Tem sido alvo de debates e notícias há algum tempo e, ainda assim, estima-se que 22% das empresas ainda não tomaram nenhuma acção para se preparar para esta alteração legal. O certo é que veio virar as empresas do avesso no que se refere à forma como lidam com os dados e a informação que requerem e criam.
Estamos a menos de um mês da implementação do GDPR – em português, Regulamento Geral sobre a Proteção de Dados, que entra em vigor a 25 de Maio. E, infelizmente, ainda existem muitas pessoas que não estão esclarecidas sobre aquilo que representa, os direitos que lhe concedem, e nem todas as empresas estão em conformidade com as novas regras do jogo. Neste artigo, esclarecemos alguns pontos e desconstruímos o que o GDPR representa para os envolvidos.
O que representa o GDPR?
Após anos de debate, preparação e negociação, o GDPR foi aprovado em Abril de 2016 pelo Parlamento Europeu, representado a maior mudança na regulamentação da privacidade de dados em 20 anos. 20 anos! O que significa que o mundo mudou entretanto – vivemos atualmente na era da big data, da informação, que permite segmentar os consumidores e personalizar a oferta apresentada – e isso torna as alterações ainda mais significativas.
O GDPR tem como missão uniformizar as leis de proteção de dados dos países Europeus, de modo a proteger os cidadãos, e reformular a forma como as organizações abordam a privacidade dos dados. Uma mudança completa de paradigma, que ainda causa alguma resistência – principalmente por parte das organizações.
Quais são as maiores alterações?
- Abrangência territorial acrescentada: a jurisprudência do GDPR aplica-se a todas as empresas que processem informação pessoal de indivíduos residentes na União Europeia, ou seja, a localização da empresa torna-se irrelevante;
- Penalização: já estão estabelecidos os valores das multas em caso de incumprimento da legislação, podendo ir até 20 milhões de euros;
- Consentimento: as políticas de privacidade impercetíveis deixam de ser aceitáveis, e o pedido de consentimento deve ser feito de uma forma acessível e facilmente compreensível. Simultaneamente, deve ser igualmente fácil remover o consentimento dado anteriormente.
Que tipos de dados o GDPR protege?
- Informação básica, como nome, morada, ID;
- Dados online, como localização, endereço, cookies, etc.;
- Informação médica e genética;
- Informação biométrica;
- Informação racial e étnica;
- Orientação sexual;
- Opiniões políticas.
Que direitos acrescenta ao consumidor em geral?
- Ser informado: o consumidor deve ser informado das políticas de privacidade, mas também tem o direito de ser notificado caso ocorra alguma falha de segurança num prazo de 72 horas após a ocorrência da mesma;
- Aceder: o consumidor poderá ter acesso à sua informação que a empresa detém, para que propósitos e onde é processada. A empresa que detém os dados deve fornecer uma cópia da informação pessoal, sem custos e num formato eletrónico;
- Eliminar: o chamado “direito de ser esquecido”, que permite ao consumidor solicitar que os seus dados pessoais sejam eliminados e que deixem de ser utilizados pela própria empresa e por terceiras partes;
- Restringir o processamento: selecionar os propósitos para os quais as empresas podem utilizar os seus dados, bem como quais dados podem ser processados;
- Portabilidade da informação: representa o direito de receber todos os dados pessoais referentes a si e de os transferir para outra empresa;
- Não estar sujeito a decisões automatizadas: ou seja, as empresas já não podem partir do pressuposto que o consumidor aceita partilhar os seus dados, nem podem recolher os dados de forma automática sem o consentimento.
Que implicações tem para as empresas?
Com os novos direitos dos consumidores e a preocupação com novos tipos de dados pessoais, as empresas necessitam de processar, armazenar e proteger os dados pessoais de uma forma mais consciente.
Assim, as empresas apenas poderão armazenar e processar os dados pessoais com o consentimento do consumidor e somente pelo tempo necessário para os propósitos de processamento aprovados. A informação também deve ser portátil de uma empresa para outra ou eliminada a pedido do consumidor.
As novas regras seguem 6 premissas gerais:
- Conhecer a informação que se tem e os motivos para tê-la
- Gerir os dados de uma forma estruturada
- Saber quem é responsável
- Encriptar aquilo que não deve ser revelado
- Desenvolver uma cultura com foco na segurança
- Estar sempre preparado – falhas acontecem, mas a resposta deve ser rápida
Que empresas serão afetadas?
Qualquer empresa que armazene e processe informação pessoal de cidadãos da União Europeia, mesmo que o negócio não tenha presença dentro da UE. Ou seja, serão afetadas empresas:
- Que tenham presença em algum dos países da UE;
- Que não tenham presença em nenhum país da EU, mas que processem dados de residentes europeus;
- Com mais de 250 trabalhadores;
- Com menos de 250 trabalhadores, mas cuja atividade de processamento de dados tenha impacto nos direitos e liberdades dos indivíduos e/ou que inclua tipos sensíveis de dados pessoais.
Quais as consequências para as empresas que não estejam em conformidade?
As multas previstas pelo GDPR chegam aos 20 milhões de euros ou 4% do volume de negócios global anual (o valor que for maior). Esta multa máxima poderá ser imposta em casos mais extremos, como não ter consentimento dos consumidores para processar os dados.
Apesar de tudo, o GDPR dá aso a interpretações. Por exemplo, estabelece que as empresas devem proporcionar um nível “apropriado” de proteção aos dados pessoais, mas não define exatamente o que é visto como “apropriado”. Nesse sentido, a aplicação das multas também terá em conta a interpretação dos diferentes aspetos.
A consultora Oliver Wyman prevê que a EU poderá recolher até 6 mil milhões de euros em multas apenas no primeiro ano – o que só demonstra que as empresas não estão preparadas para esta mudança, visto que muitos dos requisitos não estão diretamente relacionados com a segurança da informação, mas sim com os processos e sistemas que devem ser alterados para estar em concordância com o GDPR.
O GDPR representa a maior alteração na regulação da proteção de dados em 20 anos. E representa também uma mudança necessária para estar a par da atualidade onde as empresas são movidas a informação. Em 2017, os cyberattacks quase que duplicaram em comparação com 2016, contabilizando uns surpreendentes 159 500. E visto que grande parte dos ataques não são reportados, esse número estaria mais próximo dos 350 000. Desta forma, está claro que uma mudança seria necessária mais cedo ou mais tarde. Resta saber se os intervenientes estão preparados para elas a tempo.
Ainda tem questões? Mergulhe no mar de informação no website oficial do GDPR: https://www.eugdpr.org