Em 25 de maio de 2018, o Regulamento Geral sobre a Proteção de Dados da UE entra em vigor na Europa para ajudar a harmonizar os direitos de privacidade pessoal em todos os 28 estados-membros da UE. Embora cada país possa manter suas próprias leis de privacidade e impor penalidades adicionais, o GDPR estabelece uma base comum de proteção para cidadãos (e residentes) da UE e para coletores e processadores de dados. dados pessoais– um conjunto de obrigações comuns e multas potenciais (até 4% de receita global por empresa por país).
Afinal, de quem são os dados?
Uma das inovações mais fundamentais do GDPR é a ideia de institucionalizar um direito fundamental aos dados pessoais. De acordo com o GDPR, todo cidadão (ou residente) da UE tem o direito de acessar, transferir ou apagar seus dados. As empresas que coletam e processam dados de consumidores ou funcionários, ou seja, controladores, são efetivamente obrigadas a devolver os dados de um indivíduo mediante solicitação. O GDPR reorienta o equilíbrio de direitos e obrigações entre o proprietário dos dados e o processador de dados. As pessoas nunca perdem o direito aos dados sobre elas ou por elas, enquanto as empresas, por sua vez, são transformadas em custodiantes de dados com novas obrigações em relação aos dados que administram em nome dos proprietários dos dados.
Este novo princípio se manifesta de forma mais notória do que no princípio do Direito ao Esquecimento. Embora a ideia do Direito ao Esquecimento tenha precedido o GDPR na Europa e em outros lugares, o GDPR eleva o conceito a um novo patamar e elimina qualquer ambiguidade em torno da obrigação. De acordo com o GDPR, os cidadãos e residentes da UE têm o direito fundamental de ter seus dados apagados mediante solicitação. Não há teste para determinar se os dados estão incorretos. Os dados pertencem ao indivíduo e ele pode fazer com eles o que bem entender.
Qual é o sentido dos controladores de dados sem controles de dados?
Para empresas que coletam e processam informações pessoais, esse novo direito aos seus dados representa uma mudança radical na forma como visualizam e gerenciam seus dados. Desde o surgimento dos bancos de dados, os dados pessoais têm sido vistos mais como uma mercadoria literal, como se reflete nos termos usados para descrever onde são armazenados: armazenamento de dados, data warehouse, data lake. Entender a identidade do proprietário dos dados, na medida em que existia, atendia ao propósito principal de personalização e predição. Era – e continua sendo – tudo uma questão de "analisar para monetizar".
Mas o GDPR ajuda a recolocar a "pessoa" nos dados pessoais. Ele lembra às empresas que os dados pertencem a um indivíduo a quem elas são responsáveis e por quem devem prestar contas. Conhecer os dados de uma pessoa, no entanto, tem um valor que vai além da inteligência. Dados desconhecidos não são invisíveis, apenas vulneráveis a roubo, uso indevido e comprometimento. Atender aos novos requisitos do GDPR exige que as empresas encontrem e inventariem dados por pessoa. Isso, por sua vez, cria novas oportunidades para proteção de dados, conformidade e governança. O Direito ao Esquecimento garante, em última análise, que os dados de cada pessoa não sejam esquecidos. Indiretamente, os novos direitos de dados pessoais permitem uma melhor proteção dos dados pessoais, seja o número do Seguro Social ou o endereço IP.
Governança e proteção de dados pessoais orientadas por dados
Regulamentações historicamente ajudam as empresas a concentrar sua atenção e, consequentemente, seu orçamento. Nos EUA, regulamentações como Sarbanes (SOX), HIPAA e PCI, para citar apenas algumas, levaram as empresas a redefinir prioridades e repensar abordagens para lidar com dados e aplicativos. Como os EUA são um país sinônimo de industrialização, isso invariavelmente levou à adoção de novos tipos de automação tecnológica com siglas memoráveis como SIEM, SSO, DLP, DAM e DRM. Mas cada inovação responde a um problema específico e, portanto, essas inovações abordaram uma dor específica em um momento específico. Os direitos individuais de acessar, portar ou apagar seus dados atendem a um novo conjunto de requisitos e, portanto, a um novo conjunto de requisitos de governança, proteção e conformidade de dados.
Embora o GDPR defina um novo padrão de regulamentação em torno da privacidade pessoal, ele não está sozinho na condução desta nova era em torno da governança e proteção de dados pessoais. A China acaba de instituir um direito semelhante, juntamente com muitos outros países. Da mesma forma, nos EUA, vários estados estão debatendo projetos de lei que consagrariam novos direitos sobre dados pessoais. Para as empresas, isso significa um novo tipo de governança, proteção e conformidade de dados que possa contabilizar os dados de uma pessoa e garantir a prestação de contas a ela. Não é de surpreender que uma nova geração de empresas como a BigID busque preencher o vácuo com tecnologia que ajude as empresas a cumprir as novas obrigações, sendo mais responsáveis e transparentes com seus clientes e funcionários.
@dimitrisirota
Autor
