O que é GDPR?
O Regulamento Geral sobre a Proteção de Dados (RGPD) é uma legislação histórica introduzida pela União Europeia para proteger a privacidade e os dados pessoais de indivíduos sob sua jurisdição. Aplica-se a todas as entidades, independentemente da localização geográfica, que coletam e processam dados pessoais de cidadãos da UE. O regulamento proporciona aos indivíduos maior controle sobre seus dados pessoais e exige que as empresas obtenham consentimento explícito antes de coletar e processar tais informações.
A lei também exige que as empresas implementem medidas de segurança adequadas para proteger os dados pessoais e comuniquem quaisquer violações de dados às autoridades dentro de um prazo rigoroso. O não cumprimento do GDPR pode resultar em danos financeiros e de reputação significativos.
RGPD: os fatores causadores
O GDPR foi promulgado pela União Europeia para fortalecer e unificar as leis de proteção de dados em todos os estados-membros da UE. A regulamentação foi uma resposta à crescente importância dos dados pessoais na era digital e à necessidade de proporcionar aos indivíduos maior controle sobre seus dados pessoais.
O GDPR foi influenciado por diversos fatores, incluindo a crescente preocupação com violações de dados e o uso indevido de dados pessoais, bem como a necessidade de atualizar as leis de proteção de dados existentes para refletir os avanços tecnológicos. O regulamento também visa criar condições equitativas para as empresas que operam na UE, garantindo que todas as empresas estejam sujeitas aos mesmos padrões de proteção de dados.
O compromisso da UE com a proteção dos direitos fundamentais, incluindo o direito à privacidade e à proteção de dados, foi fundamental para a aprovação do regulamento. O GDPR foi concebido para proporcionar aos indivíduos maior transparência, controle e responsabilização sobre seus dados pessoais, além de promover a inovação e o crescimento econômico no setor digital.
Aplicação do RGPD
A aplicação do RGPD através das fronteiras é da responsabilidade da Conselho Europeu para a Proteção de Dados (CEPD). O CEPD é um órgão independente criado pelo RGPD e é composto por representantes de cada uma das autoridades de proteção de dados dos estados-membros da UE.
O CEPD fornece orientações sobre a interpretação e aplicação do RGPD e trabalha para garantir a consistência na aplicação do regulamento em todos os Estados-Membros da UE. O CEPD também coopera com países terceiros em questões relacionadas com transferências transfronteiriças de dados e proteção internacional de dados.
Cada estado-membro da UE possui sua própria autoridade nacional de proteção de dados, responsável por aplicar o GDPR em sua jurisdição. Essas autoridades têm o poder de investigar reclamações e violações do GDPR, aplicar multas e penalidades e tomar medidas legais contra empresas que não cumpram o regulamento.
A quem se aplica o RGPD?
O GDPR se aplica a qualquer indivíduo ou organização que colete ou processe dados pessoais de indivíduos localizados na União Europeia, independentemente de onde o processamento de dados ocorra. Isso significa que o regulamento se aplica a:
- Empresas e organizações sediadas na UE, independentemente do seu tamanho ou setor.
- Empresas e organizações sediadas fora da UE, mas que oferecem bens ou serviços a indivíduos localizados na UE ou monitoram o comportamento de indivíduos localizados na UE.
- Processadores de dados que processam dados pessoais em nome de um controlador de dados.
O GDPR define dados pessoais como qualquer informação que possa ser usada para identificar um indivíduo, direta ou indiretamente, como nome, endereço, endereço de e-mail ou endereço IP. Portanto, qualquer organização que colete ou processe esse tipo de dados de indivíduos localizados na UE está sujeita ao GDPR.
Definição de dados pessoais
De acordo com o GDPR (Regulamento Geral sobre a Proteção de Dados), dados pessoais são quaisquer informações que possam ser usadas para identificar, direta ou indiretamente, um indivíduo vivo. Isso inclui informações como nome, endereço, endereço de e-mail, número de telefone, número do Seguro Social, número do passaporte, endereço IP ou qualquer outro identificador exclusivo que possa ser usado para identificar um indivíduo.
Dados pessoais também podem incluir informações sobre as características de uma pessoa, como idade, sexo, raça, religião ou quaisquer outros atributos pessoais que possam ser usados para identificá-la.
De acordo com o GDPR, dados pessoais também incluem dados pessoais sensíveis, como informações sobre a saúde, orientação sexual, opiniões políticas ou antecedentes criminais de uma pessoa. Esse tipo de dado está sujeito a regras mais rígidas e salvaguardas adicionais para proteger a privacidade do indivíduo.
Artigo 30 do RGPD
Artigo 30 do GDPR exige que as organizações mantenham um registro de suas atividades de processamento que envolvam dados pessoais. Esse registro deve incluir informações como as categorias de dados processados, as finalidades do processamento e as categorias de titulares dos dados. O registro deve ser feito por escrito, inclusive em formato eletrônico, e deve ser disponibilizado às autoridades de supervisão mediante solicitação. Essa exigência visa promover a transparência e a responsabilização nas atividades de processamento de dados e auxiliar as organizações a cumprir outras disposições do GDPR, como os direitos dos titulares dos dados e as avaliações de impacto sobre a proteção de dados.
O custo da não conformidade
As multas por descumprimento do GDPR podem ser significativas e têm como objetivo dissuadir organizações de descumprirem a regulamentação. O valor da multa depende da natureza e da gravidade da violação, bem como do porte e da receita da organização.
Existem dois níveis de multas no GDPR, com penalidades máximas de:
- Até 10 milhões de euros ou 2% da receita anual mundial da organização (o que for maior), por violações relacionadas à manutenção de registros, segurança de dados, notificação de violação de dados, avaliações de impacto à proteção de dados e outros requisitos processuais.
- Até 20 milhões de euros ou 4% da receita anual mundial da organização (o que for maior), por violações relacionadas aos princípios de proteção de dados, incluindo falha em obter consentimento válido, processamento de dados sensíveis sem base legal e não conformidade com os direitos dos titulares dos dados.
Considere as estatísticas
As estatísticas a seguir ilustram o impacto contínuo do GDPR na proteção de dados e privacidade em toda a Europa, e os desafios enfrentados pelas organizações para atingir a conformidade com o regulamento:
- Em 2020, foram reportadas mais de 121.000 notificações de violação de dados. Autoridades Europeias de Proteção de Dados (APD) desde que o RGPD foi implementado em maio de 2018. (Fonte: Conselho Europeu para a Proteção de Dados)
- O custo médio de uma violação de dados em 2020 foi de $3,86 milhões, com os maiores custos incorridos no setor de saúde. (Fonte: IBM)
- Em 2020, a França impôs as maiores multas totais ao abrigo do RGPD, totalizando € 51 milhões, seguida pela Alemanha com € 37 milhões. (Fonte: DLA Piper)
- De acordo com uma pesquisa realizada pela Cisco, 59% de organizações relataram que o GDPR teve um impacto positivo em suas organizações, com aumento da confiança do cliente e proteção de dados aprimorada sendo os benefícios mais comumente citados.
- Uma pesquisa realizada pela TrustArc descobriu que apenas 28% das organizações acreditam que estão totalmente em conformidade com o GDPR, com 44% relatando que estão em grande parte em conformidade e 28% afirmando que ainda estão trabalhando na conformidade.
- O tipo mais comum de violação do RGPD em 2020 foram medidas técnicas e organizacionais insuficientes para garantir a segurança dos dados, sendo responsáveis por 44% de todas as multas. (Fonte: DLA Piper)
Compreendendo a limitação de finalidade do GDPR
O princípio de limitação de finalidade do GDPR significa que os dados pessoais devem ser coletados e processados para finalidades específicas, explícitas e legítimas, e não processados posteriormente de forma incompatível com essas finalidades.
Em outras palavras, as organizações devem definir e comunicar claramente as finalidades para as quais coletam dados pessoais, e devem coletar apenas os dados necessários para essas finalidades. Se uma organização desejar usar os dados para uma finalidade diferente, deverá obter consentimento adicional do indivíduo, e a nova finalidade deverá ser compatível com a finalidade original.
O princípio da limitação da finalidade visa proteger a privacidade dos indivíduos, garantindo que seus dados pessoais sejam coletados e processados apenas por motivos legítimos e não sejam utilizados para quaisquer outros fins sem o seu conhecimento e consentimento. Ao limitar o uso de dados pessoais a finalidades específicas e definidas, o GDPR visa promover a transparência, a responsabilização e a confiança entre indivíduos e organizações que coletam e processam seus dados.
Mapeamento de dados do GDPR explicado
O mapeamento de dados do GDPR é o processo de identificar e documentar os dados pessoais que uma organização coleta, processa, armazena e compartilha.
O objetivo do mapeamento de dados é criar um inventário abrangente de todos os dados pessoais que uma organização possui e documentar como esses dados são coletados, utilizados e compartilhados em toda a organização. Isso inclui identificar os tipos de dados coletados, as finalidades para as quais os dados são coletados, os indivíduos cujos dados são coletados e quaisquer terceiros com os quais os dados são compartilhados.
O mapeamento de dados é uma etapa importante para a conformidade com o GDPR, pois ajuda as organizações a compreender e gerenciar os dados pessoais que possuem. Ao criar um inventário completo de seus dados, as organizações podem identificar quaisquer riscos ou vulnerabilidades potenciais em seus processos de tratamento de dados e tomar medidas para lidar com essas questões.
O mapeamento de dados também pode ajudar as organizações a cumprir suas obrigações com o GDPR, como solicitações de acesso de titulares de dados, avaliações de impacto sobre a proteção de dados e requisitos de notificação de violações. Ao compreender os dados pessoais que possuem e como são utilizados, as organizações podem responder de forma mais rápida e eficaz a essas solicitações e obrigações.
O GDPR provou ser um sucesso?
Embora seja difícil afirmar com certeza se o GDPR ajudou a reduzir as violações e os riscos de privacidade de dados, visto que ainda é uma regulamentação relativamente nova e seu impacto é contínuo, há evidências que sugerem que o GDPR teve um impacto positivo na privacidade e segurança de dados.
Um dos principais objetivos do GDPR é aumentar a transparência e a responsabilização no processamento de dados, o que levou muitas organizações a revisar e atualizar suas políticas e procedimentos de privacidade de dados. Isso resultou em maior conscientização sobre os riscos à privacidade de dados e em uma abordagem mais proativa à segurança de dados e à prevenção de violações.
De acordo com o GDPR, as organizações são obrigadas a reportar quaisquer violações de dados às autoridades reguladoras em até 72 horas após tomarem conhecimento da violação. Isso levou a um aumento na denúncia de violações de dados, o que, por sua vez, levou a uma maior conscientização sobre a escala e a natureza dos riscos à privacidade de dados.
Além disso, o GDPR concedeu aos indivíduos maior controle sobre seus dados pessoais, incluindo o direito de acessar, corrigir e excluir seus dados, bem como o direito de se opor a certos tipos de processamento de dados. Isso levou a uma maior conscientização sobre os riscos à privacidade de dados entre os indivíduos e a um maior senso de controle sobre como seus dados pessoais são usados.
Simplifique a conformidade com o GDPR com o BigID
BigID é um plataforma de descoberta de dados para privacidade, segurançae governança que oferece soluções para que organizações cumpram facilmente diversas regulamentações de privacidade, como o GDPR. A plataforma da BigID ajuda organizações a identificar, classificar, e gerenciar seus dados, com foco em dados pessoais e sensíveis. Aqui estão algumas maneiras pelas quais o BigID promove a conformidade com o GDPR:
Mapeamento de dados: Aplicativo RoPA da BigID identifica e mapeia automaticamente dados pessoais dentro dos sistemas e armazenamentos de dados de uma organização, o que é um requisito fundamental do GDPR.
Descoberta e classificação de dados: Aplicativo do Portal de Privacidade da BigID usa aprendizado de máquina e processamento de linguagem natural para identificar e classificar dados pessoais com base em seu conteúdo e contexto, facilitando para as organizações identificar e gerenciar dados pessoais em conformidade com o GDPR.
Gestão de consentimento: O aplicativo Consent Governance da BigID gerencia solicitações de consentimento e rastreia o status de consentimento para titulares de dados individuais, o que é um requisito fundamental do GDPR.
Solicitações de acesso do titular dos dados: Aplicativo de exclusão de dados da BigID ajuda as organizações a responder a solicitações de acesso do titular dos dados dentro dos prazos especificados pelo GDPR, localizando e extraindo dados pessoais associados a um titular de dados individual.
Avaliações de impacto da proteção de dados (AIPD): Aplicativo de automação PIA da BigID pode ajudar organizações a automatizar o processo de DPIA, identificando e analisando os riscos associados ao processamento de dados pessoais e recomendando medidas de mitigação apropriadas.
Para ver como o BigID pode implementar uma conformidade GDPR mais inteligente e orientada por dados para sua organização: agende uma demonstração individual hoje mesmo.
Autor
