O que é o Regulamento Geral sobre a Proteção de Dados (GDPR)?

Será que a legislação europeia pode afetar as empresas brasileiras? Essa é a pergunta que muitos executivos estão se fazendo após a aprovação do novo Regulamento Geral sobre a Proteção de Dados (GDPR), disposições que estão em vigor desde o dia 25 de maio de 2018.

A partir dessa data, todos os países que são membros da União Europeia (EU) são obrigados a estar alinhados com esse novo código de privacidade de dados, que foi estipulado após muita discussão entre o parlamento, o Conselho e a Comissão Europeia. Esses órgãos definiram o código ainda em 4 de maio de 2016, ocasião em que foi publicado no Jornal Oficial da União Europeia.

Mas, de fato, quais são os impactos que o Regulamento Geral sobre a Proteção de Dados (GDPR) traz para as empresas brasileiras? É sobre isso que trataremos neste post, cujo objetivo é esclarecer as principais dúvidas que os empresários têm sobre o assunto. Continue conosco e confira todas essas informações, agora mesmo!

O que é o Regulamento Geral sobre a Proteção de Dados (GDPR)?

Conforme explicado anteriormente, o GDPR é um novo código de privacidade de dados, aprovado por órgãos fiscalizadores da Europa. De maneira geral, esse texto apresenta novidades que são bastante relevantes para as empresas a nível mundial.

Isso se justifica porque as organizações precisarão adquirir um encarregado da proteção de dados, bem como se preparar para a chamada notificação de uma violação de dados pessoais.

O GDPR prevê, entre outras regulamentações, o consentimento ao tratamento e o acesso aos dados pessoais, o direito a ser esquecido e o apagamento de dados. Todas essas normativas são uma novidade para quem trabalha com o gerenciamento de dados.

Outra novidade apresentada pelo regulamento são as responsabilidades do titular e do responsável pelas informações — trata-se do princípio da responsabilidade, que atribui essa obrigação ao responsável pelo tratamento.

Vale ressaltar que, embora haja demasiadas novas exigências de proteção de dados, os princípios fundamentais da antiga lei de privacidade da União Europeia permanecem os mesmos.

O que prevê o artigo 17 do GDPR?

O artigo 17 do Regulamento Geral sobre a Proteção de Dados (GDPR) é alvo de muita discussão, pois apresenta um dos pontos mais importantes da legislação: o chamado “direito ao esquecimento”, também conhecido no meio empresarial como o direito ao apagamento de dados.

Esse artigo diz que o titular das informações tem o direito de solicitar ao responsável o apagamento de seus dados pessoais, sem que haja demora não justificada para que isso seja feito. O responsável pelo apagamento é obrigado a eliminar os dados solicitados quando:

• deixarem de ser necessários para a finalidade que objetivou o seu recolhimento;
• foram tratados ilicitamente;
• precisam ser eliminados para cumprimento de questões jurídicas;
• forem recolhidos no contexto da oferta de serviços da sociedade da informação;
• o titular retira o consentimento em que se baseia o tratamento dos dados;
• o titular se opõe ao tratamento e não existem interesses legítimos que o justifiquem.

O artigo 17 também regulamenta as situações em que os dados não podem ser apagados. Isso não precisa ser feito quando o tratamento se revele necessário:

• para garantir a liberdade de expressão e da informação;
• para cumprir obrigações legais de interesse público, envolvendo o Estado e a União;
• por motivos de interesse do domínio da saúde pública;
• para fins de arquivo de interesse público para investigações científicas e históricas, bem como para fins estatísticos;
• para situações de declaração, exercício e defesa de direitos em processos judiciais.

Como se preparar para a transferência internacional de dados? 

A principal forma de se preparar para cumprir o GDPR é implementar um processador de dados para fazer transferências internacionais. Para isso é preciso se certificar de que o sistema utilizado tenha uma base sólida para que os controles de segurança e de privacidade sejam cumpridos.  

O GDPR trará grande impacto para as empresas do Brasil, pois se trata de uma jornada compartilhada, em que há várias situações envolvidas. No processo, você determina os dados que devem ser transferidos e o processador faz esse trabalho para você. Além disso, poderá fornecer notificações de privacidade para as pessoas ou empresas que se envolvem com os dados fornecidos pelas suas marcas.

Destaca-se ainda que a preparação para o GDPR é uma responsabilidade compartilhada, que estabelece obrigações para todas as partes envolvidas. É preciso que se estabeleçam relações entre os controladores de dados, os provedores de terceiros — ou também chamados processadores de dados — e os pontos em que o processador precisa se ajustar. 

Quais são os direitos das empresas com os títulos de dados?

Visando maior privacidade das empresas, por meio de seus usuários, é possível solicitar o apagamento de dados.

Mas não é apenas isso que pode ser feito com as informações, também é permitido a solicitação de correção de possíveis erros, desaprovação do processamento e exportação. Isso pode ser feito por meio do controlador de dados no processo.

Qual é a função do controlador de dados no processo?

A própria empresa pode exercer a função de controlador de dados. Desse modo, serão determinados quais dados pessoais são processados e armazenados nos processos de transferência.

A organização poderá fornecer notificações de privacidade a todos que, de alguma forma, se envolverem com as suas marcas. Caso os indivíduos que estão se relacionando com a marca quiserem descontinuar o relacionamento, é necessário atender prontamente a essas solicitações.

Qual é a função do processador de dados no GDPR?

Você pode contratar uma empresa terceirizada para exercer a função de processador de dados para as transferências internacionais de informações do seu negócio.

Assim sendo, essa instituição deverá processar e armazenar os dados, bem como as permissões e instruções que você exigir, mediante registro em contrato.

Como fazer a preparação para o GDPR?

De maneira geral, existem 5 etapas que precisam ser seguidas para fazer a preparação para o GDPR. São as seguintes:

1. faça um levantamento de todas as propriedades digitais da sua empresa;
2. crie um mapa com a jornada de seus clientes e o papel dos dados nesse processo;
3. desenvolva uma estratégia de gerenciamento de dados, tendo como base a experiência do cliente;
4. crie uma estratégia para autenticar as solicitações de acesso aos titulares dos dados;
5. identifique os processos existentes para responder às solicitações de acessos de dados e criar pontos de privacidade.

Seguindo a essas orientações, temos a certeza de que você conseguirá se preparar muito bem para a implantação do GDPR na sua empresa e seguir a nova regulamentação.

O Regulamento Geral sobre a Proteção de Dados (GDPR) já está em vigor e se a sua empresa ainda não está seguindo as novas normativas convém correr contra o tempo para garantir que tudo seja feito conforme prevê a nova legislação, de forma que a empresa não tenha prejuízo nas transferências de dados internacionais.

Essas informações foram úteis para você? Que tal então nos seguir nas redes sociais e ter acesso a mais conteúdos interessantes? Estamos no Facebook e no LinkedIn!