O GDPR (Regulamento Geral de Proteção de Dados) é um regulamento da UE (União Europeia) que aumenta significativamente a proteção dos dados pessoais dos cidadãos da UE e aumenta as obrigações das organizações que coletam ou processam dados pessoais. O regulamento baseia-se em muitos dos requisitos da Diretiva de 1995 para a privacidade e segurança de dados, mas inclui várias novas disposições para reforçar os direitos dos titulares dos dados e adicionar penalidades mais severas para as violações. A regulamentação entrou em vigor em 25 de maio de 2018.

O GDPR se aplica a empresas que a) comercializam seus produtos para pessoas na UE ou que b) monitoram o comportamento das pessoas na UE. Em outras palavras, mesmo que você esteja fora da UE, mas controle ou processe os dados de cidadãos da UE, o GDPR se aplicará a você.

Consentimento

O GDPR intensifica o padrão de divulgações ao obter consentimento, uma vez que precisa ser "dado livremente, específico, informado e inequívoco", com os controladores usando uma linguagem jurídica "clara e simples" que é "claramente distinguível de outras questões". Os controladores também deverão fornecer evidências de que seus processos estão em conformidade e são seguidos em cada caso.

Essencialmente, seu cliente não pode ser forçado a consentir ou não saber que está consentindo com o processamento de seus dados pessoais. Eles também devem saber exatamente em que estão consentindo e devem ser informados com antecedência sobre seu direito de retirar esse consentimento. A obtenção de consentimento requer uma indicação positiva de concordância - não pode ser inferida do silêncio, das caixas pré-marcadas ou da inatividade. Isso significa que informar o usuário durante a adesão está se tornando mais importante.

Novos direitos para indivíduos

O regulamento também inclui dois novos direitos para os titulares dos dados: um "direito a ser esquecido", que exige que os controladores alertem os destinatários a jusante dos pedidos de exclusão e um "direito à portabilidade dos dados", que permite aos titulares dos dados exigirem uma cópia de seus dados em um formato comum. Esses dois direitos tornam mais fácil para os usuários solicitarem que qualquer informação armazenada seja excluída ou que as informações coletadas sejam compartilhadas com eles.

Solicitações de acesso

Os titulares dos dados sempre tiveram o direito de solicitar acesso aos seus dados. Mas o GDPR amplia esses direitos. Na maioria dos casos, você não poderá cobrar pelo processamento de uma solicitação de acesso, a menos que possa demonstrar que o custo será excessivo. O prazo para o processamento de uma solicitação de acesso também cairá para o período de um mês (mas isso pode ser estendido por mais dois meses em algumas circunstâncias. Em certos casos, as organizações podem se recusar a conceder uma solicitação de acesso, por exemplo, quando a solicitação é considerada manifestamente infundado ou excessivo. No entanto, as organizações precisarão ter políticas e procedimentos de recusa claros em vigor e demonstrar por que a solicitação atende a esses critérios.

Privacidade por Design e DPIA

Existem vários novos princípios para entidades que lidam com dados pessoais, incluindo um requisito para criar privacidade de dados "por design" ao desenvolver novos sistemas e uma obrigação de realizar uma Avaliação de Impacto de Privacidade de Dados (DPIA) ao processar usando "novas tecnologias" ou em maneiras arriscadas. A DPIA é um processo de considerar sistematicamente o impacto potencial que um projeto ou iniciativa pode ter sobre a privacidade dos indivíduos, de modo que possíveis problemas de privacidade possam ser identificados antes que surjam, dando à organização tempo para encontrar uma maneira de mitigá-los antes que projeto está em andamento.

Oficial de privacidade de dados

No lado da segurança, o GDPR exige que muitas empresas tenham um Oficial de Privacidade de Dados (DPO) para ajudar a supervisionar seus esforços de conformidade. As organizações que exigem DPOs incluem autoridades públicas, organizações cujas atividades envolvem o monitoramento regular e sistemático dos titulares dos dados em grande escala ou organizações que processam dados pessoais confidenciais em grande escala.

Contratos e documentação de privacidade

Como o GDPR trata de transparência e justiça, os Controladores e Processadores precisam revisar seus Avisos de Privacidade, Declarações de Privacidade e quaisquer políticas internas de dados para garantir que atendam aos requisitos do GDPR. Se um Controlador contratar fornecedores terceirizados para processar os dados pessoais sob seu controle, eles precisam garantir que seus contratos com esses Processadores sejam atualizados para incluir as novas disposições obrigatórias do Processador estabelecidas no Artigo 28 do Regulamento. Da mesma forma, os processadores devem considerar quais mudanças eles precisarão fazer em seus contratos de cliente para estarem em conformidade com o GDPR.

Balcão único

Um item específico no GDPR deve servir para facilitar a vida desses Oficiais de Proteção de Dados: a nova cláusula de "balcão único" do GDPR, segundo a qual organizações com escritórios em vários países da UE terão uma "autoridade supervisora ​​líder" para atuar como um ponto central de aplicação para que eles não lutem com orientações inconsistentes de várias autoridades de supervisão.

Relatando Violações

O GDPR contém um requisito de que os controladores devem notificar a autoridade supervisora ​​de seu país sobre uma violação de dados pessoais dentro de 72 horas após tomar conhecimento, a menos que os dados sejam anônimos ou criptografados. Na prática, isso significa que a maioria das violações de dados deve ser relatada ao Comissário de Proteção de Dados. As violações que possam causar danos a um indivíduo - como roubo de identidade ou quebra de sigilo - também devem ser relatadas aos indivíduos em questão.

Escopo

O RGPD se aplica a empresas não pertencentes à UE que comercializam seus produtos para pessoas na UE ou que monitoram o comportamento de pessoas na UE. Em outras palavras, mesmo que você esteja fora da UE, mas controle ou processe os dados de cidadãos da UE, o GDPR provavelmente se aplica a você.

Prestação de contas

Esse conceito exige que os controladores e processadores sejam capazes de demonstrar sua conformidade com o GDPR à autoridade supervisora ​​local. Os processos devem ser registrados, implementados e revisados ​​regularmente. A equipe deve ser treinada e medidas técnicas e organizacionais apropriadas devem ser tomadas para garantir e demonstrar conformidade.

Glossário GDPR

Assunto dos dados

Uma pessoa que vive na UE

Dados pessoais

Qualquer informação relacionada a um titular de dados identificado / identificável (por exemplo, nome, número de identificação nacional, endereço, endereço IP, informações de saúde)

Controlador

Uma empresa / organização que coleta dados pessoais das pessoas e toma decisões sobre o que fazer com eles. Portanto, se você está coletando dados pessoais e está determinando como eles serão processados ​​(por exemplo, usando os serviços da HubSpot para comercializar para clientes em potencial e clientes), você é o Controlador desses dados e deve cumprir a legislação de privacidade de dados aplicável em conformidade.

Processador

Uma empresa / organização que ajuda um controlador “processando” dados com base em suas instruções, mas não decide o que fazer com os dados. Assim, por exemplo, HubSpot é o processador dos dados que você coleta em seu portal HubSpot. Não controlamos como você coleta ou usa os dados; nós meramente o processamos em seu nome e em suas instruções.

Em processamento

Qualquer operação ou conjunto de operações realizado em dados pessoais ou em conjuntos de dados pessoais, por meios automatizados ou de outra forma, como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão , disseminação ou disponibilização de qualquer outra forma, alinhamento ou combinação, restrição, apagamento ou destruição.

Oficial de proteção de dados (DPO)

Um representante de um controlador / processador que supervisiona a conformidade com o GDPR e é um especialista em privacidade de dados

Avaliação de impacto de privacidade de dados (DPIA)

Uma avaliação documentada da utilidade, riscos e opções de mitigação de risco para um determinado tipo de processamento

Autoridade Supervisora

Anteriormente chamadas de “autoridades de proteção de dados”; uma ou mais agências governamentais em um estado membro que supervisionam a aplicação da privacidade de dados daquele país (por exemplo, Escritório do Comissário de Proteção de Dados da Irlanda, 18 autoridades nacionais / regionais da Alemanha)

Terceiros Países

Países fora da UE

Cláusulas Contratuais Padrão

As SCCs, a / k / a “cláusulas modelo” são linguagem contratual padronizada (aprovada pela Comissão Europeia) que é um método de permissão para controladores / processadores enviarem dados pessoais para países terceiros. Os SCCs estão incluídos no Anexo 1 de nosso Contrato de Processamento de Dados).