o PIBR (abreviatura de Regulamentações gerais de proteção de dados) regras estão prestes a entrar em vigor dentro de dois meses. Nosso artigo revela o que eles significam para os usuários de computador em todo o mundo e como os regulamentos afetarão a indústria de TI como um todo. Continue lendo para saber mais sobre isso.
Qual é a política GDPR?
Os regulamentos do GDPR são um conjunto de políticas que estão em preparação há anos na União Europeia. Em essência, eles são uma revisão completa das diretivas de proteção de dados existentes e seu principal objetivo é harmonizar as leis relativas a dados privados nos países membros. De acordo com os parlamentares que estão por trás de sua criação, os novos mecanismos ajudarão a fortalecer o controle dos dados em todo o sindicato. Os debates e preparações terminaram quando as regras foram finalmente aprovadas em 14 abril 2016. A data de execução acordada é 25 Maio 2018 onde as novas regras se tornarão obrigatórias.
As mudanças propostas e seus efeitos subsequentes irão, em última análise, mudar a forma como as empresas e as organizações governamentais lidarão com as informações de seus visitantes e clientes. Existem muitas mudanças importantes que afetarão as leis atuais de privacidade de dados nos estados membros à medida que o processo de adoção for executado. Políticos e especialistas observam que esta é uma das maiores mudanças ocorridas em duas décadas. Quando as leis atuais foram propostas e aceitas, existia um tipo diferente de organização e indústria. Hoje em dia, à medida que mais e mais pessoas e dispositivos clientes estão envolvidos na coleta e processamento de informações pessoais surgem, assim como as possibilidades de seu abuso.
Há uma distinção importante entre os regulamentos do GDPR e as leis anteriores de privacidade de dados. Por natureza, o GDPR é escrito como um regulamento - um ato legislativo vinculativo. Por lei, deve ser aplicado inteiramente em toda a União Europeia. Os atos anteriores de privacidade de dados que ela substitui são definidos como uma diretiva que não é obrigatória e apenas estabelece objetivos que os países individuais devem alcançar.
Próximas alterações nos regulamentos do GDPR
Os regulamentos do GDPR são definidos para aumentar drasticamente seu escopo territorial em comparação com as regras de proteção de privacidade anteriores. Esta parte distinta vem do aplicabilidade extraterritorial recurso conforme definido pelo Parlamento da UE. Esse requisito vem da jurisdição agora estendida do GDPR. Os regulamentos agora se aplicam a todas as empresas que operam o sindicato que processam dados pessoais de titulares de dados que residem na UE. A condição importante aqui é que as regras se aplicam independentemente da localização da empresa. As regras anteriores consideravam o processo de dados, afirmando “no contexto de um estabelecimento”. Isso significa que as regras ainda afetarão as empresas delineadas, mesmo que seus servidores estejam fora do sindicato. As empresas que processam dados pessoais de clientes da UE serão obrigadas a nomear um representante na UE.
Outro aspecto importante das novas regras são as condições de consentimento modificadas. As empresas não poderão mais apresentar aos seus clientes políticas de privacidade e termos de condições longos e ilegíveis. Os pedidos de consentimento são obrigados por lei a ser dados de forma facilmente acessível. Um novo requisito será a exibição clara dos propósitos reais de processamento de dados. Os clientes também devem ter um mecanismo fácil para retirar seu consentimento.
É importante notar que dados pessoais é definido de forma muito clara pelos regulamentos do GDPR. Existem duas condições principais que o constituem:
- Posse - Sujeitos de dados (Pessoas Naturais / Cidadãos da UE) são definidos como os criadores e proprietários de informações privadas.
- Natureza e Capacidade - Os dados privados são definidos como qualquer informação (string ou valor) que pode ser usado para expor indiretamente ou diretamente a identidade de uma pessoa. Os exemplos incluem seus nomes, foto, endereço, e-mail, detalhes bancários, posts de redes sociais, informação médica, endereço de IP, localização e etc..
Além disso, existem condições específicas para o processamento de dados de menores de 16. As empresas e organizações governamentais precisarão adquirir o consentimento dos pais para todas as crianças e cidadãos menores de 16 para serviços online. Os estados membros podem legislar para uma idade inferior, no entanto, não pode ser inferior à idade de 13.
Existem dois grupos distintos de usuários que são definidos pelos regulamentos do GDPR:
- Processador de dados - Esta é a entidade que determina os fins de coleta e processamento de dados privados.
- Processador de dados - O processador é a entidade que processa os dados pessoais em nome do controlador.
As organizações em conformidade com o GDPR que violam os regulamentos podem ser multadas em até $% de seu faturamento global anual ou € 20 milhões – o que for maior. Esta é a multa máxima que pode ser imposta caso sejam descobertas violações graves. Os novos regulamentos introduzem um abordagem em camadas às sanções financeiras. As empresas podem ser multadas 2% de seu faturamento global anual, se não tiverem os registros necessários ou não notificarem as autoridades sobre uma violação. As regras se aplicam a processadores e controladores de dados. Como um resultado os serviços em nuvem não estarão isentos da aplicação do GDPR.
Direitos dos titulares dos dados do GDPR
Os titulares dos dados definidos pelos regulamentos do GDPR também recebem direitos específicos. A política regula que notificações de violação se tornarão obrigatórias em toda a UE. Essas ações são necessárias em todos os casos em que os incidentes podem resultar em “risco para os direitos e liberdades dos indivíduos“. Um prazo é instituído - o aviso deve ser dado dentro de 72 horas de descoberta.
Os direitos ampliados dos titulares dos dados também incluem o direito de obter confirmação dos controladores de dados se seus dados pessoais estão sendo processados. Isso inclui não apenas uma resposta afirmativa ou negativa, mas também um relatório detalhado que inclui os propósitos e meios do processo. Os controladores são obrigados a apresentar uma cópia de todos os dados pessoais adquiridos em formato eletrônico, gratuitamente, mediante solicitação.
dados Erasure habilita o Direito de ser esquecido que é o pedido dos titulares dos dados (cidadãos) aos controladores de dados para a remoção de seus dados pessoais, bem como maior disseminação (distribuição) dele e seu acesso a terceiros revogado. As condições para isso estão claramente delineadas no ato e incluem a formulação de dados que não são mais relevantes para o propósito original da procissão e consentimento retirado. As anuências são aprovadas desde que os controladores comparem os direitos dos sujeitos de acordo com os “o interesse público na disponibilidade dos dados”.
Os regulamentos também introduzem o conceito de portabilidade de dados que é o direito do titular dos dados de receber dados pessoais que lhes digam respeito, previamente fornecidos em formulário específico. Definido pelos regulamentos, este é um “comumente usa um formato legível por máquina“. Os titulares dos dados também recebem o direito de transmitir essas informações para outro controlador de dados. Isso está relacionado ao fato de que os serviços da web utilizam bancos de dados que armazenam os dados fornecidos em um formato comum. Mediante solicitação, os cidadãos poderão obter uma cópia de seus dados.
Outro conceito que não está se tornando parte de uma exigência legal graças ao GDPR é privacidade por design. Como consequência, a proteção de dados está incluída no projeto de sistemas como um componente central. Os controladores de dados precisarão implementar medidas técnicas e organizacionais eficazes em todos os serviços da web e aplicativos de computador para atender aos regulamentos do GDPR. Um artigo parte da lei prescreve que os controladores devem manter e processar apenas os dados absolutamente necessários para cumprir as funções do serviço. O acesso aos dados pessoais de terceiros deve ser absolutamente limitado.
Oficiais de proteção de dados (DPOs) Regulamentos
No momento, os controladores de dados são obrigados a notificar todas as atividades de processamento de dados com as autoridades locais de proteção de dados. Quando se trata de empresas multinacionais que operam em vários países, isso pode ser muito difícil de implementar. Isso se deve ao fato de que praticamente todos os estados membros implementam diversos requisitos de notificação. Seguindo as prescrições do GDPR, não será necessário enviar uma notificação a cada DPA local. A lei também remove a exigência de não notificar as autoridades competentes ou obter aprovação para transferências com base nas cláusulas do contrato modelo (MCCs).
Em vez disso, os novos mecanismos exigem a coordenação dos requisitos de manutenção de registros internos por oficiais de proteção de dados (DPOs). Eles devem implementar suas atividades por nomeação que é obrigatória apenas para os controladores e processadores cuja atividade principal consiste em algum tipo de operações de processamento. Se eles exigirem monitoramento regular e sistemático de dados privados em grande escala ou categorias especiais de dados. Os responsáveis pela proteção de dados devem possuir as seguintes qualidades:
- Deve ser nomeado com base em qualidades profissionais e, em particular, conhecimento especializado em leis e práticas de proteção de dados.
- Pode ser um membro da equipe ou um provedor de serviços externo.
- Os detalhes de contato devem ser fornecidos ao DPA relevante.
- Deve ser fornecido com recursos adequados para realizar suas tarefas e manter seu conhecimento especializado.
- Deve se reportar diretamente ao mais alto nível de gestão.
- Não deve realizar nenhuma outra tarefa que possa resultar em conflito de interesses.
Efeitos Brexit e a implementação do GDPR
As políticas observam especificamente que, se o Reino Unido- as empresas processam dados no contexto da venda de bens ou serviços a cidadãos em países da UE; elas precisarão implementar os regulamentos relevantes do GDPR. Isso é independente de se manterá a lei após o Brexit ter ocorrido. Após o período inicial de saída ter terminado e as atividades serem limitadas ao Reino Unido, a posição não será claramente definida. Neste momento, o Governo indicou que irá implementar um mecanismo legal alternativo ou equivalente. Os especialistas jurídicos observam que essa legislação provavelmente seguirá os procedimentos do GDPR. Isso se deve ao apoio anteriormente fornecido pela ICO e pelo governo do Reino Unido. Membros do Parlamento do Reino Unido afirmaram que os regulamentos são uma “efetivamente padrão de privacidade“.
Consequências da implementação do GDPR
O resultado da implementação do GDPR é o incentivo ao controle do cidadão sobre seus próprios dados pessoais. Os regulamentos fornecem um mecanismo que dá aos cidadãos da UE a capacidade de tomar medidas eficazes contra possíveis abusos de informação privada. O fato positivo é que as prescrições da lei se aplicam a empresas e instituições governamentais.
A outra mudança positiva é que as mudanças ajudarão a fortalecer a criação de um verdadeiro mercado digital único da UE, simplificando os mecanismos de proteção de dados. A proteção da privacidade é importante para a adoção e o crescimento do comércio eletrônico, pois cria um senso de confiança e evita o abuso pelas partes ativas.
Os mecanismos também têm foco em redes sociais e provedores de serviços em nuvem que são amplamente utilizados por usuários finais em todo o mundo. Os cidadãos da UE também terão a garantia de que seus dados pessoais não podem ser transferidos para países fora do EEE (Área Econômica Européia) a menos que o mesmo grau de proteção de dados seja garantido.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: