Os aplicativos que você tem no seu celular, as redes sociais que costuma usar, os sites que acessa, e até mesmo o sistema operacional do seu computador estão colhendo dados sobre você e seus hábitos.
E com tantas empresas de olho em tudo o que o consumidor faz, compra, escreve e pesquisa, a preocupação com a privacidade na internet tem se intensificado cada vez mais. E nesse cenário que surge uma das medidas que já está mudando o recolhimento de dados e privacidade na internet: o GDPR.
O QUE É GDPR?
Como ação em defesa às informações pessoais do público, a União Europeia divulgou, recentemente, o Regulamento Geral de Proteção de Dados da União Europeia (GDPR), que entrou em vigor em 25 de maio de 2018. A diretiva tem como objetivo manter a transparência no processo de captação de dados e permitir que o consumidor decida o que fazer com suas próprias informações.
As regras não valem apenas para os países integrantes da União Europeia, mas para todos aqueles que, de alguma forma, têm contato com clientes europeus, processam ou armazenam seus dados nesses países.
E quando falamos sobre dados, vale qualquer informação: fotos, nomes, postagens em redes sociais e até endereços de IP precisam ser regularizados pelas empresas que os detêm.
As empresas que não se adaptarem ao Regulamento Geral podem receber multas de até 4% de seu faturamento anual, ou até 20 milhões de euros.
O QUE DIZ O GDPR?
Veja, a seguir, quais os principais termos do GDPR e prepare-se para atualizar o seu sistema de coleta e gerenciamento de dados, se você presta serviços nos países da União Europeia.
- Notificação de quebra de sigilo
Vez ou outra surge uma notícia sobre um grande vazamento com um número gigante de dados perdidos, mas dificilmente os consumidores que tiveram suas informações roubadas ficam sabendo que isso aconteceu com eles.
Com o GDPR isso muda, e as empresas passam a ter a obrigação de notificar seus clientes sobre o vazamento em até 72 horas depois de notarem a quebra de sigilo.
- Direito ao acesso
Com a atualização, os usuários também recebem, formalmente, o direito de saber e de exigir que as empresas informem onde, quando e com qual finalidade seus dados estão sendo armazenados.
- Direito ao esquecimento
O consumidor também poderá exigir que as empresas apaguem seus dados, desde que eles tenham sido recolhidos sem o consentimento claro do usuário ou quando já não sejam considerados úteis para o propósito inicial.
Nesses casos, as empresas deverão apagar as informações em sua totalidade, garantindo que não vão reter cópias nem guardar os dados de qualquer maneira.
- Portabilidade dos dados
O Regulamento Geral de Proteção de Dados da União Europeia também introduz o conceito de portabilidade dos dados pessoais, que dá ao consumidor a possibilidade de levar suas informações para outras empresas, se assim o desejar.
E a companhia que mantém atualmente os dados do usuário deve facilitar e apoiar esse processo.
- Controladores de acesso
O GDPR também exige que haja profissionais encarregados de criar medidas e procedimentos que garantam que os dados serão colhidos e processados de acordo com as novas normas para manter os dados dos consumidores protegidos.
Embora as penalizações pelo descumprimento das obrigações do regulamento sejam duras, de acordo com um estudo realizado pela Veritas Technologies, até julho do ano passado, 31% das empresas haviam afirmado que já tinham se adaptado à diretiva, porém, apenas 2% das empresas estavam, de fato, em compliance com todas as resoluções do GDPR.
Com as com as mudanças que vêm com o GDPR, muitas empresas estão tendo que mudar a sua forma de operação. As empresas de e-commerce e as de TI são algumas das que mais recolhem e processam dados de usuário, e, por isso, também devem ser algumas das que mais tenham que se adequar à regulamentação.
GDPR E A PROTEÇÃO DE DADOS NO BRASIL
Seguindo a tendência mundial de proteção de dados impulsionada pelo GDPR europeu, o atual presidente Michel Temer aprovou em agosto deste ano a Lei nº13.709, que deve ser conhecida como Lei Geral de Proteção de Dados ou LGPD.
A lei deve incluir o Brasil na lista de países que possuem uma legislação ou orientações específicas sobre o recolhimento, processamento e uso de dados pessoais.
As regras valem para qualquer pessoa ou empresa que faça o tratamento de informações em território nacional, cujo recolhimento esteja relacionado com a oferta de bens ou serviços. Ou seja, empresas de qualquer porte que coletem dados no Brasil ou de brasileiros e os usem para fins comerciais deverão atender à nova regra.
>> Leia mais sobre o LGPD e entenda quais mudanças os brasileiros devem fazer
GDPR E AS MUDANÇAS PARA O E-COMMERCE
- Reavaliar a necessidade de recolhimento de dados: um dos primeiros passos que as lojas virtuais devem fazer é reavaliar os seus processos para entender exatamente em que momento os dados dos consumidores são utilizados e quais são as informações de que realmente precisam.
- Atualizar os Termos de Uso e Políticas de Privacidade: o GDPR também determina que o usuário saiba exatamente quais informações estão sendo recolhidas, onde elas estão sendo armazenadas e com qual finalidade, e uma das formas mais eficientes de garantir isso é atualizando os seus Termos de Uso e Políticas de Privacidade.
- Utilizar sistemas mais transparentes: assim como as informações devem estar mais claras, os próprios sistemas devem ser mais transparentes com o consumidor. E é necessário não só mantê-lo informado sobre a coleta, mas deixar que ele decida se quer mover seus dados para outra empresa ou mesmo deletar seu nome e suas informações da internet. Nesse último caso, cabe o Direito ao Esquecimento, em que a empresa deve se comprometer a deletar definitivamente as informações e não reter nenhum tipo de arquivo relacionado ao usuário.
- Reformular campos de opt-in e formulários: como no e-commerce os formulários e outras ferramentas de marketing que utilizam opt-in (cadastro de informações para envio de mensagens e outros materiais), é imprescindível que as lojas virtuais revejam a forma como solicitam o preenchimento e criem etapas que garantam que o consumidor entendeu por que estava preenchendo o formulário e como as suas informações serão utilizadas. Isso garante que a empresa obtenha o consentimento real do visitante e é fundamental para evitar problemas judiciais no futuro.
- Reforçar a proteção: utilizar plataformas de comércio eletrônico confiáveis e ter certificado SSL são algumas das ações iniciais para aumentar a segurança, mas é muito importante que a loja virtual busque estar sempre alinhada com as mais avançadas tecnologias do setor para garantir a sua privacidade e a de seus usuários.
>> Tem loja virtual? Veja mais sobre como se adaptar ao GDPR
GDPR E AS MUDANÇAS PARA EMPRESAS DE TI
- Mudanças de acesso: as regras do GDPR indicam que deve haver transparência na coleta e gestão das informações, então os softwares precisam permitir que os usuários saibam exatamente quais dados estão sendo captados, como e por quê. O público também ganha o direito de mover suas informações ou deletá-las definitivamente, e as empresas precisam criar processos para atender essas solicitações.
- Rever procedimentos de segurança: nenhuma empresa quer que os seus dados sejam violados, mas com a chegada do GDPR a tendência é de que as empresas refinem, ainda mais, os seus procedimentos de segurança para evitar o vazamento de dados.
- Definir processos no caso de vazamento de informações: o GDPR estipula, ainda, um prazo de, no máximo, 72 horas para que uma companhia notifique seus clientes de que houve quebra de sigilo. O ideal é que as empresas já criem procedimentos e orientem suas equipes sobre o que deve ser feito no caso de um vazamento. Com isso será bem mais fácil atender o prazo determinado pelo GDPR.
- Considerar a contratação de DPO: o GDPR também recomenda a contratação de um DPO (Data Protection Officer, ou Encarregado da Proteção de Dados, em português), caso a empresa trabalhe com um volume muito grande de informações, seja uma autoridade pública ou ainda faça um monitoramento em larga escala. Esse profissional terá tarefas importantes, como repassar as boas práticas à equipe e garantir o cumprimento das normas do GDPR.
>> Continue lendo sobre as mudanças que o GDPR impõe para as empresas de TI
NA PRÁTICA, COMO PREPARAR SUA EMPRESA PARA O GDPR?
Mas e quanto a sua empresa? Já está pronta para a regulamentação que deve ser implementada nos próximos dias? Se a resposta é não, saiba o que é preciso fazer para começar a se adaptar às novas regras que chegam com o GDPR.
Ter uma boa assessoria jurídica
Essa não é questão obrigatória do GDPR, mas é um ponto chave para se resguardar juridicamente de todas as questões legais que envolvem a privacidade e a segurança na internet.
Uma boa assessoria jurídica especializada em Direito Digital e Empresarial, como a Assis e Mendes, é fundamental para que a empresa possa identificar riscos e vulnerabilidades que podem gerar problemas judiciais, criar ferramentas de proteção e gestão de crise, como os Termos de Uso e Políticas de Privacidade, e proteger o seu negócio de qualquer questão jurídica que possa surgir como fruto do recolhimento e processamento de dados dos seus clientes.
Criar um plano de ação para vazamento de dados
Infelizmente, nem as grandes corporações estão livres de vazamento de dados. Prova disso é que até empresas como Netflix, LinkedIn, Netshoes, Uber e, mais recentemente, o Facebook, já apresentaram falhas em seus sistemas de segurança que culminaram no vazamento de milhões de informações de seus clientes.
Além da necessidade de estar sempre reavaliando e reforçando as barreiras tecnológicas que protegem a privacidade dos usuários, o GDPR exige que as empresas notifiquem rapidamente os consumidores que seus dados foram expostos.
Para isso, é fundamental implementar um procedimento que identifique o vazamento o quanto antes, identifique os usuários que foram prejudicados e gere uma notificação do que aconteceu. O ideal é criar esses sistemas antes da quebra de sigilo, já que o GDPR determina que os usuários sejam avisados em, no máximo, 72 horas.
Ter sistemas mais transparentes
Outro ponto bastante importante do GDPR é trazer mais transparência ao processamento de dados, e isso exige que as empresas criem sistemas e guias que permitam que o usuário saiba quanto, como e quais dados serão recolhidos e o que está sendo feito com eles.
Os controladores devem, inclusive, deixar que o usuário escolha que a empresa apague os seus dados, um conceito bastante semelhante ao Direito do Esquecimento, ou mesmo que suas informações sejam movidas para outras empresas, algo que está sendo chamado de portabilidade dos dados.
Para garantir todas essas ações, os sistemas de processamento de dados e as rotinas dos profissionais devem ser atualizadas o quanto antes. Já existem, também, opções de programas que fazem a administração dos dados seguindo os parâmetros do GDPR, o que pode fazer a migração de sistema uma opção interessante.
COMO A ASSIS E MENDES PODE AJUDAR SUA EMPRESA COM O GDPR
Ainda tem dúvidas sobre como implementar ações que assegurem o compliance com o GDPR e a nova legislação brasileira de proteção de dados? A Assis e Mendes pode te ajudar!
O escritório conta com profissionais especializados em Direito Digital, Empresarial e Tecnologia que estão alinhados com as normas mundiais de proteção de dados e tem larga experiência em ajudar empresas a adotarem operações mais eficientes, seguras e que geram resultados!