O que é GDPR?
O Regulamento Geral de Proteção de Dados (RGPD) é uma legislação histórica introduzida pela União Europeia para proteger a privacidade e os dados pessoais dos indivíduos sob sua jurisdição. Aplica-se a todas as entidades, independentemente da localização geográfica, que coletam e processam dados pessoais de cidadãos da UE. O regulamento proporciona aos indivíduos maior controle sobre seus dados pessoais e exige que as empresas obtenham consentimento explícito antes de coletar e processar qualquer informação desse tipo.
O regulamento também exige que as empresas implementem medidas de segurança adequadas para proteger os dados pessoais e que comuniquem quaisquer violações de dados às autoridades dentro de um prazo estrito. O não cumprimento do RGPD pode resultar em danos financeiros e de reputação significativos.
RGPD: os fatores causadores
O RGPD foi promulgado pela União Europeia para fortalecer e unificar as leis de proteção de dados em todos os Estados-Membros da UE. O regulamento foi uma resposta à crescente importância dos dados pessoais na era digital e à necessidade de proporcionar aos indivíduos maior controle sobre seus dados pessoais.
O RGPD foi influenciado por diversos fatores, incluindo a crescente preocupação com violações de dados e uso indevido de dados pessoais, bem como a necessidade de atualizar as leis de proteção de dados existentes para refletir os avanços tecnológicos. O regulamento também visa criar condições equitativas para as empresas que operam na UE, garantindo que todas as empresas estejam sujeitas aos mesmos padrões de proteção de dados.
O compromisso da UE com a proteção dos direitos fundamentais, incluindo o direito à privacidade e à proteção de dados, foi uma influência crucial na aprovação do regulamento. O RGPD foi concebido para proporcionar aos indivíduos maior transparência, controlo e responsabilização sobre os seus dados pessoais, promovendo também a inovação e o crescimento económico no país. setor digital.
aplicação do RGPD
A aplicação do RGPD além-fronteiras é da responsabilidade de Conselho Europeu de Proteção de Dados (EDPB)O CEPD é um organismo independente criado pelo RGPD e composto por representantes das autoridades de proteção de dados de cada um dos Estados-Membros da UE.
O CEPD fornece orientações sobre a interpretação e aplicação do RGPD e trabalha para garantir a coerência na aplicação do regulamento em todos os Estados-Membros da UE. O CEPD também coopera com países não pertencentes à UE em questões relacionadas com a transferência internacional de dados e a proteção internacional de dados.
Cada Estado-membro da UE possui a sua própria autoridade nacional de proteção de dados, responsável pela aplicação do RGPD (Regulamento Geral sobre a Proteção de Dados) na sua jurisdição. Estas autoridades têm o poder de investigar queixas e violações do RGPD, aplicar multas e sanções, e intentar ações judiciais contra empresas que não cumpram o regulamento.
A quem se aplica o RGPD?
O RGPD aplica-se a qualquer pessoa singular ou coletiva que recolha ou trate dados pessoais de indivíduos localizados na União Europeia, independentemente do local onde o tratamento de dados ocorra. Isto significa que o regulamento se aplica a:
- Empresas e organizações sediadas na UE, independentemente do seu tamanho ou setor de atividade.
- Empresas e organizações sediadas fora da UE, mas que oferecem bens ou serviços a indivíduos localizados na UE, ou que monitorizam o comportamento de indivíduos localizados na UE.
- Processadores de dados que tratam dados pessoais em nome de um controlador de dados.
O RGPD define dados pessoais como qualquer informação que possa ser usada para identificar um indivíduo, direta ou indiretamente, como nome, endereço, e-mail ou endereço IP. Portanto, qualquer organização que colete ou processe esse tipo de dado de indivíduos localizados na UE está sujeita ao RGPD.
Definindo dados pessoais
De acordo com o RGPD (Regulamento Geral de Proteção de Dados), dados pessoais são quaisquer informações que possam ser usadas para identificar, direta ou indiretamente, uma pessoa singular viva. Isso inclui informações como nome, endereço, e-mail, número de telefone, número de segurança social, número do passaporte, endereço IP ou qualquer outro identificador único que possa ser usado para identificar um indivíduo.
Os dados pessoais também podem incluir informações sobre as características de uma pessoa, como idade, sexo, raça, religião ou quaisquer outros atributos pessoais que possam ser usados para identificá-la.
Segundo o RGPD, os dados pessoais também incluem dados pessoais sensíveis, como informações sobre a saúde, orientação sexual, opiniões políticas ou antecedentes criminais de uma pessoa. Este tipo de dados está sujeito a regras mais rigorosas e salvaguardas adicionais para proteger a privacidade do indivíduo.
Artigo 30 do RGPD
Artigo 30 do RGPD O RGPD exige que as organizações mantenham um registo das suas atividades de tratamento de dados pessoais. Este registo deve incluir informações como as categorias de dados tratados, as finalidades do tratamento e as categorias de titulares dos dados. O registo deve ser feito por escrito, inclusive em formato eletrónico, e deve ser disponibilizado às autoridades de supervisão mediante pedido. Este requisito visa promover a transparência e a responsabilização nas atividades de tratamento de dados e ajudar as organizações a cumprir outras disposições do RGPD, como os direitos dos titulares dos dados e as avaliações de impacto sobre a proteção de dados.
O custo da não conformidade
As multas por descumprimento do RGPD podem ser significativas e visam dissuadir as organizações de cumprirem o regulamento. O valor da multa depende da natureza e da gravidade da infração, bem como do porte e da receita da organização.
Existem dois níveis de multas ao abrigo do RGPD, com sanções máximas de:
- Até 10 milhões de euros ou 2% da receita anual mundial da organização (o que for maior), por violações relacionadas à manutenção de registros, segurança de dados, notificação de violação de dados, avaliações de impacto sobre a proteção de dados e outros requisitos processuais.
- Multas de até 20 milhões de euros ou 4% da receita anual mundial da organização (o que for maior), por violações relacionadas aos princípios de proteção de dados, incluindo a não obtenção de consentimento válido, o processamento de dados sensíveis sem fundamento legal e o descumprimento dos direitos dos titulares dos dados.
Considere as estatísticas
As estatísticas a seguir ilustram o impacto contínuo do RGPD na proteção de dados e na privacidade em toda a Europa, bem como os desafios enfrentados pelas organizações para alcançar a conformidade com o regulamento:
- Em 2020, foram relatadas mais de 121.000 notificações de violação de dados. Autoridades Europeias de Proteção de Dados (APD) desde a implementação do RGPD em maio de 2018. (Fonte: Conselho Europeu de Proteção de Dados)
- O custo médio de uma violação de dados em 2020 foi de 1.043,86 milhões de dólares. com os custos mais elevados incorridos no setor de saúde. (Fonte: IBM)
- Em 2020, a França aplicou o maior número total de multas ao abrigo do RGPD (Regulamento Geral sobre a Proteção de Dados). totalizando € 51 milhões, seguida pela Alemanha com € 37 milhões. (Fonte: DLA Piper)
- De acordo com uma pesquisa realizada pela Cisco, 591 mil organizações relataram que o GDPR teve um impacto positivo em suas organizações, sendo o aumento da confiança do cliente e a melhoria da proteção de dados os benefícios mais citados.
- Uma pesquisa realizada pela TrustArc Constatou-se que apenas 281 mil e três mil organizações acreditam estar totalmente em conformidade com o GDPR, enquanto 441 mil e três mil relataram estar em grande parte em conformidade e 281 mil e três mil afirmaram que ainda estão trabalhando para se adequar.
- O tipo mais comum de violação do RGPD em 2020 As medidas técnicas e organizacionais para garantir a segurança dos dados foram insuficientes, sendo responsáveis por 44% do total das multas. (Fonte: DLA Piper)
Entendendo a Limitação de Finalidade do GDPR
O princípio da limitação da finalidade do RGPD significa que os dados pessoais devem ser recolhidos e tratados para fins específicos, explícitos e legítimos, e não devem ser tratados posteriormente de forma incompatível com esses fins.
Em outras palavras, as organizações devem definir e comunicar claramente as finalidades para as quais coletam dados pessoais e devem coletar apenas os dados necessários para essas finalidades. Se uma organização desejar usar os dados para uma finalidade diferente, deverá obter o consentimento adicional do indivíduo, e a nova finalidade deverá ser compatível com a finalidade original.
O princípio da limitação da finalidade visa proteger a privacidade dos indivíduos, garantindo que seus dados pessoais sejam coletados e processados apenas por motivos legítimos e não sejam utilizados para quaisquer outros fins sem o seu conhecimento e consentimento. Ao limitar o uso de dados pessoais a finalidades específicas e definidas, o RGPD busca promover a transparência, a responsabilização e a confiança entre os indivíduos e as organizações que coletam e processam seus dados.
Mapeamento de dados do RGPD explicado
O mapeamento de dados segundo o RGPD é o processo de identificar e documentar os dados pessoais que uma organização coleta, processa, armazena e compartilha.
O objetivo do mapeamento de dados é criar um inventário completo de todos os dados pessoais que uma organização detém e documentar como esses dados são coletados, usados e compartilhados em toda a organização. Isso inclui identificar os tipos de dados coletados, as finalidades para as quais os dados são coletados, os indivíduos cujos dados são coletados e quaisquer terceiros com quem os dados são compartilhados.
O mapeamento de dados é uma etapa importante na conformidade com o RGPD, pois ajuda as organizações a compreender e gerir os dados pessoais que detêm. Ao criar um inventário completo dos seus dados, as organizações podem identificar quaisquer riscos ou vulnerabilidades potenciais nos seus processos de tratamento de dados e tomar medidas para resolver esses problemas.
O mapeamento de dados também pode ajudar as organizações a cumprir suas obrigações de acordo com o GDPR, como solicitações de acesso de titulares de dados, avaliações de impacto sobre a proteção de dados e requisitos de notificação de violação de dados. Ao compreender os dados pessoais que detêm e como são utilizados, as organizações podem responder de forma mais rápida e eficaz a essas solicitações e obrigações.
O RGPD provou ser um sucesso?
Embora seja difícil afirmar com certeza se o GDPR ajudou a reduzir as violações e os riscos à privacidade de dados, visto que ainda é uma regulamentação relativamente recente e seu impacto está em curso, há evidências que sugerem que o GDPR teve um impacto positivo na privacidade e segurança de dados.
Um dos principais objetivos do RGPD é aumentar a transparência e a responsabilização no tratamento de dados, o que levou muitas organizações a rever e atualizar as suas políticas e procedimentos de privacidade de dados. Isto resultou numa maior consciencialização dos riscos para a privacidade dos dados e numa abordagem mais proativa à segurança dos dados e à prevenção de violações.
De acordo com o RGPD (Regulamento Geral sobre a Proteção de Dados), as organizações são obrigadas a comunicar quaisquer violações de dados às autoridades reguladoras no prazo de 72 horas após tomarem conhecimento da mesma. Isto levou a um aumento na comunicação de violações de dados, o que, por sua vez, resultou numa maior consciencialização sobre a dimensão e a natureza dos riscos para a privacidade dos dados.
Além disso, o RGPD conferiu aos indivíduos maior controlo sobre os seus dados pessoais, incluindo o direito de aceder, retificar e eliminar os seus dados, bem como o direito de se opor a certos tipos de tratamento de dados. Isto levou a uma maior consciencialização dos riscos para a privacidade dos dados por parte dos indivíduos e a uma maior sensação de controlo sobre a forma como os seus dados pessoais são utilizados.
Simplifique a conformidade com o RGPD com a BigID.
BigID é um plataforma de descoberta de dados para privacidade, segurança, e governança que oferece soluções para que as organizações cumpram facilmente várias regulamentações de privacidade, como o GDPR. A plataforma da BigID ajuda as organizações a identificar, classificar, e gerenciar seus dados, com foco em dados sensíveis e pessoaisAqui estão algumas maneiras pelas quais a BigID promove a conformidade com o GDPR:
Mapeamento de dados: Aplicativo RoPA da BigID Identifica e mapeia automaticamente dados pessoais nos sistemas e repositórios de dados de uma organização, o que é um requisito fundamental do RGPD (Regulamento Geral sobre a Proteção de Dados).
Descoberta e classificação de dados: Aplicativo Portal de Privacidade da BigID Utiliza aprendizado de máquina e processamento de linguagem natural para identificar e classificar dados pessoais com base em seu conteúdo e contexto, facilitando para as organizações a identificação e o gerenciamento de dados pessoais em conformidade com o GDPR.
Gestão do consentimento: O aplicativo Consent Governance da BigID gerencia solicitações de consentimento e monitora o status do consentimento para titulares de dados individuais, o que é um requisito fundamental do GDPR.
Solicitações de acesso do titular dos dados: Aplicativo de exclusão de dados da BigID ajuda as organizações a responderem a solicitações de acesso do titular dos dados dentro dos prazos especificados pelo RGPD, localizando e extraindo dados pessoais associados a um titular de dados individual.
Avaliações de impacto sobre a proteção de dados (AIPD): Aplicativo de Automação PIA da BigID Pode ajudar as organizações a automatizar o processo de DPIA, identificando e analisando os riscos associados ao processamento de dados pessoais e recomendando medidas de mitigação adequadas.
Para descobrir como a BigID pode implementar uma conformidade com o RGPD mais inteligente e orientada por dados para a sua organização— Agende uma demonstração individual hoje mesmo.
Autor
