O Regulamento Geral de Proteção de Dados (GDPR, da sigla em inglês), entrou em vigor em 25 de maio de 2018 com o objetivo de proteger os dados pessoais de cidadãos europeus, e principalmente fornecer tratamento adequado e seguro para os mesmos, sendo aplicável para qualquer organização que mantenha negócios com a União Europeia (UE).
O regulamento prevê uma série de ações de proteção para os responsáveis que irão operar e tratar os dados de cidadãos europeus, independentemente se o responsável pelo tratamento das informações, se encontra localizado ou não em regiões da UE. A nova lei prevê, ainda, penalidades significativas para violações do referido 4% da receita global ou até € 20 milhões.
Esse é um grande marco global em segurança cibernética, afinal, todas as companhias do mundo que possuem negócios com a Europa deverão se adequar. O GDPR garante direitos amplos e específicos aos residentes da UE relativamente à utilização dos seus dados, incluindo:
• O direito de ser informado sobre a finalidades dos dados
• O direito de acesso aos seus dados
• O direito de retificação de erros de dados
• O direito de apagar (o direito de ser esquecido)
• O direito de restringir o processamento
• O direito de contestar
• Direitos em relação à tomada de decisões e perfis automatizados
• O direito de apresentar reclamação formal a uma autoridade de controle;
• Direito de ser informado e ter der todas as garantias adequadas quando os dados forem transmitidos para um país terceiro ou uma organização internacional
Desafios do GDPR para empresas de tecnologia
Embora o GDPR tenha impacto em diversos setores, as empresas de tecnologia enfrentarão desafios únicos. Isso porque elas acessam enormes quantidades de dados de diversas fontes e, portanto, enfrentam desafios significativos de armazenamento das informações. Sendo assim, é ainda mais necessário ter capacidade de determinar com exatidão onde e como os dados foram coletados e se os consentimentos apropriados foram recebidos pelos donos da informação.
Isso nem sempre será fácil no futuro e pode ser mais difícil em relação aos dados existentes. Alianças e acordos com terceiros precisarão ser considerados e podem ter que ser renegociados à luz do GDPR. Assim como os papéis e responsabilidades de uma empresa de tecnologia como Controlador de Dados (CD) ou Processador de Dados (PD) terão que ser determinados.
Um CD é a entidade que determina as finalidades e os meios para a coleta e processamento de dados pessoais, enquanto um PD processa esses dados em nome do controlador. Por exemplo, um fabricante pode decidir usar um programa de marketing por e-mail para aumentar as vendas aos clientes, mas contrata uma agência de marketing para executar o programa. O fabricante seria o CD enquanto a agência seria o PD. As empresas de tecnologia podem se ver desempenhando o papel de CD, o papel de PD ou até mesmo ambos.
Privacidade primeiro, desenvolvimento depois
Há um fenômeno que comumente ocorre nas companhias: primeiro projetam e estabelecem todo o processo e desenvolvimento de seus produtos e serviços e, só depois, observam os requisitos de privacidade, aprimorando os processos conforme o necessário. Por outro lado, num futuro muito próximo, as empresas devem tratar a privacidade como uma característica fundamental a ser incorporada ao processo de desenvolvimento.
O artigo 37 do GDPR exige que todas as empresas que recolhem ou processem dados sobre cidadãos da UE contratem um responsável pela proteção de dados (DPO). O DPO é encarregado de uma ampla gama de responsabilidades, incluindo:
• Educar a empresa sobre o GDPR e garantir treinamento adequado para o pessoal;
• Auditoria de esforços de processamento de dados para conformidade com o GDPR, correção de quaisquer problemas e monitoramento de esforços de privacidade;
• Servir como ponto de contato para as autoridades supervisoras do GDPR;
• Manter registros de todas as atividades de processamento de dados;
• Comunicar com os titulares dos dados relativamente a pedidos de dados e problemas GDPR.
Um DPO efetivo precisará de um sólido conhecimento em GDPR e de outras leis de dados e privacidade, além de um bom conhecimento prático de sua infraestrutura e práticas de TI. Como esse é um conjunto de habilidades exclusivas e como o GDPR criará uma demanda significativa por candidatos a DPO, as empresas de tecnologia que ainda não estiverem adequadas devem providenciar imediatamente.
Terceirização do DPO
Algumas empresas estão descobrindo que a terceirização do papel de DPO é a opção certa. No caso da área de tecnologia, as companhias geralmente retêm ou são mantidas como terceiros em relacionamentos de processamento de dados. Como os terceiros envolvidos no processamento de dados estão no escopo do GDPR como PDs, entender e esclarecer as obrigações do GDPR sob esses acordos é vital para ambas as partes. Questões que devem ser abordadas nesses acordos incluem:
• Entender que os dados devem ser processados somente após instrução explícita;
• O direito do CD de auditar atividades de PD;
• Questões de indenização e responsabilidade;
• Responsabilidades de notificação de violação;
• Requisitos para cooperar com investigações;
• Responsabilidade pela exclusão ou devolução de dados no final de um contrato;
• Limitações à transferência subsequente de dados.
Negociar essas questões levará tempo, então as empresas de tecnologia devem iniciar esse processo imediatamente.
Mapeamento de dados
Para proteger efetivamente a privacidade dos dados, primeiro é preciso saber quais dados a empresa possui e a origem deles. Isso requer uma estratégia de mapeamento de dados eficaz. Para empresas de tecnologia, não são apenas dados de produção do cliente, mas também podem incluir áreas como vendas e marketing. A maioria das empresas segue uma abordagem de mapeamento de dados de cima para baixo ou de baixo para cima.
Uma abordagem de cima para baixo é, geralmente, manual e:
• Começa com áreas de prática ou departamentos e identifica os processos de negócios que coletam, processam, transferem e armazenam dados pessoais;
• Identifica sistemas e aplicativos que armazenam esses dados;
• Desenvolve mapas de fluxo de dados.
Já a abordagem contrária consiste na automatização em que:
• Começa com sistemas, bancos de dados e repositórios de arquivos
• Verifica para detectar dados pessoais com base em classificações e elementos de dados definidos.
Uma abordagem híbrida geralmente funciona melhor e oferece os benefícios de ambas as abordagens. Comece com um processo de cima para baixo e, em seguida, valide os resultados usando uma abordagem de baixo para cima.
Procure oportunidades de automação
Preparar-se e depois cumprir o GDPR vai levar tempo e esforço consideráveis. Uma maneira de minimizar as demandas da equipe será automatizar onde for possível, como o processo de responder às solicitações de dados.
Sob GDPR, os indivíduos têm o direito de solicitar informações sobre todos os dados que uma empresa detém sobre eles, com um prazo de 30 dias para obter as respostas. A tendência é que haja um aumento significativo nas solicitações à medida que as empresas comecem a se adequar à legislação. Portanto, o desenvolvimento de um sistema automatizado para atender a essas solicitações pode reduzir significativamente o esforço de conformidade.
Algo importante a ser pontuado é que a privacidade não deve ser um inibidor da inovação - as empresas devem aproveitar essa oportunidade para incorporar a privacidade como uma função de fazer negócios. Há muitos requisitos adicionais necessários para alcançar a conformidade com o GDPR que são exclusivos para cada organização. As empresas devem trabalhar com suas equipes de compliance e prestadores de serviços para entender como é seu perfil de conformidade e trabalhar para uma abordagem priorizada para atravessar a linha de chegada.
Como podemos ajudar?
Para alcançar o nível de maturidade de proteção de dados e informações que são exigidas pela GDPR, é necessário entender o estágio que a empresa se encontra. Para isso é preciso realizar uma avaliação, utilizando ferramentas e mecanismos, como o Quick Assessment.
O Quick Assessment realizado pela Grant Thornton Brasil traz o entendimento de como são tratados os dados e informações pessoias em sua companhia. É uma metodologia estabelecida por profissionais de larga experiência e conhecimento no tema e, principalmente, utilizando as boas práticas de mercado.
Entre em contato conosco!