A GDPR é uma nova lei europeia que entrará em vigor nos próximos dias. Ao reforçar as proteções de dados dos cidadãos da Europa, todas as empresas de pequeno, médio e grande porte terão que investir em cibersegurança. E não são apenas empresas locais: companhias de todo o mundo que têm negócios com a Europa precisarão se adequar. Ou seja, a mudança é global.

De acordo com a União Europeia, o Regulamento Geral de Proteção de Dados da União Europeia (RGPD ou GDPR) substitui a Diretiva de Proteção de Dados e serve "para harmonizar as leis de dados privados por toda a Europa, para proteger e empoderar a privacidade de todos os cidadãos, além de reorganizar a maneira como companhias lidam com dados privados".

Apenas 12% das empresas pesquisadas estão prontas para serem regidas pela nova lei

Entrando em vigor no dia 25 de maio de 2018, as empresas locais ou internacionais com negócios na Europa que não cumprirem as novas diretrizes poderão receber multas pesadas.

Por exemplo, uma das questões abordadas pela GDPR é o vazamento de dados de clientes. Só no Brasil, durante os últimos meses, vimos problemas do tipo em negócios como Netshoes, Buscapé, FMU, Movida etc. Agora, todas as empresas que se enquadrarem na GDPR serão obrigadas a informar, tanto o governo quanto a população, sobre o vazamento de dados e o que será feito — o que é ótimo: ter uma posição clara sobre o que aconteceu é benéfico para a empresa, diferente de esconder uma possível falha que pode ser corrigida.

O que são dados sensíveis? Aprenda tudo em nossa reportagem

Uma pesquisa realizada pela Commvault mostrou, em fevereiro de 2018, que apenas 12% das empresas pesquisadas estão prontas para serem regidas pela nova lei. Obviamente, essa porcentagem deve ter aumentado de lá para cá. Contudo, o cenário ainda é perigoso para a maioria das firmas.

O que é? Transparência e responsabilidade

É o que a GDPR cobra. Veja só: os dados privados são extremamente importantes — e, se você não acha, talvez seja a hora de pesquisar mais sobre o assunto. A importância é tal que a GDPR veio para ficar. Além disso, políticos de outros cantos do mundo já acenaram a necessidade de algo similar em seus próprios governos.

Então, vamos ver de maneira clara o que é a GDPR (vale notar que o regulamento possui mais de 300 páginas): uma legislação sobre como as empresas devem tratar os dados privados de clientes. E isso envolve ainda três pilares: transparência, gestão e governança.

Basicamente, as companhias terão que correr para aprender a proteger de maneira correta os dados de clientes

"O objetivo da GDPR é proteger todos os cidadãos da UE contra a violação de privacidade e dados num mundo cada vez mais voltado aos dados, muito diferente do momento em que a diretiva de 1995 foi estabelecida", diz a União Europeia. "Embora os princípios-chave da privacidade de dados ainda se mantenham fiéis à diretiva anterior, muitas mudanças foram propostas para as políticas reguladoras".

Ok, então vamos falar das multas: as companhias podem receber penalizações de até 4% sobre o valor do volume de negócios global anual ou 20 milhões de euros (R$ 81 milhões, em conversão direta). Esse valor será pago por empresas que não possuírem o consentimento suficiente de consumidores ao processo de dados ou ao pela violação dos conceitos principais da "Privacy by Design".

A lei é clara: vazamentos de dados devem ser informados à DPA (comissão de proteção de dados) em até 72 horas e aos clientes afetados 'sem demora injustificada'

Outras penalidades ficam nos 2% sobre o valor de negócios anual e serão aplicadas quando empresas não tiverem registros de dados em ordem, não notificarem sobre vazamentos ou não realizarem avaliação de impacto. E a GDPR serve tanto para companhias físicas quanto para empresas de nuvem.

Os três pilares da GDPR

O pessoal da CIPHER, empresa multinacional de cibersegurança, detalhou os três principais pontos do Regulamento Geral de Proteção de Dados da União Europeia. Acompanhe abaixo:

Em primeiro lugar, temos a governança de dados

Notificação de falhas: Qualquer falha relativa aos dados administrados por uma organização deve ser comunicada dentro de 72 horas a qualquer pessoa afetada e aos reguladores dos dados.

Qualquer falha relativa aos dados administrados por uma organização deve ser comunicada dentro de 72 horas a qualquer pessoa afetada e aos reguladores dos dados. Privacidade no escopo: Com essa disposição, as empresas devem considerar a natureza da privacidade de dados no escopo de qualquer projeto.

Com essa disposição, as empresas devem considerar a natureza da privacidade de dados no escopo de qualquer projeto. Gerenciamento de fornecedores: Fornecedores terceiros também enfrentarão as regras GDPR. Toda instância que lide com os dados deve manter registros detalhados de qualquer atividade de processamento.

Em segundo, a gestão de dados, que diz respeito à forma como tratar das atividades de processamento

Exclusão de dados: A partir da GDPR, os europeus têm o direito de solicitar a exclusão de seus dados pessoais dos registros de uma determinada organização.

A partir da GDPR, os europeus têm o direito de solicitar a exclusão de seus dados pessoais dos registros de uma determinada organização. Processamento de dados: As organizações devem manter registros internos de todas as atividades de processamento de dados. As informações registradas precisarão incluir o nome e os detalhes da organização, os fins do processamento de dados, a descrição de categorias de indivíduos e dados pessoais, os destinatários, os detalhes das transferências de dados e os cronogramas de retenção de dados.

As organizações devem manter registros internos de todas as atividades de processamento de dados. As informações registradas precisarão incluir o nome e os detalhes da organização, os fins do processamento de dados, a descrição de categorias de indivíduos e dados pessoais, os destinatários, os detalhes das transferências de dados e os cronogramas de retenção de dados. Transferências de dados: Sob a GDPR, as empresas serão proibidas de transferir dados para um país terceiro sem leis adequadas de proteção. A Comissão Europeia avalia os países com leis de proteção de dados “satisfatórias” e mantém uma lista de “países aprovados”.

Sob a GDPR, as empresas serão proibidas de transferir dados para um país terceiro sem leis adequadas de proteção. A Comissão Europeia avalia os países com leis de proteção de dados “satisfatórias” e mantém uma lista de “países aprovados”. Administrador de proteção de dados: Qualquer empresa que processa mais de 5 mil registros em um período de 12 meses precisa alocar um responsável pela gestão dos dados (DPO – Data Protection Officer). Um DPO pode atender a uma empresa ou um grupo de empresas e será responsável por monitorar a conformidade com as regras da GDPR e realizar avaliações de proteção de dados, bem como treinar pessoal em políticas globais.

O terceiro pilar é a transparência de dados

Consentimento: As organizações que processam dados pessoais devem comprovar que possuem autorização para usar aqueles dados. Qualquer pessoa tem o direito de suspender o seu consentimento a qualquer momento. Por isso, a empresa deve facilitar o processo.

As organizações que processam dados pessoais devem comprovar que possuem autorização para usar aqueles dados. Qualquer pessoa tem o direito de suspender o seu consentimento a qualquer momento. Por isso, a empresa deve facilitar o processo. Portabilidade de dados: Sob a GDPR, todo solicitante tem o direito obter uma cópia dos seus dados registrados por um provedor de serviços e mover, copiar ou transferir dados facilmente para um novo prestador sem obstáculos à usabilidade.

Sob a GDPR, todo solicitante tem o direito obter uma cópia dos seus dados registrados por um provedor de serviços e mover, copiar ou transferir dados facilmente para um novo prestador sem obstáculos à usabilidade. Políticas de privacidade: As empresas devem divulgar aos envolvidos informações caso seus dados sejam processados. Os direitos dos clientes devem ser facilmente interpretáveis e acessíveis.

Marco Civil

E o Brasil?

O Brasil tem o Marco Civil e um par de leis que ajudam usuários no que toca a vazamentos de dados e abusos na internet. Vale notar que, por meio da Secretaria Nacional de Defesa do Consumidor, a Oi foi multada em R$ 3,5 milhões pela Velox por violar direitos à privacidade em 2014.

Uma Lei Geral de Proteção de Dados Pessoais deveria chegar ao Brasil em 2018. Contudo, com todo esse panorama político instável e focado em reformas e mais reformas, parece que a implementação será feita apenas no próximo ano.

"Uma lei geral de proteção de dados pessoais e a criação de uma autoridade de proteção de dados podem e devem ser capitalizadas politicamente. Talvez, assim, possamos virar a 'chave' do atraso regulatório do Brasil nessa agenda", comentou Bruno Bioni, ao Jota.

Além de uma multa pesada, algo muito pior pode acontecer para a sua empresa: ter a imagem arranhada

Quem também comentou sobre o caso foi Alain Karioty, diretor regional da Netskope, ao Computer World: "O Brasil possui mais de 30 leis que, direta ou indiretamente, tratam do tema proteção de dados. Desde o Marco Civil da Internet e seu decreto regulamentador, que trazem regras rígidas e aplicáveis a todos os serviços de internet, com destaque para o Código de Defesa do Consumidor, Lei do Cadastro Positivo e a Lei do Sigilo Bancário. Nesse contexto, a adoção da GDPR trará um avanço significativo, embora também implique um maior investimento nos processos e tecnologias necessários para garantir a segurança desses dados, tanto aqueles que permanecem sob o perímetro de TI como aqueles que viajam através da nuvem".

A dica final é a mesma tecla que batemos desde sempre: invista em cibersegurança. Dados pessoais são quase commodities atualmente, e você não quer perdê-los apenas porque deixou de contratar um pessoal qualificado. Além de uma multa pesada, algo muito pior pode acontecer para a sua empresa: ter a imagem arranhada.