O GDPR estabelece um regulamento único e padronizado para a proteção de dados aplicável a todos os estados membros da União Europeia e instituições que prestam serviços a cidadãos europeus.

[toc]

O que é GDPR e a quem se aplica o regulamento?

O Regulamento Geral de Proteção de Dados (GDPR) é um conjunto de leis de privacidade de dados que exige que as empresas priorizem a proteção e privacidade das informações pessoais pertencentes aos residentes da União Europeia (UE).

O GDPR foi aprovado pelo Parlamento da UE em 14 de abril de 2016 e está em vigor desde  25 de maio de 2018 e reformula principalmente o modo como os dados são tratados em todos os setores, desde saúde aos serviços financeiros.

As normas do GDPR abrangem não somente os estados membros da UE, mas também estende-se em âmbito extraterritorial ao dispor que as normas devem ser cumpridas por todas as organizações que processam dados de cidadãos europeus.

Portanto, o regulamento aplica-se também a empresas não europeias que ofereçam bens e serviços na Europa, ou que lidam com o processamento de perfis de residentes europeus.

Dessa forma, as empresas brasileiras prestadoras de serviços que fornecem serviços a clientes da UE também estão sujeitas à aplicação do regulamento de proteção de dados, mesmo que a empresa esteja sediada fora da UE.

Dito isso, vamos aos objetivos do GDPR. Acompanhe!

Quais os principais objetivos do GDPR?

O regulamento visa dar às pessoas maior poder sobre seus dados e tornar as empresas mais transparentes na forma como lidam com as informações dos cidadãos.

Em vista disso, o GDPR é baseado em três obrigações:

– A precisão dos dados;
– Demonstração de conformidade;
– Notificação de violações.

E foi projetado para:

– Harmonizar as leis de privacidade de dados em toda a Europa;
– Proteger e capacitar toda a privacidade de dados dos cidadãos da UE;
– Reformular o modo como as organizações abordam a privacidade de dados.

Como o GDPR afeta as empresas brasileiras?

Como já mencionado o GDPR aplica-se a toda e qualquer empresa que processe os dados pessoais de cidadãos residentes na UE.

Ou seja, a localização da empresa que faz o processamento é irrelevante, por isso as empresas brasileiras que mantém qualquer tipo de relação com cidadãos da UE precisam estar em conformidade.

Lembrando que dados pessoais são definidos como qualquer elemento que possa identificar um indivíduo, seja direta ou indiretamente, como por exemplo fotos, postagens nas redes sociais e endereços pessoais. Nesta lista, também figuram currículos, arquivos, contratos e documentos em gerais.

Alguns exemplos de empresas brasileiras suscetíveis a essas normas são as que atuam nas áreas de viagem, entretenimento, softwares e aplicativos, assim como e-commerce.

Em vista disso, as novas regras europeias sobre a proteção de dados privados tornaram a gestão da informação extremamente sensível e estratégica. E as empresas que de alguma forma lidam com dados de cidadãos da UE devem cumprir essas normas sob o risco de sofrer penalidades.

Por outro lado, mesmo as organizações que não estão sujeitas às regras encontram-se cada vez mais pressionadas a buscar conformidade com padrões de proteção brasileiros e também mundiais. Diversos países a exemplo da União Europeia estão buscando atualizar o modo como processam os dados de seus cidadãos.

No Brasil, por exemplo, em agosto de 2018 foi sancionada a Lei Geral de Proteção de Dados com o objetivo de aumentar a privacidade de dados pessoais e o poder das entidades reguladoras para fiscalizar organizações.

No entanto, há diferenças entre o GDPR e a LGPD, apesar de compartilharem dos mesmos objetivos. Em se tratando do regulamento europeu – tema que tratamos neste artigo – é importante observar:

1 – Registros de clientes atualizados e precisos

A precisão dos dados é o ponto crucial do GDPR. Por isso, as informações devem ser precisas e estarem sempre atualizadas. O regulamento também estabelece que as informações pessoais somente possam ser retidas desde que cumpram seu propósito original. Caso contrário, devem ser excluídas.

2 – A capacidade de demonstrar conformidade

O GDPR estabelece que a empresa também demonstre uma atitude transparente e de apoio aos clientes. É por isso que muitas empresas estão tomando medidas proativas para documentar o tipo de dados que armazenam, os processos que usam para mantê-los e a eficácia desses procedimentos.

3 – Notificações de violações

Os clientes devem ser informados se o fornecedor sofreu uma violação de dados. O processo de notificação é inevitavelmente baseado na integridade do banco de dados. Por isso, mais uma vez a exclusão dos dados é uma parte tão importante da estratégia de conformidade com o GDPR.

Como se adequar para atender às exigências do GDPR?

Em relação às obrigações, as quais as empresas precisam atender, destacam-se:

Consentimento: se uma empresa precisar usar os dados de um cliente de uma maneira específica, o consentimento deve ser solicitado e fornecido em termos claros e compreensíveis, sem qualquer tipo de ambiguidade.

O direito de ser esquecido: permite que uma pessoa tenha seus dados pessoais eliminados devido à irrelevância ou por consentimento (direito de retirada).

Notificação de violação: no caso de uma violação de dados, as notificações aos indivíduos afetados são obrigatórias dentro de 72 horas do primeiro conhecimento.

O direito à informação: as empresas são obrigadas a informar seus clientes os motivos pelos quais seus dados estão sendo processados.

Portabilidade de dados: todos os titulares de dados  têm o direito de receber seus dados pessoais  e transferi-los para outro provedor, se assim desejarem.

Conclusão

Em suma, as empresas brasileiras que precisam adequar-se ao GDPR devem ficar atenta ao tipo e a quantidade de dados pessoais que podem processar, o que dependerá do motivo pelo qual a instituição está processando e qual o uso que deseja fazer dessas informações.

Por exemplo, a empresa deve ter propósitos específicos para processar os dados e deve indicar esses objetivos aos indivíduos no momento em que obtém esses dados. Além disso, deve estar ciente de que não é  permitido usar os dados pessoais para outros propósitos que não sejam compatíveis com o objetivo original.

Por fim, as empresas devem operar sempre com tecnologia apropriada que garanta a segurança dos dados pessoais, incluindo proteção contra processamento não autorizado ou ilegal, priorizando, sobretudo, requisitos como integridade e confidencialidade.

Fonte: https://eugdpr.org/

Artigos que possam ser de seu interesse

Como definir o capital social da sua empresa?

O capital social é um instrumento fundamental para o nascimento e a vida de sua empresa! Ele serve ao mesmo Leia mais

Como se tornar empresário sem ter sócios no Brasil ?

Você quer empreender sem se associar, mas não sabe ainda qual o modelo de empresa escolher ? Apresentamos neste artigo Leia mais