O Regulamento Geral de Proteção de Dados (GDPR), o marco da União Europeia privacidade de dados lei, entrou em vigor em 2018. No entanto, muitas organizações ainda lutam para cumprir os requisitos de conformidade e as autoridades de proteção de dados da UE não hesitam em aplicar sanções.

Mesmo as maiores empresas do mundo não estão livres dos problemas do GDPR. Reguladores irlandeses atingiu a Meta com uma multa de 1.2 mil milhões de euros em 2023. As autoridades italianas estão investigando OpenAI por suspeitas de violação, chegando ao ponto de proibir brevemente o ChatGPT.

Muitas empresas têm dificuldade em implementar os requisitos do GDPR porque a lei não é apenas complexa, mas também deixa muita coisa ao critério. O GDPR estabelece uma série de regras sobre como as organizações dentro e fora da Europa lidam com os dados pessoais dos residentes da UE. No entanto, dá às empresas alguma margem de manobra na forma como promulgam essas regras.

Os detalhes do plano de qualquer organização para se tornar totalmente compatível com o GDPR variarão com base nos dados que a organização coleta e no que ela faz com esses dados. Dito isto, existem alguns passos fundamentais que todas as empresas podem tomar ao implementar o GDPR: 

• Dados pessoais do inventário
• Identifique e proteja dados de categorias especiais 
• Atividades de processamento de dados de auditoria
• Atualizar formulários de consentimento do usuário  
• Crie um sistema de manutenção de registros
• Designar leads de conformidade
• Elabore uma política de privacidade de dados
• Garanta que parceiros terceirizados estejam em conformidade
• Crie um processo para avaliações de impacto na proteção de dados
• Implementar um plano de resposta a violações de dados
• Facilitar aos titulares dos dados o exercício dos seus direitos
• Implantar informações medidas de segurança

Preciso implementar o GDPR? 

O GDPR se aplica a qualquer organização que processe o dados pessoais dos residentes europeus, independentemente de onde essa organização esteja sediada. Dada a natureza interconectada e internacional da economia digital, isso inclui hoje muitas – talvez até a maioria – das empresas. Mesmo as organizações que não se enquadram no âmbito do GDPR podem adotar os seus requisitos para fortalecer a proteção de dados.

Mais especificamente, o GDPR aplica-se a todos os controladores e processadores de dados baseados no Espaço Económico Europeu (EEE). O EEE inclui todos os 27 estados membros da UE, além da Islândia, Liechtenstein e Noruega. 

A controlador de dados é qualquer organização, grupo ou pessoa que coleta dados pessoais e determina como eles são usados. Pense: um varejista on-line que armazena endereços de e-mail de clientes para enviar atualizações de pedidos.

A processador de dados é qualquer organização ou grupo que conduz atividades de processamento de dados. O GDPR define amplamente “processamento” como qualquer ação realizada sobre dados: armazená-los, analisá-los, alterá-los e assim por diante. Os processadores incluem terceiros que processam dados pessoais em nome de um controlador, como uma empresa de marketing que analisa dados de usuários para ajudar uma empresa a compreender os principais dados demográficos dos clientes.

O GDPR também se aplica a controladores e processadores localizados fora do EEE se atenderem a pelo menos uma das seguintes condições: 

• A empresa oferece regularmente bens e serviços aos residentes do EEE, mesmo que nenhum dinheiro mude de mãos.
• A empresa monitoriza regularmente a atividade dos residentes do EEE, por exemplo através da utilização de cookies de rastreio. 
• A empresa processa dados pessoais em nome de controladores no EEE. 
• A empresa tem funcionários no EEE.

Há mais algumas coisas dignas de nota sobre o escopo do GDPR. Em primeiro lugar, preocupa-se apenas com os dados pessoais de pessoas singulares, também chamados assuntos de dados na linguagem do GDPR. A pessoa natural é um ser humano vivo. O GDPR não protege os dados de pessoas jurídicas, como empresas, ou de falecidos.

Em segundo lugar, uma pessoa não precisa ser cidadão da UE para ter as proteções do GDPR. Eles só precisam ser residentes formais do EEE.

Finalmente, o GDPR se aplica ao processamento de dados pessoais por praticamente qualquer motivo: comercial, acadêmico, governamental e outros. Empresas, hospitais, escolas e autoridades públicas estão todos sujeitos ao GDPR. As únicas operações de tratamento isentas do RGPD são as atividades de segurança nacional e de aplicação da lei e as utilizações puramente pessoais de dados.

Etapas de implementação do GDPR 

Não existe um plano único de conformidade com o GDPR, mas existem algumas práticas fundamentais que as organizações podem usar para orientar os esforços de implementação do GDPR.

Para obter uma lista dos principais requisitos do GDPR, consulte o Lista de verificação de conformidade com GDPR. 

Dados pessoais do inventário  

Embora o GDPR não exija explicitamente um inventário de dados, muitas organizações começam aqui por dois motivos. Primeiro, saber quais dados a empresa possui e como eles são processados ​​ajuda a organização a compreender melhor seus encargos de conformidade. Por exemplo, uma empresa que coleta dados de saúde dos usuários precisa de proteções mais fortes do que aquela que coleta apenas endereços de e-mail.

Em segundo lugar, um inventário abrangente facilita o atendimento às solicitações dos usuários para compartilhar, atualizar ou excluir seus dados. 

Um inventário de dados pode registrar detalhes como:

• Tipos de dados coletados (nomes de usuário, dados de navegação)
• Populações de dados (clientes, funcionários, estudantes)
• Como os dados são coletados (inscrições em eventos, landing pages)
• Onde os dados são armazenados (servidores locais, serviços em nuvem)
• A finalidade da coleta de dados (campanhas de marketing, análise comportamental)
• Como os dados são processados ​​(pontuação automatizada, agregação)
• Quem tem acesso aos dados (funcionários, fornecedores)
• Salvaguardas existentes (criptografia, Autenticação multifatorial) 

Pode ser difícil rastrear dados pessoais espalhados pela rede da organização em vários fluxos de trabalho, bancos de dados, terminais e até mesmo ativos de TI ocultos. Para tornar os inventários de dados mais gerenciáveis, as organizações podem considerar o uso de soluções de proteção de dados que detectam e classificam automaticamente os dados. 

Saiba como o IBM Guardium® Data Protection descobre, classifica e protege automaticamente dados confidenciais nos principais repositórios, como AWS, DBaaS e mainframes locais.

Identifique e proteja dados de categorias especiais 

Ao inventariar dados, as organizações devem anotar quaisquer dados especialmente confidenciais que exijam proteção extra. O GDPR exige precauções adicionais para três tipos de dados em particular: dados de categorias especiais, dados de condenações criminais e dados de crianças.  

• Dados de categoria especial inclui biometria, registros de saúde, raça, etnia e outras informações altamente pessoais. As organizações geralmente precisam do consentimento explícito do usuário para processar dados de categorias especiais. 

• Dados de condenação criminal só podem ser controlados pelas autoridades públicas e processados ​​sob as suas instruções. 

• dados das crianças não podem ser processados ​​sem o consentimento dos pais e as organizações precisam de mecanismos para verificar a idade dos titulares dos dados e a identidade dos seus pais. Cada estado do EEE define a sua própria definição de “criança” no âmbito do GDPR. Os limites variam de menores de 13 a 16 anos. As empresas devem estar preparadas para cumprir essas diversas definições. 

Atividades de processamento de dados de auditoria 

Durante o inventário de dados, as organizações registram quaisquer operações de processamento pelas quais os dados são submetidos. Em seguida, as organizações devem garantir que estas operações cumpram as regras de processamento do GDPR. Alguns dos princípios mais importantes do GDPR incluem o seguinte:

• Todo o processamento deve ter uma base legal estabelecida: O processamento de dados só é aceitável se a organização tiver uma base legal aprovada para esse processamento. As bases jurídicas comuns incluem a obtenção do consentimento do usuário, o processamento de dados para executar um contrato com o usuário e o processamento de dados para o interesse público. As organizações devem documentar a base legal para cada operação de processamento antes de começar.

Para obter uma lista completa das bases jurídicas aprovadas, consulte o Página de conformidade com GDPR.

• Limitação de propósito: Os dados devem ser coletados e usados ​​para uma finalidade especificamente definida. 

• Minimização de dados: As organizações devem recolher a quantidade mínima de dados necessária para a finalidade especificada. 

• Precisão: As organizações devem garantir que os dados que coletam estão corretos e atuais. 

• Limitação de armazenamento: As organizações devem descartar os dados de forma segura assim que sua finalidade for cumprida. 

Para obter uma lista completa dos princípios de processamento do GDPR, consulte o Lista de verificação de conformidade com GDPR.

Atualizar formulários de consentimento do usuário  

O consentimento do usuário é uma base legal comum para o processamento. No entanto, o consentimento só é válido ao abrigo do RGPD se for informado, afirmativo e dado livremente. As organizações podem precisar atualizar os formulários de consentimento para atender a esses requisitos.

• Para garantir que o consentimento é informado, a organização deve explicar claramente o que recolhe e como utilizará esses dados no momento da recolha de dados.

• Para garantir que o consentimento seja afirmativo, as organizações devem adotar uma abordagem opt-in, onde os utilizadores devem marcar ativamente uma caixa ou assinar uma declaração para sinalizar o consentimento. Os consentimentos também não podem ser agrupados. Os usuários devem concordar com cada atividade de processamento individualmente.  

• Para garantir que o consentimento seja gratuito, as organizações só podem exigir consentimento para atividades de processamento de dados que sejam genuinamente parte integrante de um serviço. Em outras palavras, uma empresa não pode forçar os usuários a revelarem suas opiniões políticas para comprar uma camiseta. Os usuários devem poder revogar o consentimento a qualquer momento.  

Crie um sistema de manutenção de registros 

Organizações com mais de 250 funcionários e empresas de qualquer porte que processem dados regularmente ou manipulem dados de alto risco devem manter registros eletrônicos escritos de suas atividades de processamento. 

Contudo, todas as organizações podem querer manter tais registos. Isso não apenas ajuda a monitorar os esforços de privacidade e segurança, mas também pode demonstrar conformidade caso ocorra uma auditoria ou violação. As empresas podem diminuir ou evitar penalidades se puderem provar que fizeram um esforço de boa-fé para cumprir.  

Os controladores de dados podem querer manter registros particularmente robustos, uma vez que o GDPR os responsabiliza pela conformidade de seus parceiros e fornecedores. 

Designar líderes de conformidade com GDPR  

Todas as autoridades públicas e quaisquer organizações que processem regularmente dados de categorias especiais ou monitorizem assuntos em grande escala devem nomear um oficial de proteção de dados (DPO). Um DPO é um diretor corporativo independente responsável pela conformidade com o GDPR. As responsabilidades comuns incluem supervisionar avaliações de risco, treinar funcionários sobre princípios de proteção de dados e trabalhar com autoridades governamentais.

Embora apenas algumas organizações sejam obrigadas a nomear DPOs, todas podem querer considerar fazê-lo. Ter um líder designado de conformidade com o GDPR pode ajudar a agilizar a implementação.

Os DPOs podem ser funcionários de uma empresa ou consultores externos que oferecem seus serviços mediante contrato. Os DPOs devem reportar-se diretamente ao mais alto nível de gestão. A empresa não pode retaliar um DPO pelo cumprimento das suas funções. 

As organizações fora do EEE devem nomear um representante dentro do EEE se processarem regularmente os dados de residentes do EEE ou tratarem dados altamente sensíveis. O Representante do EEE A principal função é coordenar com as autoridades de proteção de dados em nome da empresa durante as investigações. O representante pode ser um funcionário, uma empresa coligada ou um serviço contratado. 

O DPO e o representante do EEE desempenham funções diferentes com responsabilidades diferentes. Notavelmente, o representante atua sob a direção da organização, enquanto o DPO deve ser um dirigente independente. Uma organização não pode nomear uma parte para servir como DPO e representante do EEE.

Se uma organização operar em vários estados do EEE, deverá identificar um autoridade supervisora ​​principal. A autoridade supervisora ​​principal é a principal autoridade de proteção de dados (DPA) que supervisiona a conformidade com o GDPR dessa empresa em toda a Europa. 

Normalmente, a autoridade supervisora ​​principal é a APD do Estado-Membro onde a organização tem a sua sede ou realiza as suas principais atividades de tratamento. 

Elabore uma política de privacidade de dados 

O GDPR exige que as organizações mantenham as pessoas informadas sobre como utilizam os seus dados. As empresas podem cumprir este requisito elaborando políticas de privacidade que descrevam claramente as suas operações de processamento, incluindo o que a empresa recolhe, políticas de retenção e eliminação, direitos do utilizador e outros detalhes relevantes.

As políticas de privacidade devem usar uma linguagem simples que qualquer pessoa possa entender. Ocultar informações importantes por trás de um jargão denso pode violar o GDPR. As organizações podem garantir que os usuários vejam suas políticas compartilhando avisos de privacidade no momento da coleta de dados. As organizações também podem hospedar suas políticas de privacidade em páginas públicas e fáceis de encontrar em seus sites. 

Garanta que parceiros terceirizados estejam em conformidade 

Os controladores são, em última instância, responsáveis ​​pelos dados pessoais que coletam, incluindo a forma como seus processadores, fornecedores e outros terceiros os utilizam. Se os parceiros não estiverem em conformidade, os controladores poderão ser penalizados. 

As organizações devem rever os seus contratos com quaisquer terceiros que tenham acesso aos seus dados. Estes contratos devem definir claramente os direitos e responsabilidades de todas as partes no que diz respeito ao RGPD de uma forma juridicamente vinculativa.

Se uma organização trabalhar com processadores fora do EEE, esses processadores ainda precisarão atender aos requisitos do GDPR. Na verdade, as transferências de dados fora do EEE estão sujeitas a padrões rigorosos. Os controladores no EEE só podem compartilhar dados com processadores fora do EEE se um dos seguintes critérios for atendido:

• A Comissão Europeia considerou as leis de privacidade do país adequadas
• A Comissão Europeia considerou que o processador tem proteções de dados suficientes
• O responsável pelo tratamento tomou medidas para garantir que os dados estão protegidos

Uma forma de garantir que todas as parcerias e transferências de dados estejam em conformidade com o GDPR é utilizar cláusulas contratuais padrão. Estas cláusulas pré-escritas são pré-aprovadas pela Comissão Europeia e estão disponíveis gratuitamente para utilização por qualquer organização. A inserção dessas cláusulas em um contrato torna-o compatível com o GDPR, desde que cada parte as cumpra. Para mais informações sobre cláusulas contratuais padrão, consulte o site da Comissão Europeia (o link reside fora de ibm.com).

Crie um processo para avaliações de impacto na proteção de dados

O GDPR exige que as organizações realizem avaliações de impacto na proteção de dados (DPIAs) antes de qualquer processamento de alto risco. Embora o RGPD ofereça alguns exemplos – utilização de novas tecnologias e processamento em larga escala de dados sensíveis – não lista exaustivamente todas as atividades de alto risco.

As organizações podem considerar a realização de uma DPIA antes de qualquer nova operação de processamento para ser segura. Outros podem utilizar uma pré-seleção simplificada para determinar se o risco é suficientemente elevado para justificar uma AIPD.

No mínimo, uma AIPD deve descrever o tratamento e a sua finalidade, avaliar a necessidade do tratamento, avaliar os riscos para os titulares dos dados e identificar medidas de mitigação. Se o risco permanecer elevado após a mitigação, a organização deverá consultar uma autoridade de proteção de dados antes de avançar. 

Saiba como o IBM Guardium® Insights pode ajudar a simplificar os relatórios de conformidade com fluxos de trabalho pré-configurados para GDPR, CCPA e outras regulamentações importantes.

Implementar um plano de resposta a violações de dados 

As organizações devem relatar as informações mais pessoais violação de dados a uma autoridade supervisora ​​dentro de 72 horas. Se a violação representar um risco para os titulares dos dados, como roubo de identidade, a empresa também deverá notificar os titulares. As notificações devem ser enviadas diretamente às vítimas, a menos que isso seja inviável. Nesse caso, o edital é suficiente.

As organizações precisam de soluções eficazes resposta a incidentes planos que identifiquem rapidamente violações contínuas, erradiquem ameaças e notifiquem as autoridades. Os planos de resposta a incidentes devem incluir ferramentas e táticas para recuperar sistemas e restaurá-los. segurança da informação. Quanto mais rápido uma organização recuperar o controle, menor será a probabilidade de sofrer ações regulatórias sérias.

As organizações também podem aproveitar esta oportunidade para fortalecer segurança dos dados medidas. Se for improvável que uma violação prejudique os usuários – por exemplo, se os dados roubados estiverem tão fortemente criptografados que os hackers não possam usá-los – a empresa não precisa notificar os titulares dos dados. Isso pode ajudar a evitar danos à reputação e às receitas que podem ocorrer após uma violação de dados.

Facilitar aos titulares dos dados o exercício dos seus direitos 

O GDPR concede aos titulares dos dados direitos sobre como as organizações usam seus dados. Por exemplo, o direito de retificação permite aos utilizadores corrigir dados imprecisos ou desatualizados. O direito de exclusão permite que os usuários tenham seus dados excluídos.

De modo geral, as organizações devem atender às solicitações dos titulares dos dados no prazo de 30 dias. Para tornar as solicitações mais gerenciáveis, as organizações podem criar portais de autoatendimento onde os sujeitos podem acessar seus dados, fazer alterações e restringir seu uso. Os portais devem incluir uma forma de verificar as identidades dos sujeitos. O GDPR impõe às organizações a responsabilidade de verificar se os solicitantes são quem dizem ser.

Decisões e perfis automatizados 

Os titulares dos dados têm direitos especiais relativamente ao tratamento automatizado. Especificamente, as organizações não podem usar a automação para tomar decisões significativas sem o consentimento do usuário. Os usuários têm o direito de contestar decisões automatizadas e solicitar que uma pessoa revise a decisão. 

As organizações podem usar portais de autoatendimento para fornecer aos titulares dos dados uma maneira de contestar decisões automatizadas. As empresas também devem estar preparadas para nomear revisores humanos conforme necessário. 

a portabilidade de dados 

Os titulares dos dados têm o direito de transferir os seus dados para onde quiserem e as organizações devem facilitar essas transferências. 

Além de facilitar a solicitação de transferências pelos usuários, as organizações devem armazenar dados em um formato compartilhável. A utilização de formatos proprietários pode dificultar as transferências e impedir os direitos dos utilizadores. 

Para obter uma lista completa dos direitos do titular dos dados, consulte a página de conformidade com o GDPR.

Implementar medidas de segurança da informação

O GDPR exige que as organizações utilizem medidas razoáveis ​​de proteção de dados para eliminar vulnerabilidades do sistema e evitar acesso não autorizado ou uso ilegal. O GDPR não exige medidas específicas, mas afirma que as organizações precisam de controles técnicos e organizacionais.

Os controles técnicos de segurança incluem software, hardware e outras ferramentas tecnológicas, como SIEM e soluções de prevenção contra perda de dados. O GDPR incentiva fortemente a criptografia e a pseudonimização, portanto, as organizações podem querer implementar esses controles em particular. 

As medidas organizacionais incluem processos como treinamento de funcionários sobre as regras do GDPR e implementação formal governança de dados e envios. 

O GDPR também orienta as empresas a adotarem o princípio da proteção de dados desde a concepção e por padrão. “Por concepção” significa que as empresas devem incorporar a privacidade dos dados nos sistemas e processos desde o início. “Por padrão” significa que a configuração padrão de qualquer sistema deve ser aquela que mantém a maior privacidade do usuário. 

Saiba como as soluções de segurança e proteção de dados da IBM protegem os dados em nuvens híbridas e simplificam os requisitos de conformidade.

Por que a conformidade com o GDPR é importante 

Qualquer organização que pretenda operar no Espaço Económico Europeu (EEE) deve cumprir o GPDR. O descumprimento pode ter consequências graves. As violações mais significativas podem resultar em multas de até 20,000,000 milhões de euros ou 4% da receita mundial da organização no ano anterior, o que for maior.

BUT conformidade de dados não se trata apenas de evitar consequências. Também tem benefícios. Além do fato de que a conformidade com o GDPR permite que as organizações acessem um dos maiores mercados do mundo, os princípios do GDPR podem fortalecer significativamente as medidas de segurança de dados. As organizações podem impedir mais violações de dados antes que elas aconteçam, evitando um custo médio de US$ 4.45 milhões por violação.

A conformidade com o GDPR também pode aumentar a reputação de uma empresa e construir a confiança dos consumidores. As pessoas geralmente preferem fazer negócios com organizações que proteger significativamente os dados do cliente.

O GDPR inspirou leis semelhantes de proteção de dados em outras regiões, incluindo o Lei de Privacidade do Consumidor da Califórnia e a Lei de Proteção de Dados Pessoais Digitais da Índia. O GDPR é frequentemente considerado uma das leis mais rígidas, portanto, cumpri-lo pode posicionar as organizações para cumprir também outras regulamentações.

Finalmente, se uma empresa entrar em conflito com o GDPR, demonstrar algum nível de conformidade pode ajudar a amenizar as repercussões. Os órgãos reguladores avaliam fatores como a existência controles de segurança cibernética e cooperação com as autoridades de supervisão na determinação das sanções.

Conheça o IBM Guardium Data Protection