No dia 28 de janeiro foi comemorado o Dia Internacional de Privacidade e proteção de dados, aqui no Brasil estamos em meio as discussões sobre a LGPD (Lei Geral da Proteção de Dados) que deve entrar em vigor em fevereiro de 2020, isto é daqui a 11 meses mais exatamente. Internacionalmente existe outra legislação que já está em vigor na Europa, a GDPR.

Em menos de 1 ano de sua homologação já foram realizadas mais de 100 mil denúncias, 50 mil casos de vazamentos de dados e 2 condenações (um deles o Google) milionárias somando 50 milhões de Euros.

A GDPR ou Regulamento Geral de Proteção de dados (em uma tradução livre) é uma regulamentação de proteção de dados criada pela União Europeia para assegurar a proteção de dados pessoais dos cidadãos europeus, com ferramentas seguras para proteger contra usos indevidos e até danosos destes. Na prática esta lei obriga as empresas a guardar as informações com níveis de segurança que impeçam o vazamento e o mau uso.

Então se é uma legislação da União Européia eu aqui com minha empresa nacional sediado no Brasil não tenho nada a ver com isso!!!

Ledo engano!

Esta legislação aplica-se a qualquer empresa ou organismo que forneça produtos ou serviços e que coletem dados pessoais de usuários que residam na União Europeia. Não importando onde a empresa está, mas sim onde está o usuário do serviço ou consumidor do bem. Então se você tem um e-commerce que forneça serviço ou produtos para a Europa, você se enquadra sim na GDPR!!

Recentemente Google, Facebook, Amazon, Twitter, Instagram entre outros serviços da web reformularam suas políticas de privacidade, tudo para se adequar e resguardar quanto a GDPR.

E quais são as principais obrigações das empresas que se enquadram na GDPR?

§ O serviço deverá permitir que o usuário escolha como seus dados serão tratados e autorize expressamente seu uso ou não

§ O usuário tem direito de saber quais dados estão sendo coletados e para quais finalidades

§ Deve haver meios para que o usuário solicite a exclusão de suas informações ou interrompa a coleta de dados, com a decisão devendo ser respeitada

§ O usuário também pode acessar, solicitar cópia ou migrar dados coletados para outros serviços (quando for o caso)

§ Uso de linguagem clara, concisa e transparente para que qualquer pessoa possa compreender as comunicações sobre seus dados, inclusive termos de privacidade

§ Em caso de incidentes que resultem em vazamento ou violação de dados que possam ferir direitos a liberdade das pessoas, a organização deverá notificar as autoridades em até 72h

§ Aplicação da privacidade por design, isto é, a proteção deverá ser considerada desde o início do projeto de um sistema, como parte imprescindível deste

§ Recomendação de pseudomização, quando cabível, é recomendável que a empresa proteja informações sensíveis ocultando-as ou substituindo-as de alguma forma para que a identificação do usuário só seja possível com a adição de outros dados

§ As empresas terão, em certas circunstâncias, que trabalhar com um Data Protection Officer (DPO), executivo que deverá supervisionar o tratamento de dados pessoais, bem como prestar esclarecimentos ou se comunicar sobre o assunto

Não é pouca coisa!

Uma pesquisa realizada em 2016 pela Gemalto informa que, 95% das empresas acreditam que a segurança do perímetro é suficiente para impedir ciberataques, isto é, tomam medidas de segurança quanto a invasões e não se preocupam em criptografar os dados para que não sejam usados em um eventual vazamento. O que seria uma medida relativamente simples para assegurar a confidencialidade!

Para você que está se perguntando como saber se está preparado seguem algumas questões a serem respondidas:

1.   Você consegue identificar e realizar inventário de dados pessoais de seus usuários?

2.   Sua empresa possui o consentimento para o tratamento de dados de cada um dos seus usuários?

3.   Sua empresa está preparada para atender a possíveis solicitações de acesso, retificação, ou exclusão de dados por parte dos titulares?

4.   Sua empresa possui políticas internas de cibersegurança e proteção de informações?

E então já começou a se preocupar?

 

Suzana Reis

Gerente de projetos | PMO | Document Controller | Gestão Documental | GED | ECM | BPM