Com a dimensão de possibilidade que a internet proporciona à sociedade, faz-se necessário um investimento em cibersegurança. São tantos dados, principalmente sigilosos, que são coletados, que sem esse recurso muitas pessoas ficam vulneráveis a situações desagradáveis ou criminosas. Por isso, foi instaurado o Regulamento Geral sobre a Proteção de Dados (GDPR). Você o conhece?
Provavelmente você já viu muito nos últimos meses comunicações por e-mails, sms, telefones e demais canais pedindo sua permissão para o uso e coletamento de dados, certo? 📱
Isso é fruto desse regulamento geral, criado no exterior, para proteção de dados e que vem sendo incorporado aqui no Brasil.
As políticas de privacidade são direitos de qualquer cidadão. E se você é gestor ou trabalha em uma empresa, principalmente de tecnologia, precisa se atentar a esse fator e atuar conforme suas restrições e regras. Até porque dados de clientes são um insumo cada vez mais importante para as organizações.
Com o mundo tão conectado, as possibilidades de obter e processar informações se ampliaram. E quando utilizadas de formas ilegais podem causar graves consequências.
Continue a leitura do artigo e confira mais detalhes sobre a GDPR e como essa lei de proteção de dados funciona na atualidade. Confira! 👇
O que é GDPR (General Protection Regulation)?
A GDPR é a General Data Protection Regulation, ou seja, Regulamento Geral sobre a Proteção de Dados. 🔒
É um regulamento originário do Parlamento Europeu e do Conselho da União Europeia que estabelece as regras necessárias para as empresas sobre a privacidade e proteção de dados de cidadãos da União Europeia e Espaço Econômico Europeu, de forma que se preocupem com alguns requisitos quando lidar com o tratamento e uso de dados das pessoas na internet.
Na prática, é um conjunto de regras que aprimora a forma como as pessoas podem acessar informações sobre elas e impõe limites ao que as organizações podem fazer. Portanto, seu maior objetivo é a segurança e a transparência de dados.
Assim, quando qualquer empresa usar um dado pessoal de usuário ou cliente, ela precisa da sua permissão para tal feito, bem como descrição de como serão utilizados.
É um regulamento completo e que tem mais de 90 artigos individuais, onde estimula que sem a transparência não é possível que haja consentimento, um dos principais conceitos do GDPR.
Dessa forma, essa lei permite que o próprio usuário tenha controle de seus próprios dados.
Como funciona?
Seu funcionamento depende basicamente do conhecimento da empresa e do cliente que tem relação com ela, ambos respeitando as regras do regulamento.
Em tese, o GDPR envolve três grupos de envolvidos: 👇
1º As autoridades que legislam, fiscalizam, recebem denúncias e autuam.
2º As empresas, que precisam ajustar seus processos para respeitar as determinações do regulamento.
3º Os cidadãos europeus que cadastram fornecem seus dados a empresas, não importa onde elas estejam.
Embora muitos digam que essa lei surgiu para impedir o funcionamento das empresas, na verdade ela torna todo o processo mais eficiente e ainda permite o direito que as pessoas têm de verem seus dados pessoais sendo usados com responsabilidade.
Importante ressaltar que seu uso não diz quais são as boas práticas de segurança, já que isso varia de organização para organização. A GDPR serve como parâmetro para a proteção e o direito de todos de acordo com a legislação e governança. 🤝
Sendo que, aquelas empresas que não cumprirem, podem receber desde uma simples notificação por infração leve até uma multa de milhões em dinheiro. Isso tudo vai depender do grau de descumprimento cometido.
Origem da GDPR
GDPR é um projeto para proteção de dados e identidade dos cidadãos da União Europeia que começou a ser idealizado em 2012 e foi aprovado em 2016. Mesmo que os países já tivessem leis que falassem da privacidade, elas não correspondiam ao cenário tecnológico e precisavam de algum embasamento.
Portanto, criar o regulamento veio dessa necessidade, pois a União Europeia considera a proteção de dados pessoais um direito dos cidadãos dos países do bloco. Por conta disso, todas as empresas e organizações, independente de porte ou área de atuação, deverão seguir regras rígidas para coletar, processar, compartilhar e resguardar dados pessoais.
Assim, a GDPR foi desenvolvida a partir de três motivos:
- Conciliar as leis de privacidade de dados em toda a Europa;
- Proteger e empoderar a privacidade de dados de todos os cidadãos da região;
- Reformular o modo como as organizações abordam os dados de seus clientes respeitando a privacidade.
Sua vigência foi em maio de 2018. ✅
Principais obrigações da GDPR
Dentro do regulamento existem diversos pontos relevantes, sendo algumas as principais obrigações das empresas aos cidadãos. São elas:
Direito ao Esquecimento
Nesse requisito as empresas são obrigadas a excluir quaisquer registros de informações pessoais que não sejam necessárias para propósitos históricos, estatísticos, científicos, para saúde pública ou para exercer a liberdade de expressão. Por exemplo: números de telefone, CPF, endereços, etc. Tudo que comprometa a segurança do cidadão.
Proteção para Crianças
Há uma parte destacada essencial em que se exige a restrição da exposição excessiva de crianças na internet. Caso seja necessário, é preciso do consentimento dos pais para tais atos, como nas redes sociais, por exemplo.
Permissão para uso de dados
Para se processar os dados pessoais, é preciso que a pessoa receba uma permissão clara e afirmativa de cada usuário.
Portabilidade
Qualquer cidadão tem o direito de transferir, sem restrições, seus dados pessoais de um serviço conectado para outro, de forma similar à portabilidade do celular.
Invasão e vazamento de dados
Caso haja alguma invasão de hackers, as empresas precisam avisar os clientes em até 72 horas após tomarem conhecimento da invasão.
Linguagem Clara
Sempre deve ficar tudo muito claro e compreensível sobre as políticas de privacidade.
Controlador De Dados
Todas as empresas precisam de um controlador de dados, um profissional responsável para ficar acompanhando e verificando se a companhia está em conformidade com os princípios do regulamento.
Extraterritorial
Embora a GDPR seja da União Europeia, ela também vale para países e empresas que não estão dentro do bloco.
Transferência De Dados
Dados pessoais de cidadãos europeus só podem ser transferidos para países com leis de proteção equivalentes ao GDPR.
Afinal, como a GDPR impacta o Brasil?
Embora a GDPR seja uma lei de fora do Brasil, focada na Europa, aqui também se agregaram alguns valores.
Relação com a LGPD
Inspirado no GDPR, o Brasil também criou sua lei de proteção de dados pessoais. A chamada Lei Geral de Proteção de Dados Pessoais na Internet (LGPD), teve aprovação no dia 14 de agosto, pela lei Nº 13.709/2018, mas entrou em vigor apenas em 2020.
Seus princípios se baseiam no regulamento europeu, sendo a principal diferença que a primeira é bem mais completa e detalhada.
Portanto, a segurança cibernética é algo necessário e presente em nosso cotidiano, seja com a GDPR ou LGPD.
👉 Gostou do conteúdo? Aproveite para se aprofundar no assunto com o Bootcamp online aqui da XP Educação de Analista de Defesa Cibernética.