PIBR (Dados Gerais Regulamento de Privacidade) está a caminho, substituindo os da UE 1995 Directiva de Protecção de Dados, e ele vai mudar o mundo de informações pessoais para o bem. Exatamente o que mudará e como as empresas que lidam com nossos dados vão se ajustar? Existem muitas respostas a serem buscadas em relação ao GDPR, especialmente para proprietários de negócios, em toda a Europa e para além das suas fronteiras. Em outras palavras, de 25 Maio 2018 em diante, o processamento geral de dados pessoais pelas organizações terá que cumprir o novo Regulamento Geral de Proteção de Dados.
O que são dados pessoais?
De acordo com o Dicionário de Negócios, informação pessoal é:
Informações registradas sobre um indivíduo identificável que pode incluir seu (1) nome, endereço, endereço de e-mail, número de telefone, (2) raça, nacionalidade, etnia, origem, cor, crenças ou associações religiosas ou políticas, (3) era, sexo, orientação sexual, Estado civil, situação familiar, (4) número de identificação, código, símbolo, (5) impressões digitais, tipo sanguíneo, características herdadas, (6) histórico de cuidados de saúde, incluindo informações sobre deficiência física / mental, (7) educacional, financeiro, Criminoso, emprego histórico, (8) outras’ opinião sobre o indivíduo, e (9) opiniões pessoais, exceto aquelas sobre outros indivíduos.
Qual é a política do GDPR?
Os regulamentos do GDPR são um conjunto de políticas que estão em preparação há anos na União Europeia. Em essência, eles são uma revisão completa das diretivas de proteção de dados existentes e seu principal objetivo é harmonizar as leis relativas a dados privados nos países membros. De acordo com os membros do Parlamento que estão por trás de sua criação, os novos mecanismos ajudarão a fortalecer o controle dos dados em todo o sindicato. Os debates e preparações terminaram quando as regras foram finalmente aprovadas em 14 abril 2016. A data de execução acordada é 25 Maio 2018 quando as novas regras se tornarão obrigatórias.
As mudanças propostas e seus efeitos subsequentes irão, em última análise, mudar a forma como as empresas e as organizações governamentais lidam com as informações dos indivíduos. Existem muitas mudanças importantes que afetarão as leis atuais de privacidade de dados nos estados membros, enquanto o processo de adoção ocorre. Políticos e especialistas em privacidade observam que esta é uma das maiores mudanças, se não a única grande mudança, pelas últimas duas décadas. Quando as leis atuais foram propostas e aceitas, um tipo diferente de organização e indústria existia. Hoje em dia, à medida que mais e mais pessoas e dispositivos clientes estão envolvidos na coleta e processamento de informações pessoais surgem, assim como as possibilidades de seu abuso.
Há uma distinção importante entre os regulamentos do GDPR e as leis anteriores de privacidade de dados. Por natureza, o GDPR é escrito como um regulamento - um ato legislativo vinculativo. Por lei, deve ser aplicado inteiramente em toda a União Europeia. Os atos anteriores de privacidade de dados que ela substitui são definidos como uma diretiva que não é obrigatória e apenas estabelece objetivos que os países individuais devem alcançar.
A ideia de proteção de dados não é nova. De fato, a Data Act é a primeira lei nacional de proteção de dados do mundo, que foi promulgado na Suécia em 11 Maio 1973. Esta lei de proteção de dados entrou em vigor em 1 Julho 1974, e as licenças exigidas pela Autoridade Sueca de Proteção de Dados para sistemas de informação que tratam de dados pessoais.
Outro exemplo é a Lei de Proteção de Dados 1998 aceito na Lei do Parlamento do Reino Unido, e projetado para proteger dados pessoais armazenados em computadores e sistemas de arquivamento de papel. A lei seguiu a Diretiva de Proteção de Dados da UE 1995 , que diz que os indivíduos têm direitos legais de controlar informações sobre si mesmos.
Quanto aos Estados Unidos, não há nenhum, federal abrangente (nacional) lei que regula a coleta e uso de dados pessoais, Como explicado por Thomson Reuters Practical Law.
Contudo, cada mandato do Congresso traz propostas para padronizar as leis em nível federal. Em vez de, os EUA têm um sistema de retalhos de leis e regulamentos federais e estaduais que às vezes podem se sobrepor, se encaixam e se contradizem. além do que, além do mais, existem muitas diretrizes, desenvolvido por agências governamentais e grupos da indústria que não têm força de lei, mas fazem parte das diretrizes e estruturas de autorregulação que são consideradas “Melhores Práticas”. Essas estruturas de autorregulação têm componentes de responsabilidade e fiscalização que estão cada vez mais sendo usados como uma ferramenta de fiscalização pelos reguladores.
Como as empresas tratam os dados de acordo com o GDPR?
Em primeiro lugar, qualquer empresa que processa e armazena dados de cidadãos da UE deve reavaliar a necessidade de fazê-lo. Quando continuou, esses processos relativos aos dados de cidadãos da UE devem seguir inteiramente o cumprimento do GDPR.
Vale ressaltar que um novo estudo realizado por pesquisadores da IBM revela que aproximadamente 60 por cento das organizações pesquisadas estão tratando o GDPR como uma chance de melhorar a privacidade, segurança, e gerenciamento de dados. Os novos regulamentos são amplamente aceitos como catalisadores para novos modelos de negócios, em vez de simplesmente um problema de conformidade ou obstrução. Para reduzir sua exposição, a maioria das empresas está sendo mais seletiva e mais cuidadosa com os dados que coleta e gerencia, com 70 porcentagem descartando dados antes do prazo para conformidade.
Instituto de Valor Empresarial da IBM (IBV) aproximou-se pelo menos 1,500 líderes empresariais responsáveis pela conformidade com o GDPR para organizações em escala global, pesquisadores relatado. Os resultados da pesquisa da IBM revelam que:
– 84 por cento acreditam que a prova de conformidade com o GDPR será vista como um diferencial positivo para o público
– 76 por cento disseram que o GDPR permitirá relacionamentos mais confiáveis com os titulares dos dados, o que criará novas oportunidades de negócios
– Apesar desta oportunidade, só 36 por cento acreditam que estarão em total conformidade com o GDPR até maio 25 data limite.
De acordo com Cindy Compert, CTO, Segurança de dados & Privacidade na IBM Security, “O GDPR será uma das maiores forças disruptivas que afetam os modelos de negócios em todos os setores - e seu alcance se estende muito além das fronteiras da UE ”.
“O início do GDPR também ocorre durante um período de grande desconfiança entre os consumidores em relação à capacidade das empresas de proteger seus dados pessoais. Esses fatores juntos criaram uma tempestade perfeita para as empresas repensarem sua abordagem à responsabilidade pelos dados e começarem a restaurar a confiança necessária na economia atual baseada em dados.”
Em resumo, sob GDPR, as organizações devem implementar princípios de proteção de dados, bem como medidas técnicas e organizacionais, com o único propósito de proteger a privacidade dos usuários e os direitos dos usuários à privacidade. As organizações sujeitas às regulamentações futuras devem invocar proteções de privacidade abrangentes, entretanto, certificando-se de que os sistemas e procedimentos cumprem estritamente as necessidades de segurança de dados.
Segurança de dados sob GDPR
Especialistas têm delineado uma pequena lista de verificação que ilustra as etapas a serem seguidas para a conformidade com o GDPR:
1.Conheça seus dados
2.Tenha uma boa gestão de risco
3.Implementar políticas e procedimentos abrangentes
4.Implementar controles adequados e eficazes
5.Tenha procedimentos eficazes de resposta a incidentes
Na verdade, essas etapas têm tudo a ver com a estratégia de segurança cibernética que qualquer organização deve implementar. Vamos adotar a abordagem baseada em risco para o estado geral de segurança de uma organização. Essa abordagem é crucial para o GDPR e para a estratégia de segurança cibernética.
Mais especificamente, Artigo 32 do GDPR exige que as medidas implementadas garantam um nível de segurança adequado ao risco:
Levando em consideração o estado da arte, os custos de implementação e a natureza, escopo, contexto e propósitos de processamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas naturais, o controlador e o processador devem implementar medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco [...].
Direito de apagar, ou o direito de ser esquecido
Você sabia que o chamado “direito de ser esquecido”Entrou no domínio de privacidade da UE com o 2014 acórdão do Tribunal de Justiça da UE sob o predecessor do RGPD (Diretiva 95/46 / CE), no caso C 131/12, em um caso envolvendo o Google. A decisão identificou o direito dos titulares de dados da UE de solicitar a remoção de links pelos mecanismos de pesquisa, ou controladores de dados. O direito de ser esquecido agora é o direito de apagar e faz parte do GDPR. Esse direito é um direito fundamental do titular dos dados no GDPR, dentro e fora do contexto de informações pessoais publicamente disponíveis.
O que o GDPR faz substancialmente é expandir o escopo do direito de ser esquecido, tornando-o um direito fundamental do titular dos dados e exigindo que os controladores de dados permitam aos cidadãos da UE exercer esse direito.
Em termos oficiais, o direito de apagamento permite ao titular dos dados obter do responsável pelo tratamento o apagamento dos dados pessoais que lhe digam respeito, sem atrasos indevidos, onde o responsável pelo tratamento tem a obrigação de apagar dados pessoais sem atrasos indevidos.
Contudo, deveria ser notado este, como acontece com a maioria dos direitos, o direito de apagar não é absoluto. Considerando GDPR 65 entre outros, abrange o direito do titular dos dados de retificar os dados pessoais relativos a ele e o direito de ser esquecido quando a retenção dos dados pessoais infringir as estipulações do GDPR ou outra lei a que o responsável pelo tratamento está sujeito.
As organizações sempre precisam apagar dados pessoais mediante solicitação dos usuários?
O GDPR dá direito aos indivíduos de solicitar a exclusão de seus dados e as organizações devem cumprir, exceto no seguintes casos:
– os dados pessoais que a empresa detém são necessários para exercer o direito de liberdade de expressão;
– há uma obrigação legal de manter esses dados;
– por razões de interesse público (por exemplo saúde pública, científico, fins de pesquisa estatística ou histórica).
Consentimento do usuário sob GDPR: Conformidade
Certificar-se de que a forma como os controladores de dados estão usando os dados é compatível com o GDPR é uma prioridade número um. Pode parecer que os regulamentos são claros, mas, na verdade, há uma série de vetores que tornam o compliance complexo e até confuso.
Para um, O GDPR exige que a coleta e o processamento de dados sejam vinculados a usos específicos. Contudo, isso nem sempre é possível no sentido direto exigido pelos regulamentos. É um fato conhecido que os dados coletados para uma finalidade podem ser usados para atender a várias necessidades. Isso é inevitável no mundo interconectado em que vivemos, onde as empresas coletam mais e mais dados, e esses dados são frequentemente adicionados a outros conjuntos de dados. O GDPR exige que as organizações e controladores de dados sejam sempre consistentes com a finalidade específica inicialmente consentida.
Como apontou por Snow Plough Analytics, muito disso está sujeito a interpretação:
Para profissionais de marketing em particular, é provável que o consentimento seja a base mais importante para a coleta de dados entre os motivos legais descritos pelo GDPR, pois é difícil ver como o uso de dados pessoais para marketing pode ser justificado por qualquer um dos outros. Conforme descrito no site do GDPR da UE, a coleta de dados legalmente sob os auspícios do consentimento exige que, “O titular dos dados deu consentimento para o processamento de seus dados pessoais para uma ou mais finalidades específicas.”
GDPR e Facebook
Em abril, Reuters relatado que o Facebook planeja mudar seus termos de serviço para que seja 1.5 bilhões de usuários não europeus não seriam mais cobertos pela lei de privacidade. Até agora, todos os usuários fora dos EUA e Canadá são regidos por termos de serviço em conformidade com a sede internacional da empresa na Irlanda. Uma vez que todos os dados do usuário processados na Irlanda estão prestes a cair sob a proteção do GDPR, O Facebook está mudando o acordo de forma que os usuários na África, Ásia, A Austrália e a América Latina são regidas por leis de privacidade dos EUA mais permissivas.
Ainda, existem vetores em que o Facebook precisará cumprir o GDPR. Em vez de reduzir o volume de dados que coleta, a plataforma social está se concentrando em obter o consentimento do usuário para suas práticas de coleta de dados, dados biométricos inclusivos.
O Facebook desenvolveu uma sequência de solicitações de consentimento que descrevem explicitamente como cada tipo de dados será usado, Reuters disse. Deve-se observar que a plataforma projetou essas solicitações de tal maneira que torna mais difícil para os usuários recusar do que aceitar.
PIBR: conclusivos Pensamentos
Em poucas palavras, seguindo os da UE 1995 Directiva de Protecção de Dados, O GDPR representa uma abordagem mais refinada para questões de proteção de dados no regime jurídico da UE. O próximo regulamento deve ser reconhecido por organizações envolvidas no processamento de dados pessoais de cidadãos da UE. Em outras palavras, o GDPR aplica-se a todas as organizações globais que operam com dados pessoais de cidadãos da UE.
Certifique-se de ler a nossa guia definitivo para tornar seu site compatível com GDPR.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: