O Regulamento geral de proteção de dados (GDPR) é a legislação atualizada e unificada de proteção de dados e leis de privacidade em toda a União Europeia (UE). Ele substituiu a Diretiva de Proteção de Dados da UE de 1995.
O Parlamento Europeu aprovou a lei de proteção de dados em 14 de abril de 2016, mas ela entrou em vigor em 25 de maio de 2018. Portanto, muitas pessoas se referem à GDPR como a lei de proteção de dados de 2018. Harmonizou as leis de privacidade de dados de todos os 28 membros da UE e proporcionou um conjunto consistente de 99 artigos para maiores direitos e proteção aos indivíduos. Isso veio à medida que os consumidores da UE se tornavam cada vez mais preocupados com a privacidade dos dados.
Um relatório de segurança da RSA Data Privacy & Security revelou que 41% dos consumidores submetem informações pessoais incorretas a empresas devido à pouca fé na privacidade dos dados e ao medo de marketing invasivo. Outros 90% dos consumidores globais pesquisados expressaram preocupação com a perda, manipulação e roubo de seus dados pessoais.
Muitos descrevem o GDPR como proteção de dados e revolução da privacidade em vez de uma revisão de direitos. A nova diretiva se concentra em manter as empresas transparentes e expande os direitos de privacidade dos consumidores (sujeitos dos dados). Por exemplo, uma vez que uma empresa detecta uma grave quebra de segurança, deve notificar a autoridade supervisora e todos os indivíduos afetados dentro de 72 horas.
As diretrizes da GDPR se aplicam a todos os dados que os cidadãos da UE produzem, independentemente de a organização que coleta os dados ter ou não base na UE. Também afeta todas as pessoas cujas informações são armazenadas na UE, incluindo cidadãos de fora da UE. Além disso, inclui multas altas para empresas que violam as regras.
GDPR significa Regulamento geral de proteção de dados. É uma lei de proteção de dados com disposições que exigem que as empresas e organizações protejam os dados e a privacidade dos cidadãos da UE para transações que ocorrem dentro dos Estados membros da UE. Ele também regulamenta como as empresas exportam dados pessoais para fora da UE. Muitos o consideram o padrão de proteção de dados mais forte do mundo que melhora a forma como as pessoas podem acessar suas informações e os limites aos quais as organizações devem aderir quando lidam com dados pessoais.
O GDPR exige que empresas e organizações que realizam o processamento de dados em larga escala e o monitoramento da pessoa interessada tenham um responsável pela proteção de dados (DPO). O DPO se torna um figura essencial, responsável pela governança de dados da empresa e pelo cumprimento.
As empresas que não cumprem as regras do GDPR enfrentam consequências legais, incluindo uma multa de 20 milhões de euros (ou cerca de US$ 22,07 milhões) ou 4% da receita global anual, o que for maior. Além disso, o DPO assegura a aplicação dos princípios apropriados de proteção de dados para manter dados pessoais.
O GDPR existe por causa da preocupação pública com a privacidade. Ele substituiu a Diretiva de proteção de dados da UE de 1995, promulgada muito antes de a Internet se tornar um moderno hub de negócios online. Portanto, isso foi necessário para substituir a diretiva desatualizada que não tratava de como as empresas coletavam, transferiam e armazenavam dados.
Hoje, o GDPR protege a população da UE e seus dados para garantir que as organizações que coletam e armazenam dados o façam de forma responsável. Ele exige a manutenção segura dos dados pessoais e exige que as organizações os protejam contra processamento não autorizado ou ilegal, danos, destruição e perda acidental. Isso inclui muitas atividades relacionadas a ransomware e malware.
Isso também identifica razões para a coleta de dados pessoais e especifica que devem ser com propósito particular e legítimo, e as organizações não podem usá-los para além de tal intenção. O regulamento coloca limites na quantidade de dados que as organizações e empresas podem coletar. Ele estipula que a coleta de dados se limita ao necessário para os fins para os quais uma organização processa e usa os dados.
Além disso, o GDPR declara que as organizações que coletam dados devem garantir sua precisão e atualizá-los conforme necessário.
As empresas não podem processar legalmente as informações pessoais identificáveis de uma pessoa se não cumprirem as seguintes condições estabelecidas:
O objetivo de impor o GDPR é usar uma lei uniforme de segurança de dados da UE nos Estados membros para que os membros não precisem escrever e aplicar leis diferentes de proteção de dados. Além disso, embora venha da UE, ele se aplica a empresas globais fora da região.
Por exemplo, aplica-se a uma empresa sediada nos EUA que faz negócios na UE e coleta e trata os dados dos residentes e cidadãos da UE. Uma pesquisa da PWC mostrou que 92% das empresas sediadas nos EUA consideram a proteção de dados do GDPR uma prioridade.
Outros critérios específicos de conformidade para organizações incluem:
O GDPR se concentra muito na proteção de dados pessoais. Dados pessoais são informações que identificam uma pessoa viva, direta ou indiretamente. Pode ser algo óbvio como um nome, dados de localização, ou um nome de usuário online evidente ou menos aparente, como identificadores de cookies ou endereços IP.
Ele também dá a algumas categorias de dados pessoais confidenciais maior proteção, incluindo informações sobre:
A definição crucial dos dados pessoais é qualquer coisa que permita a identificação de uma pessoa. Isso significa que os dados pseudônimos ainda se enquadram nos dados pessoais, neste contexto amplo. Os dados pessoais são críticos, pois a lei cobre indivíduos, empresas e organizações que os processam ou controlam.
A GDPR define as três funções a seguir:
Controladores são os tomadores de decisão e exercem controle sobre o processamento de dados pessoais e suas finalidades e usos. Às vezes, existem controladores de dados pessoais conjuntos, onde duas ou mais entidades determinam como tratar os dados coletados. Por outro lado, os processadores agem em nome dos controladores relevantes sob suas instruções. Portanto, controladores têm regulamentos mais rígidos do que processadores.
Os usuários devem consentir com as organizações e empresas que desejam coletar e utilizar seus dados pessoais. Nesse caso, os dados pessoais se referem a informações sobre uma pessoa física viva, identificada ou identificável, muitas vezes chamada de sujeito dos dados.
Como dito acima, os dados pessoais podem incluir o seguinte:
Ele exige que as empresas e organizações notifiquem aos visitantes de seus sites online sobre os dados coletados, tais como cookies. Eles também devem concordar em fornecer informações clicando no botão Concordo. Por exemplo: muitos sites têm divulgações popup que notificam aos visitantes que o site coleta cookies — pequenos arquivos contendo informações pessoais, como preferências ou configurações do site.
Sites também devem notificar os visitantes e usuários antecipadamente sobre uma violação dos dados pessoais da empresa ou do site. Estas exigências de proteção de dados da UE são frequentemente mais rigorosas do que as de outras jurisdições.
Outras determinações incluem a avaliação da segurança dos dados do site e a exigência de ter um responsável pela proteção de dados para realizar estas e outras funções. Além disso, a empresa deve fornecer informações de contato do DPO e de outros funcionários relevantes para garantir a facilidade de acesso ao exercício de seus direitos do GDPR. Estas incluem o direito de ter seus dados pessoais apagados do site, entre outras medidas.
Ele protege ainda mais os consumidores, garantindo que as organizações e outros coletores façam com que os dados pessoais coletados sejam anônimos ou se tornem pseudônimos para substituir a identidade. Estas medidas permitem que organizações realizem análises de dados mais extensas, como avaliação dos índices médios de endividamento de seus clientes, que vão além das exigências para avaliar a solvência de um empréstimo.
Vale mencionar que o GDPR afeta outros dados além dos coletados dos clientes. Por exemplo: o regulamento se aplica aos registros de RH dos funcionários.
O GDPR da UE tem 11 capítulos e 91 artigos. Veja abaixo alguns dos principais artigos que afetam as operações de segurança das organizações:
Há sete princípios fundamentais no Artigo 5 da legislação. Estes princípios mostram como as organizações devem lidar com os dados das pessoas. Não são regras complexas a seguir, mas sim uma estrutura de longo alcance cujo projeto estabelece os objetivos da GDPR.
Muitos princípios são semelhantes aos das leis de proteção de dados anteriores. Os sete princípios são os seguintes:
Os princípios do GDPR acima estão sujeitos aos direitos específicos do sujeito dos dados sob a lei de proteção de dados. Estes incluem:
Durante uma quebra da segurança que afeta dados pessoais, os controladores de dados têm 72 horas para notificar a autoridade supervisora (autoridade pública que o país membro da UE designa para supervisionar a conformidade). São requisitos adicionais da notificação da quebra de segurança:
O GDPR tem uma abordagem em escala para multar infratores da regulamentação. Há dois níveis de multas, dependendo do escopo e do tipo de infração:
Após o GDPR entrar em vigor, em 2016, a principal questão em que a maioria das empresas se concentrou foi a capacidade dos reguladores de imporem duras multas financeiras por não conformidade. Os reguladores podem multar empresas por qualquer infração, incluindo falha no processamento de dados pessoais, falha em ter um responsável pela proteção de dados — se necessário — ou violações de segurança.
Há vários regulamentos sobre dados pessoais de terceiros — dados de outras partes que não os sujeitos dos dados da UE — e compartilhamento de dados pessoais fora da região. A lei de proteção de dados de 2018 estipula que:
Após a saída do Reino Unido da UE, ele atualizou suas leis de proteção de dados e agora usa a Lei de proteção de dados de 2018. Ela estipula que as empresas do Reino Unido que fazem negócios com clientes e organizações da UE devem cumprir a GDPR.
Vale ressaltar que o GDPR coloca igual responsabilidade sobre os processadores e controladores de dados. Isso significa que um processador de terceiros sem conformidade afeta o status de conformidade de uma organização. A lei também tem requisitos rigorosos sobre denúncia de violações na cadeia.
Portanto, contratos existentes de um controlador com processadores, como provedores de SaaS, provedores de serviços de folha de pagamento ou provedores de nuvem e clientes devem detalhar as responsabilidades. O contrato também deve ter processos consistentes de gerenciamento, coleta, proteção, armazenamento de dados e comunicação de violações.
Então, como uma empresa garante a conformidade? Os regulamentos descrevem resultados esperados do gerenciamento de dados responsável, mas não especificam medidas técnicas para atingi-los. Seguem as práticas recomendadas para garantir conformidade:
A transformação digital redefiniu regulamentos que regem as empresas no mundo. Empresas nos EUA estão agora sujeitos a várias regulamentações de conformidade de segurança cibernética devido à natureza de seus negócios, como o GDPR e a Lei de privacidade do consumidor da Califórnia (CCPA). (Consulte CPRA para obter uma atualização sobre CCPA)
Muitas plataformas de comunicação e ambientes operacionais online tornaram a administração de conformidade exigente e onerosa. Por isso, empresas buscam maneiras eficazes e acessíveis de se manterem em conformidade enquanto aumentam a produtividade e expandem as operações.
O portfólio integrado de recursos de conformidade de dados da Veritas sintetiza a inteligência em diferentes fontes de dados para simplificar o acesso, garantir a conformidade, fornecer insights, análises de suporte e minimizar o risco organizacional.
A abordagem integrada Veritas para conformidade e gerenciamento de dados empresariais transforma big data em insights acionáveis. Além disso, nossos recursos de integração de relatório e visualização do Data Insight permitem que usuários classificam dados vulneráveis, engajem com proprietários dos dados, e revoguem acesso a dados pessoais confidenciais para melhorar a conformidade e a tomada de decisão.
Além disso, Veritas Integrated Classification Engine elimina os desafios de dados escuros na segurança e conformidade de dados. Como Líder Gartner Magic Quadrant, lideramos o mercado de arquivamento de informações empresariais. Os usuários podem arquivar e recuperar seus dados de e para qualquer lugar.
A Veritas oferece um portfólio de produtos integrado — o maior do mercado. Um ecossistema tecnológico abrangente e robusto o apoia, sem que nenhum outro provedor chegue perto da escala e versatilidade que a Veritas Enterprise Data Services oferece.