Insights > Blog

Noções básicas do GDPR: como tudo começou.

Já se passaram mais de dois anos desde que o Regulamento Geral de Proteção de Dados (GDPR) entrou em vigor. A privacidade pessoal continua a ser um tópico de imensa importância para pessoas e empresas em todo o mundo. Vamos cobrir alguns princípios básicos de privacidade neste e em uma série de posts futuros. Compreender o GDPR é útil, à medida que novas regulamentações como a California Consumer Protection Act (CCPA) aparecem. O objetivo básico do GDPR e de outros atos é o direito pessoal à privacidade.

História

O Regulamento Geral de Proteção de Dados (GDPR) da União Europeia entrou em vigor em 25 de maio de 2018. Muitas empresas em todo o mundo ainda lutam com a conformidade: interpretações errôneas, custos, treinamento necessário e mecanismos de relatório ainda confundem muito.
O GDPR surgiu por uma razão principal, uma diferença cultural entre a Europa e a América do Norte: enquanto os europeus consideram suas informações de privacidade como algo que deveria pertencer estritamente a eles, mesmo como uma definição parcial de si mesmas, as pessoas na América do Norte há muito se renderam à essa ideia.
O particular interesse para o GDPR é o que acontece com os dados de privacidade depois que são coletados: como são processados, quem obtém os resultados e o que eles fazem com esses resultados, na maioria das vezes sem o consentimento do titular dos dados. Ter controle sobre as próprias informações de privacidade é o objetivo do GDPR.
O GDPR foi projetado para fortalecer e unificar as leis de privacidade de dados em toda a Europa, mas sua jurisdição é global, visto que qualquer entidade em qualquer lugar do mundo que lide com dados de privacidade da UE, ofereça bens ou serviços ou monitore o comportamento dos cidadãos da UE é responsável.
O GDPR substitui a Lei de Privacidade de Dados do Reino Unido de 1998 (substituída também pela Lei de Proteção de Dados de 2018, que complementa, mas é muito menos rigorosa do que o GDPR); Privacy Shield (2017), recentemente declarado inválido; e o Safe Harbor Framework EUA-UE (2000).

Elementos do GDPR
O GDPR apresenta essas mudanças para as estruturas mais antigas:

• Aumento do escopo territorial: conforme mencionado, se uma entidade lida com dados de privacidade da UE de qualquer lugar do mundo, ela está sujeita ao cumprimento do GDPR.

• Penalidades: As penalidades máximas por não conformidade são de 4% da receita bruta anual ou 20M €, o que for maior.
Desde a promulgação em 2018, as maiores multas GDPR foram:
Multa da Empresa em Euro Multa em USD:

Notificação de violação: as autoridades de supervisão da UE devem ser avisadas dentro de 72 horas de uma violação ou suspeita de violação.

Direito de Acesso: por meio de um mecanismo denominado Subject Access Request (SAR), se um titular dos dados solicitar o conhecimento de todas as informações que uma entidade coletou sobre ele, o processamento e a distribuição sobre essas informações devem ser comunicados a eles em um prazo máximo de 30 dias.

Direito de ser esquecido: Se um titular de dados solicitar que todos os seus dados, registros de processamento e distribuição sejam excluídos permanentemente, as entidades devem cumprir seu pedido, com algumas exceções. Se os dados forem necessários para processos judiciais, se forem no interesse do bem público, se fizerem parte das obrigações contratuais ou se os dados foram postados voluntariamente pelo titular dos dados em um fórum público, as entidades podem recusar a solicitação. O titular dos dados tem então o direito de apelar às autoridades de supervisão, solicitando o exame minucioso da entidade para conformidade com o GDPR.

Privacidade desde o projeto: esta é uma nova introdução ao desenvolvimento de caso de negócios em que o risco para os dados em mãos é determinado por meio de uma avaliação de impacto de privacidade de dados (DPIA). As atividades de negócios de alto risco precisa ser relatadas às autoridades de supervisão para aprovação; melhor projetar casos de uso de negócios que eliminem esse alto risco.

Funcionários de proteção de dados (DPO): também um novo conceito apresentado pelo GDPR é a ideia de ter uma autoridade única em todas as atividades de gerenciamento de privacidade. Uma entidade deve satisfazer uma das 3 condições para introduzir um requisito de DPO, que abordaremos posteriormente neste documento.

As consequências são claras e não poderemos ignorá-las, tais como: mais trabalho para os controladores e os processadores de dados, retorno dos 4% gastos com “non-compliance” (ou parte dele) e melhoria de responsabilidade e compensação atraindo mais recursos para aplicar em segurança.
O GDPR ou LGDP, incrementa o nível de segurança a ser implantado, permitindo ter maior conhecimento sobre vulnerabilidades com diferentes planos de contingência e compromisso com possíveis riscos, dificultando, assim, os ataques atualmente aplicados.

Referência: baseado no artigo de Alexandre Armellini, Cipher Red Team Services Consultant.

0 comentários

Enviar um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

RECEBA NOSSAS NOTÍCIAS!

Information Security Maturity Self-Assessment Survey

Saiba mais

•  Whitepapers
•  E-books
•  Checklists
•  Self-Assessments
•  Webcasts
•  Infographics