Você já ouviu falar do GDPR. É a nova legislação de privacidade de dados da União Europeia, que vem levantando diversas discussões sobre como as empresas devem tratar das informações de seus clientes. Embora os termos da legislação entrem em vigor em maio de 2018, limitando-se as empresas em operação na UE, ainda veremos importantes mudanças na forma como outros mercados e empresas cuidam da privacidade de seus clientes.

Por isso, vamos entender como funcionam três áreas chave da Regulamento Geral de Proteção de Dados Europeia.

GOVERNANÇA DE DADOS

O GDPR pretende harmonizar as leis de dados em toda a Europa. E o controle destes dados, seu uso e segurança é um dos aspectos primordiais da nova legislação.

Três pontos precisam de atenção:

  • Notificação de falhas: Qualquer falha relativa aos dados administrados por uma organização deve ser comunicada dentro de 72 horas a qualquer pessoa afetada e aos reguladores dos dados.
  • Privacidade no escopo: Com esta disposição, as empresas devem considerar a natureza da privacidade de dados no escopo de qualquer projeto.
  • Gerenciamento de Fornecedores: Fornecedores terceiros também enfrentarão as regras GDPR. Toda instância que lide com os dados deve manter registros detalhados de qualquer atividade de processamento.

GESTÃO DE DADOS

O gerenciamento de dados diz respeito a forma como tratar das atividades de processamento.

  • Exclusão de dados: a partir do GDPR, os europeus têm o direito de solicitar a exclusão de seus dados pessoais dos registros de uma determinada organização.
  • Processamento de dados: As organizações devem manter registros internos de todas as atividades de processamento de dados. As informações registradas precisarão incluir o nome e os detalhes da organização, os fins do processamento de dados, a descrição de categorias de indivíduos e dados pessoais, os destinatários, os detalhes das transferências de dados e os cronogramas de retenção de dados.
  • Transferências de dados: sob o GDPR, as empresas serão proibidas de transferir dados para um país terceiro que não possui leis adequadas de proteção. A Comissão Europeia avalia os países com leis de proteção de dados “satisfatórias” e mantém uma lista de “países aprovados”.
  • Administrador de proteção de dados: Qualquer empresa que processa mais de 5000 registros em um período de 12 meses precisa alocar um responsável pela gestão dos dados (DPO – Data Protection Officer). Um DPO pode atender a uma empresa ou um grupo de empresas e será responsável por monitorar a conformidade com as regras do GPDR e realizar avaliações de proteção de dados, bem como treinar pessoal em políticas globais.

TRANSPARÊNCIA DE DADOS

Para estar em acordo com a transparência de dados, os seguintes pontos precisam de atenção:

  • Consentimento: As organizações que processam dados pessoais devem ser comprovar que tem autorização para usar aqueles dados. Qualquer pessoa tem o direito de suspender o seu consentimento a qualquer momento. Por isso, a empresa deve facilitar o processo.
  • Portabilidade de dados: Sob o GDPR, todo solicitante tem o direito obter uma cópia dos seus dados registrados por um provedor de serviços e mover, copiar ou transferir dados facilmente para um novo prestador sem obstáculos à usabilidade.
  • Políticas de privacidade: As empresas devem divulgar aos envolvidos informações caso seus dados sejam processados. Os direitos dos clientes devem ser facilmente interpretáveis e acessíveis.

Para empresas que têm negócios com parceiros e clientes europeus, é importante se preparar para atender as regras do GDPR. Esse planejamento envolve tecnologia, pessoas e processos necessários para promover da privacidade dos dados com agilidade. Se este é o seu caso, você precisará começar a planejar sua abordagem personalizada para cumprir a regulamentação GDPR o mais cedo possível, garantindo consistência em toda a sua organização.