes aos problemas com o GDPR. Reguladores irlandeses aplicaram uma multa de EUR 1,2 bilhão à Meta (link fora de ibm.com) em 2023. As autoridades italianas estão investigando a OpenAI (link fora de ibm.com) por suspeitas de violações, chegando ao ponto de proibir brevemente o ChatGPT.
Muitas empresas acham difícil implementar os requisitos do GDPR porque a lei é não apenas complexa, mas também permite uma certa margem de interpretação. O GDPR apresenta uma série de regras sobre como as organizações dentro e fora da Europa devem lidar com os dados pessoais dos residentes da UE. No entanto, oferece alguma flexibilidade para as empresas decidirem como implementar essas regras.
Os detalhes de qualquer plano de uma organização para se tornar totalmente conforme com o GDPR variam com base nos dados que a organização coleta e no que ela faz com esses dados. Dito isso, há alguns passos essenciais que todas as empresas podem seguir ao implementar o GDPR:
O GDPR se aplica a qualquer organização que processe os dados pessoais de residentes europeus, independentemente de onde essa organização esteja sediada. Dada a natureza interconectada e internacional da economia digital, isso inclui muitas (talvez a maioria) das empresas atualmente. Mesmo organizações que não estão sob o escopo do GDPR podem adotar seus requisitos para fortalecer a proteção de dados.
Mais especificamente, o GDPR se aplica a todos os controladores de dados e processadores de dados baseados na Área Econômica Europeia (EEA). A EEA inclui todos os 27 estados membros da UE, além da Islândia, Liechtenstein e Noruega.
Um controlador de dados é qualquer organização, grupo ou pessoa que coleta dados pessoais e determina como eles serão usados. Exemplo: um varejista on-line que armazena os endereços de e-mail dos clientes para enviar atualizações de pedidos.
Um processador de dados é qualquer organização ou grupo que realiza atividades de processamento de dados. O GDPR define amplamente "processamento" como qualquer ação realizada sobre os dados: armazená-los, analisá-los, alterá-los, entre outras. Os processadores incluem terceiros que processam dados pessoais em nome de um controlador, como uma empresa de marketing que analisa dados de usuários para ajudar um negócio a entender os principais perfis de clientes.
O GDPR também se aplica a controladores e processadores localizados fora do EEE se atenderem a pelo menos uma das seguintes condições:
Existem mais alguns aspectos sobre o escopo do GDPR que merecem destaque. Primeiro, ele se preocupa apenas com os dados pessoais de pessoas naturais, também chamadas de titulares dos dados na linguagem do GDPR. Uma pessoa natural é um ser humano vivo. O GDPR não protege os dados de pessoas jurídicas, como corporações, ou de falecidos.
Segundo, uma pessoa não precisa ser cidadã da UE para ter as proteções do GDPR. Basta que ela seja residente formal do EEE.
Por fim, o GDPR se aplica ao processamento de dados pessoais por praticamente qualquer motivo: comercial, acadêmico, governamental e outros. Empresas, hospitais, escolas e autoridades públicas estão todas sujeitas ao GDPR. As únicas operações de processamento isentas do GDPR são as atividades de segurança nacional, de aplicação da lei e os usos puramente pessoais de dados.
Não existe um plano de conformidade com o GDPR que sirva para todos, mas há algumas práticas fundamentais que as organizações podem seguir para guiar seus esforços de implementação.
Para uma lista dos principais requisitos do GDPR, consulte o lista de conformidade do GDPR.
Embora o GDPR não exija explicitamente um inventário de dados, muitas organizações começam por aqui por dois motivos: Saber quais dados a empresa possui e como são processados ajuda a organização a entender melhor suas obrigações de conformidade. Por exemplo, uma empresa que coleta dados de saúde de usuários precisa de proteções mais rigorosas do que uma que coleta apenas endereços de e-mail.
Em segundo lugar, um inventário abrangente facilita o cumprimento de solicitações dos usuários para compartilhar, atualizar ou excluir seus dados.
Um inventário de dados pode registrar detalhes como:
Pode ser difícil localizar dados pessoais espalhados por toda a rede da organização em vários fluxos de trabalho, bancos de dados, endpoints e até mesmo ativos de TI invisível. Para tornar os inventários de dados mais gerenciáveis, as organizações podem considerar o uso de soluções de proteção de dados que descubram e classifiquem dados automaticamente.
Ao inventariar dados, as organizações devem anotar quaisquer dados especialmente sensíveis que exijam proteção adicional. O GDPR exige precauções extras para três tipos de dados em particular: dados de categoria especial, dados de condenações criminais e dados de crianças.
Durante o inventário de dados, as organizações registram todas as operações de processamento que os dados realizam. Em seguida, devem garantir que essas operações estejam em conformidade com as regras de processamento do GDPR. Alguns dos princípios mais importantes incluem:
Para ver a lista completa das bases legais aprovadas, consulte a página de conformidade com o RGPD.
Para uma lista completa dos princípios de processamento do GDPR, consulte a lista de verificação de conformidade com o GDPR.
O consentimento do usuário é uma base legal comum para o processamento de dados. No entanto, o consentimento só é válido sob o GDPR se for informado, afirmativo e dado livremente. As organizações podem precisar atualizar os formulários de consentimento para atender a esses requisitos.
Organizações com mais de 250 funcionários, e empresas de qualquer tamanho que processam regularmente dados ou lidam com dados de alto risco, devem manter registros eletrônicos escritos de suas atividades de processamento.
No entanto, todas as organizações podem querer manter tais registros. Isso não apenas ajuda a acompanhar os esforços de privacidade e segurança, mas também pode demonstrar conformidade no caso de uma auditoria ou violação. As empresas podem reduzir ou evitar penalidades se puderem provar que fizeram um esforço de boa fé para cumprir o regulamento.
Os controladores de dados podem querer manter registros especialmente robustos, já que o GDPR os responsabiliza pela conformidade de seus parceiros e fornecedores.
Todas as autoridades públicas e quaisquer organizações que processem regularmente dados de categoria especial ou monitorem sujeitos em grande escala devem nomear um diretor de proteção de dados (DPO). O DPO é um oficial corporativo independente encarregado de garantir a conformidade com o GDPR. As responsabilidades comuns incluem supervisionar avaliações de risco, treinar funcionários sobre princípios de proteção de dados e trabalhar com autoridades governamentais.
Embora apenas algumas organizações sejam obrigadas a nomear DPOs, todas podem considerar fazê-lo. Ter um responsável pela conformidade com o GDPR pode ajudar a agilizar a implementação.
Os DPOs podem ser funcionários de uma empresa ou consultores externos que oferecem seus serviços por contrato. Os DPOs devem relatar diretamente ao mais alto nível de administração. A empresa não pode retaliar contra um DPO por cumprir suas funções.
Organizações fora do EEE devem nomear um representante dentro do EEE se processarem regularmente dados de residentes do EEE ou lidarem com dados altamente sensíveis. A principal função do representante do EEE é coordenar com as autoridades de proteção de dados em nome da empresa durante as investigações. O representante pode ser um funcionário, uma empresa afiliada ou um serviço contratado.
O DPO e o representante do EEE são funções diferentes com responsabilidades distintas. Notavelmente, o representante age sob a direção da organização, enquanto o DPO deve ser um oficial independente. Uma organização não pode nomear uma parte (link fora de ibm.com) para atuar como DPO e representante da EEA ao mesmo tempo.
Se uma organização operar em vários estados do EEE, ela deverá identificar uma autoridade de controle líder. A autoridade supervisora líder é a principal autoridade de proteção de dados (DPA) responsável por supervisionar a conformidade com o GDPR em toda a Europa para essa empresa.
Normalmente, a autoridade supervisora líder é a DPA no estado-membro onde a organização tem sua sede ou realiza suas principais atividades de processamento.
O GDPR exige que as organizações mantenham as pessoas informadas sobre como utilizam seus dados. As empresas podem cumprir esse requisito redigindo políticas de privacidade que descrevem claramente suas operações de processamento, incluindo o que a empresa coleta, políticas de retenção e exclusão, direitos dos usuários e outros detalhes relevantes.
As políticas de privacidade devem usar uma linguagem simples que qualquer pessoa possa entender. Esconder informações importantes por trás de jargões densos pode violar o GDPR. As organizações podem garantir que os usuários vejam suas políticas compartilhando avisos de privacidade no momento da coleta de dados. As organizações também podem hospedar suas políticas de privacidade em páginas públicas e fáceis de encontrar em seus sites.
Os controladores são, em última instância, responsáveis pelos dados pessoais que coletam, incluindo como seus processadores, fornecedores e outros terceiros os utilizam. Se os parceiros não estiverem em conformidade, os controladores podem ser penalizados.
As organizações devem revisar seus contratos com terceiros que têm acesso aos seus dados. Esses contratos devem definir claramente os direitos e responsabilidades de todas as partes em relação ao GDPR de forma juridicamente vinculativa.
Se uma organização trabalhar com processadores fora do EEE, esses processadores ainda precisam atender aos requisitos do GDPR. De fato, as transferências de dados para fora do EEE estão sujeitas a padrões Controladores no EEE só podem compartilhar dados com processadores fora do EEE se um dos seguintes critérios for atendido:
Uma maneira de garantir que todas as parcerias e transferências de dados estejam em conformidade com o GDPR é usar cláusulas contratuais padrão. Essas cláusulas pré-escritas são aprovadas pela Comissão Europeia e estão disponíveis sem custo para qualquer organização usar. Inserir essas cláusulas em um contrato o torna compatível com o GDPR, desde que cada parte as cumpra. Para obter mais informações sobre cláusulas contratuais padrão, consulte o site da Comissão Europeia (link fora de ibm.com).
O GDPR exige que as organizações realizem avaliações de impacto sobre a proteção de dados (DPIAs) antes de qualquer processamento de alto risco. Mesmo que o RGPD forneça alguns exemplos, como o uso de novas tecnologias ou o tratamento em larga escala de dados sensíveis, ele não enumera todas as atividades de alto risco.
As organizações podem considerar a realização de uma DPIA antes de qualquer nova operação de processamento para garantir segurança. Outras podem usar uma triagem simplificada para determinar se o risco é suficientemente alto para justificar uma DPIA.
No mínimo, uma DPIA deve descrever o processamento e seu propósito, avaliar a necessidade do processamento, avaliar os riscos para os titulares dos dados e identificar medidas de mitigação. Se o risco permanecer alto após a mitigação, a organização deve consultar uma autoridade de proteção de dados antes de seguir em frente.
As organizações devem relatar a maioria das violações de dados pessoais a uma autoridade supervisora dentro de 72 horas. Se a violação representar um risco para os titulares dos dados, como roubo de identidade, a empresa também deve notificar os indivíduos afetados. As notificações devem ser enviadas diretamente às vítimas, a menos que isso seja inviável. Nesse caso, um aviso público é suficiente.
As organizações precisam de planos eficazes de resposta a incidentes que identifiquem rapidamente as violações em andamento, erradiquem ameaças e notifiquem as autoridades. Os planos de resposta a incidentes devem incluir ferramentas e táticas para recuperar sistemas e restaurar a segurança da informação. Quanto mais rápido uma organização recuperar o controle, menor a probabilidade de enfrentar ações regulatórias graves.
As organizações também podem aproveitar essa oportunidade para fortalecer as medidas de segurança de dados. Se uma violação for improvável de causar danos aos usuários, por exemplo, se os dados roubados estiverem tão fortemente criptografados que os hackers não possam usá-los, a empresa não precisará notificar os titulares dos dados. Isso pode ajudar a evitar os danos à reputação e à receita que podem ocorrer após uma violação de dados.
O GDPR concede aos titulares dos dados direitos sobre como as organizações utilizam suas informações. Por exemplo, o direito de retificação permite que os usuários corrijam dados imprecisos ou desatualizados. O direito ao apagamento permite que os usuários solicitem a exclusão de seus dados.
De modo geral, as organizações devem atender às solicitações dos titulares dos dados dentro de 30 dias. Para facilitar o gerenciamento dessas solicitações, as empresas podem criar portais de autoatendimento onde os titulares possam acessar seus dados, fazer alterações e restringir seu uso. Esses portais devem incluir uma forma de verificar a identidade dos titulares. O GDPR impõe às organizações a responsabilidade de verificar se os solicitantes são quem dizem ser.
Os titulares dos dados têm direitos especiais em relação ao processamento automatizado. Especificamente, as organizações não podem usar a automação para tomar decisões significativas sem o consentimento do usuário. Os usuários têm o direito de contestar decisões automatizadas e solicitar que um ser humano revise a decisão.
As organizações podem usar portais de autoatendimento para permitir que os titulares dos dados contestem decisões automatizadas. As empresas também devem estar preparadas para designar revisores humanos, conforme necessário.
Os titulares dos dados têm o direito de transferir suas informações para onde desejarem, e as organizações devem facilitar essas transferências.
Além de facilitar as solicitações de transferência, as organizações devem armazenar os dados em um formato compartilhável. O uso de formatos proprietários pode dificultar as transferências e impedir os direitos dos usuários.
Para uma lista completa dos direitos dos titulares de dados, consulte a página de conformidade com o GDPR.
O GDPR exige que as organizações usem medidas de proteção de dados razoáveis para fechar vulnerabilidades do sistema e prevenir acesso não autorizado ou uso ilegal. O GDPR não impõe medidas específicas, mas afirma que as organizações precisam de controles técnicos e organizacionais.
Os controles de segurança técnica incluem software, hardware e outras ferramentas tecnológicas, como SIEMs e soluções de prevenção de perda de dados. O GDPR incentiva fortemente o uso de criptografia e pseudonimização, então as organizações podem considerar implementar esses controles em particular.
As medidas organizacionais incluem processos como treinar os funcionários nas regras do GDPR e implementar políticas formais de governança de dados.
O GDPR também orienta as empresas a adotarem o princípio da proteção de dados por design e por padrão. "Por design" significa que as empresas devem incorporar a privacidade dos dados desde o início. "Por padrão" significa que a configuração padrão de qualquer sistema deve ser aquela que mantém a maior privacidade possível para o usuário.
Qualquer organização que queira operar no Espaço Econômico Europeu (EEA) deve estar em conformidade com o GDPR. A não conformidade pode ter sérias consequências. As violações mais significativas podem resultar em multas de até EUR 20.000.000 ou 4% da receita mundial da organização no ano anterior, o que for maior.
Mas a conformidade com os dados não se trata apenas de evitar consequências. Ele também traz benefícios. Além de permitir que as organizações acessem um dos maiores mercados do mundo, os princípios do GDPR podem fortalecer significativamente as medidas de segurança de dados. As organizações podem prevenir mais violações de dados antes que ocorram, evitando um custo médio de USD 4,45 milhões por violação.
A conformidade com o GDPR também pode melhorar a reputação de uma empresa e construir confiança com os consumidores. As pessoas geralmente preferem fazer negócios com organizações que protegem significativamente os dados dos clientes (link fora de ibm.com).
O GDPR inspirou leis semelhantes de proteção de dados em outras regiões, incluindo a California Consumer Privacy Act e a Lei de Proteção de Dados Pessoais Digitais da Índia. O GDPR é frequentemente considerado uma das leis mais rigorosas, por isso, estar em conformidade com ele pode posicionar as organizações para atenderem a outros regulamentos também.
Finalmente, se uma empresa violar o GDPR, demonstrar algum nível de conformidade pode ajudar a suavizar as repercussões. As entidades reguladoras avaliam fatores como controles de cibersegurança existentes e cooperação com as autoridades de supervisão ao determinar as penalidades.
Explore o IBM Guardium Data Protection