Você já deve ter percebido que, no último ano, sua caixa de e-mail recebeu diversas mensagens de empresas informando sobre a atualização de seus termos de serviço. Você sabe por que isso aconteceu? A resposta é GDPR, e nós explicamos tudo o que você precisa saber sobre essa nova lei.
GDPR significa General Data Protection Regulation ou, em português, Regulamento Geral sobre a Proteção de Dados. Ela é uma lei criada pela União Europeia que garante a proteção e privacidade de dados dos usuários. Ela é consequência da quarta revolução industrial e do rápido avanço da tecnologia, da globalização e do fluxo internacional de dados pessoais cada vez maior. Essa lei regulamenta o que e como empresas devem tratar os dados pessoais de milhares de usuários que acessam suas redes.
A GDPR determina 6 elementos que empresas devem respeitar e seguir ao processar informação pessoal. Continue lendo e descubra quais são e porque você deve implementar em seu site.
Ela regulamenta o processamento dos dados de usuários individuais da UE, o que pode incluir coleta, armazenamento, transferência, uso e até mesmo exclusão desses dados. Essa lei é aplicada em empresas com e sem presença física em território europeu, basta que o site da empresa atenda aos usuários da união para que se submetam à regulamentação.
Devido às diferentes aplicações possíveis a regulamentação divide as organizações entre “controladoras” e “processadoras”. A primeira são as organizações que detêm os dados, enquanto as segundas se ocupam apenas de processá-los seguindo os comandos das controladoras. A lei se aplica para os dois tipos de organização.
LGPD é uma norma brasileira e significa Lei Geral de Proteção de Dados. Assim como a GDPR, ela regulamenta a utilização de dados dos usuários da internet. O conceito central delas é o mesmo, visando proteger os usuários do uso indevido de seus dados através do consentimento. No entanto, nossa lei é mais ampla que a versão europeia.
Na definição de como os dados devem ser tratados, a LGPD apenas garante que ocorra de forma segura, porém não orienta como, deixando esse papel para a Autoridade Nacional de Proteção de Dados. A regulamentação da Europa, por sua vez, possui diretrizes rígidas na forma como a proteção dos dados deve ocorrer.
Caso sua empresa guarde, processe informações pessoais, realize transações comerciais ou ofereça produtos e serviços à União Europeia você precisa seguir as regras da GDPR.
Processar informação pessoal significa operar com qualquer dado que identifique o usuário como único. Por exemplo, desde a ativação de cookies no navegador até o rastreamento do comportamento desses usuários por CRM, é preciso se adequar à lei, uma vez que essas atividades são passíveis de identificação.
Quem descumprir a lei será multado entre dois níveis possíveis de punição. A primeira punição acarreta em uma multa de até 10 milhões de euros ou 2% do faturamento anual global, o que for maior. A multa no segundo nível é de até 20 milhões de euros ou 4% do faturamento anual global, também conforme o que for maior.
De forma geral, a primeira multa é destinada à violação de controladores e processadores, enquanto a violação de privacidade dos dados dos usuários resulta na multa de maior valor.
Diversos critérios são levados em consideração para ser determinado o valor da multa, tais como natureza, gravidade e duração da infração. As autoridades que definem a multa podem ainda considerar os tipos de dados afetados, as infrações prévias e o nível de cooperação da empresa infratora.
Agora que você já sabe os princípios básicos da GDPR, é hora de se aprofundar no tema e descobrir os 6 elementos que sua empresa deverá seguir. São eles:
Sua empresa deve tratar dados pessoais dentro da lei, de maneira justa e transparente. Isso significa dizer que você precisa sempre notificar que você está coletando informações e deve, ainda, especificar quais são essas informações e como elas serão usadas.
Sua empresa deve coletar apenas dados específicos com intenções específicas. Você nunca pode processar informações além daquelas que contemplam as intenções específicas e informadas ao usuário.
Assim como no propósito delimitado, você pode apenas coletar dados pessoais adequados e relevantes para suas intenções. Isso significa que coletar ou questionar qualquer informação não relacionada ao serviço oferecido é proibido. Por exemplo, ao realizar um download, o desenvolvedor não deve acessar a localização exata ou a agenda de contatos do usuário se não forem relevantes para o serviço fornecido pela aplicação ou se o usuário não permitir.
Todo dado pessoal que você coletar deve ser correto, claro e, quando necessário, ser atualizado para estar em dia com as informações pessoais do usuário.
Os dados pessoais dos usuários só devem ser mantidos enquanto forem necessários e sirvam para o propósito original. Por exemplo, ao fechar uma conta de banco, é dever da organização deletar toda informação do usuário que não tenha um propósito legítimo.
Organizações devem usar técnicas apropriadas e medidas de segurança para proteger dados pessoais contra o processamento não autorizado ou vazamento. Acesso, perda ou alteração indevida dos dados acarreta em penalidades. Dependendo do caso, é recomendado, quando não obrigatório, o uso de dados segregados, criptografados, pseudonimizados ou anonimizados.