Provavelmente, você já ouviu falar na Lei Geral de Proteção e Dados, também conhecida pela sigla LGPD e em vigência no Brasil. Mas você sabia que, além dela, existe também o GDPR? A sigla refere-se ao Regulamento Geral sobre a Proteção de Dados, criado em 2018 na União Europeia, e é um regulamento de direito europeu que também versa sobre a privacidade e proteção de dados pessoais.
O GDPR 2016/679 se aplica a todas as pessoas físicas e jurídicas da União Europeia e Espaço Econômico Europeu, abrangendo ainda a exportação dos dados pessoais fora desses territórios. Hoje, com o avanço tecnológico, os dados pessoais passaram a ter um grande valor para as empresas, especialmente sob o ponto de vista estratégico e empresarial. Por isso, a regulação do uso desses dados se tornou um tema urgente.
Neste artigo, você terá acesso a um panorama completo sobre o assunto. Entenda o conceito e principais regras do GDPR, a sua importância, os reflexos no mercado europeu, as obrigações previstas na lei, a relação com a LGPD e o Brasil, bem como as consequências em caso de descumprimento da norma. Confira!
O que são dados pessoais e por que eles são importantes?
São considerados dados pessoais todas aquelas informações que permitem a identificação de uma pessoa. Nesse sentido, sempre que uma informação permite a identificação — direta ou indireta — ela é considerada dado pessoal.
Enquadram-se no rol de dados pessoais: nome completo, RG, CPF, informações sobre gênero, data e local de nascimento, endereço, telefone, e-mail, dados bancários, informações sobre renda, dados sobre saúde, entre outros.
Cada vez mais, as organizações têm percebido a importância desses dados, que podem ser utilizados de forma estratégica em seus negócios. Por isso, existe um movimento relacionado ao uso dessas informações para montar estratégias de vendas, direcionar produtos e serviços, entre outros.
Ocorre que o uso indiscriminado dos dados dos indivíduos, geralmente sem autorização, tornou-se um problema sob o ponto de vista da proteção dessas pessoas. Em razão disso, surgiu a necessidade de normatizar a prática de uso e compartilhamento de dados. Foi nesse contexto que se iniciaram as discussões para a criação da GDPR.
O que é o GDPR?
O GDPR é um regulamento criado no âmbito da União Européia, que estabelece normas sobre privacidade e proteção dos dados dos cidadãos residentes no Espaço Econômico Europeu e União Européia.
O Regulamento Geral de Proteção de Dados, ou simplesmente GDPR — General Data Protection Regulation — refere-se à norma GDPR 2016/679, publicada originalmente no Jornal Oficial da União Europeia em 04.05.2016 (JO L 119) e com três alterações posteriores: JO L 314 de 22.11.2016, JO L 127 de 23.5.2018, JO L 074 de 4 de março de 2021.
Esta lei foi criada com o objetivo de proteger e regular a circulação e intercâmbio de dados pessoais de indivíduos. Por isso, o foco central está na normatização envolvendo o uso, tratamento, compartilhamento e proteção dos dados.
O principal pressuposto, que serve como pilar de sustentação do regulamento, é que a proteção de dados das pessoas é um direito fundamental. Com o avanço da tecnologia e a expansão do uso de dados de pessoas por empresas, organizações e governos, notou-se a necessidade de proteger as informações das pessoas, especialmente quanto ao uso indevido (e não autorizado) por parte de terceiros. Por isso, a GDPR se tornou umas das normas pioneiras sobre o assunto.
Por que você precisa conhecer o GDPR?
Talvez você se questione acerca da necessidade de conhecer o GDPR, afinal, trata-se de uma norma vigente em território europeu. Ocorre que as regras do regulamento se aplicam a toda e qualquer organização/empresa que coletar e armazenar dados de pessoas protegidas pela lei.
Assim, está submetida ao GDPR toda e qualquer empresa que coletar, armazenar e tratar dados de cidadãos residentes no Espaço Econômico Europeu e União Européia. Isso significa que até mesmo as empresas brasileiras estão submetidas ao regulamento.
No Brasil, vigora a Lei Geral de Proteção de Dados (LGPD), que foi criada com base no GDPR. Na prática, as empresas brasileiras, físicas ou virtuais, devem adotar práticas de coleta e tratamento de dados que estejam alinhadas às diretrizes da LGPD e do GDPR.
Quais os efeitos do GDPR para o mercado europeu?
O GDPR passou a valer em 25 de maio de 2018. Desde a sua entrada em vigor, as empresas precisaram adaptar seus processos e práticas, garantindo o total atendimento às suas determinações.
Apesar da necessidade de adaptação e mudança de processos, as organizações europeias enxergaram o GDPR como um passo importante no desenvolvimento de melhorias para a segurança de dados e até mesmo no aumento da confiança dos consumidores.
Embora tenha sido uma norma que demandou muitas mudanças, especialmente sob o ponto de vista da prevenção contra as multas, ela também se mostrou um mecanismo de auxílio para as empresas que querem melhorar a forma como os dados são manuseados por meio dos sistemas internos.
O que são dados pessoais segundo o GDPR?
De acordo com o GDPR, são considerados dados pessoais “todas as informações relacionadas a uma pessoa física identificada ou identificável.” Sendo considerada uma pessoa identificável, a pessoa física que, de forma direta ou indireta, possa ser reconhecida por meio de dados como nome, número de identificação, dados de localização e características especiais que expressem aspectos físicos, fisiológicos, psicológicos, econômicos, culturais, genéticos e/ou sociais.
Quais são as obrigações previstas pelo GDPR?
O GDPR tem 99 artigos que são divididos em 11 capítulos. É uma norma extensa com uma série de obrigações, orientações e penalizações. Por isso, selecionamos alguns dos principais pontos para que você conheça melhor alguns aspectos fundamentais do regulamento.
Dados pessoais
São considerados dados pessoais “todas as informações relacionadas a uma pessoa física identificada ou identificável”. A proteção desses dados é um direito fundamental dos cidadãos.
Autorização para uso de dados
O processamento de dados pessoais só poderá ser feito se a empresa receber uma autorização afirmativa e clara do usuário titular dos dados.
Proteção de dados pessoais de menores
O GDPR tem um capítulo específico que trata do registro de dados de menores de idade. As normas têm o propósito de evitar a exposição de crianças em redes sociais e aplicativos sem consentimento dos pais.
Linguagem clara e compreensível
As empresas que realizam coleta e processamento de dados dos cidadãos são obrigadas a explicar de forma clara e compreensível as suas políticas de privacidade e uso de dados.
Portabilidade de dados
Os cidadãos têm o direito de transferir os seus dados de um serviço para o outro, bem como de solicitar a remoção das suas informações da base de dados de uma empresa.
Territorialidade
O GDPR é a única lei de proteção de dados aplicável na União Européia e países do bloco. Além disso, os dados pessoais de cidadãos europeus só podem ser transferidos para países que tenham leis de proteção equivalentes — no Brasil, a LGPD.
Vazamento de dados e invasão de sistemas
Nas situações em que os servidores que mantêm os dados armazenados sejam invadidos ou que ocorra qualquer vazamento, as empresas estão obrigadas a informar aos clientes em um prazo de até 72 horas após constatado o fato.
Controlador de dados
As empresas devem contratar um profissional responsável por atestar a conformidade aos princípios do GDPR. Esse profissional é chamado de controlador de dados.
Qual a relação entre GDPR e LGPD?
A Lei Geral de Proteção de Dados, ou simplesmente LGPD, é a norma brasileira correlata ao GDPR. Com os mesmos princípios que o regulamento europeu, a Lei nº. 13.709/2018 tem o objetivo de criar um ambiente de segurança jurídica e padronização de normas relacionadas à proteção de dados dos cidadãos brasileiros.
Assim como o GDPR, a lei estabelece o que são considerados dados pessoais, determina o que são dados sensíveis — dados pessoais “sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural” — e traz uma série de conceitos e nomenclaturas que permitem melhor entendimento das regras.
Além disso, a LGPD estabelece que, em todas as situações em que houver processamento de dados de pessoas brasileiras ou não, que estão em território brasileiro, o cumprimento da lei geral é obrigatório. Confira alguns dos pontos mais importantes da LGPD e que encontram semelhança com o GDPR.
Consentimento
O tratamento de dados pessoais só pode ocorrer se houver consentimento do indivíduo. Entretanto, essa regra não é absoluta, uma vez que alguns dados podem ser tratados sem o consentimento, por exemplo:
- quando os dados forem indispensáveis para o cumprimento de uma obrigação/determinação legal;
- para execução de políticas públicas previstas em lei;
- realização de estudos por meio de órgãos de pesquisa;
- execução de contratos;
- defesa de direito em demandas judiciais e administrativas;
- preservação da integridade física de um indivíduo;
- prevenção de fraudes;
- proteção de crédito;
- para a tutela de ações por parte do setor sanitário ou de saúde; ou,
- para atender a algum interesse legítimo desde que este não afronte direitos fundamentais.
Revogação do consentimento
Assim como o cidadão deve autorizar o uso de dados, a LGPD também prevê a possibilidade de revogação desse consentimento, bem como a possibilidade de transferência de dados para outro fornecedor (portabilidade).
O tratamento de dados, além do consentimento, deve levar em consideração o atendimento a alguns requisitos como finalidade e necessidade. Tudo isso deve, obrigatoriamente, ser informado ao titular dos direitos no ato da solicitação de consentimento.
Autoridade Nacional de Proteção de Dados Pessoais — ANDP
A ANDP é a instituição responsável por fiscalizar, no Brasil, o cumprimento da LGPD. Em caso de descumprimento, ela também poderá impor as penalizações nos termos da lei. Podem colaborar com o trabalho da ANDP os cidadãos e as organizações que identifiquem situações que caracterizam o descumprimento da legislação.
O que acontece com a empresa que descumprir o GDPR?
É importante destacar que o GDPR e a LGPD são leis distintas. Embora tenham como premissa a proteção de dados, é fundamental entender que se tratam de dois institutos legais autônomos.
No caso do GDPR, as empresas que não cumprirem com as normas estão sujeitas à aplicação de multas. Em casos mais leves, as empresas são apenas notificadas, entretanto, situações mais graves podem levar a multas de até € 20 milhões ou 4% sobre a receita total anual da empresa multada.
Esse percentual é considerável se pensarmos em grandes corporações tecnológicas, como o Facebook, que já foi multado em US$ 5 bilhões por prática de violação de privacidade.
Ainda existem muitas questões que levantam dúvidas a respeito da aplicabilidade do GDPR e das multas, especialmente no caso de empresas brasileiras. A orientação é que as organizações invistam na adequação dos seus processos e no respeito ao que determinam o GDPR e a LGPD.
Como as empresas devem lidar com o GDPR e a LGPD?
A resposta está na gestão. As empresas precisam entender as determinações legais e suas responsabilidades frente aos regulamentos de proteção de dados. A partir daí, devem investir em ações de gestão para redução de riscos.
Isso significa, entre outras ações, elaborar normas de governança e compliance, adotar medidas de prevenção, aplicar boas práticas baseadas em processos já existentes em outras empresas, realizar auditorias, investir em modelos de seguro, como o seguro cyber, entre outros.
Destacamos que, em relação à LGPD, as multas podem chegar a 2% do faturamento anual da empresa, limitados a R$ 50 milhões por infração. A ANDP será responsável por fixar a multa de acordo com a gravidade da falha cometida.
O que é o seguro cyber e como ele pode ser utilizado?
Para quem está buscando medidas para mitigar riscos relacionados ao vazamento de dados e ao descumprimento da LGPD ou do GDPR, o seguro cyber é um produto interessante.
A modalidade tem como foco a indenização de danos causados por incidentes relacionados ao vazamento de dados. A apólice deste tipo seguro cobre, entre outras coisas, gastos com sanções administrativas e lucros cessantes.
Em razão das exigências da LGPD e do risco ao qual as empresas também estão submetidas, o seguro cyber vem ganhando espaço e se tornando uma medida de proteção de mitigação de riscos para as empresas.
Como você pôde ver, o GDPR é uma norma importante sob a perspectiva da segurança dos dados e precisa ser levada em consideração pelos empresários. Assim como a LGPD, ela está promovendo mudanças importantes nos processos empresariais e deve auxiliar no desenvolvimento de estratégias de crescimento para os negócios.
Você gostou deste artigo sobre GDPR? Então, aproveite para conhecer mais sobre a LGPD e ter acesso a dicas de como se adequar aos regulamentos.
O que são dados pessoais segundo o GDPR?
De acordo com o GDPR, são considerados dados pessoais “todas as informações relacionadas a uma pessoa FÍSICA identificada ou identificável”.
É pessoa física ou natural?
Olá. Pessoa física.
Se um usuario europeu pede para apagar os seus dados de uma página de ecommerce, eu tenho que apagar tudo? ou posso guardar o email num formato hash, para que o mesmo usuario nao possa ingressar novamente, aproveitando-se de promocoes para novos usuarios.
O General Data Protection Regulation (GDPR) é uma regulamentação da União Europeia que protege os direitos de privacidade dos cidadãos europeus e estabelece regras estritas sobre a coleta e processamento de seus dados pessoais.
Se um usuário europeu solicitar a exclusão de seus dados pessoais sob o GDPR, em geral, você deve atender a esse pedido e excluir os dados, a menos que haja uma base legal válida para mantê-los.
No entanto, a questão de reter um hash do e-mail para impedir que o usuário aproveite promoções para novos usuários é mais complexa. Aqui estão algumas considerações:
Finalidade e Minimização de Dados: O GDPR exige que os dados pessoais sejam coletados para finalidades específicas e que a quantidade de dados coletados e processados seja minimizada de acordo com essas finalidades. Se você deseja reter um hash do e-mail do usuário para impedir a reutilização de promoções, você deve ter certeza de que essa é uma finalidade legítima e que você não está retendo mais dados do que o necessário para essa finalidade.
Hashing como Anonimização: Embora o hashing possa ser considerado uma forma de anonimização, dependendo de como é implementado, pode ser possível reverter o hash ou fazer uma correlação. Por isso, você precisa garantir que o hash seja irreversível e que não haja outra maneira de identificar o usuário com base nesse hash.
Transparência e Informação ao Usuário: Você deve informar os usuários sobre a finalidade da coleta e processamento de seus dados, incluindo a retenção de um hash de e-mail para impedir o aproveitamento de promoções. Isso deve ser comunicado claramente em sua política de privacidade e outros materiais relevantes.
Outras Considerações Legais: Além do GDPR, podem haver outras leis ou regulamentos locais que afetam sua decisão de reter um hash de e-mail. Vale a pena consultar um especialista legal local para obter orientação.
Em resumo, embora possa ser possível reter um hash do e-mail do usuário para impedir que ele aproveite promoções para novos usuários, é crucial garantir que você esteja em conformidade com o GDPR e outras leis aplicáveis. Uma consulta com um especialista legal em proteção de dados seria uma boa ideia para garantir que você está cumprindo todas as suas obrigações legais.