Entenda a GDPR

Você já está por dentro das novas normas de privacidade de dados da União Europeia?

Chamada de General Data Protection Regulation (GDPR), a regulamentação foi criada para proteger cidadãos europeus da exposição de informações pessoais e, apesar não possuir força legal sobre empresas no Brasil que não lidem com residentes da UE, a Social Miner – que sempre buscou tratar das políticas de privacidade de forma ética e transparente – atualizou suas políticas de privacidade para deixar ainda mais claro como lidamos com essas informações por aqui.

Mas, do que se trata esse regulamento?

A GDPR pretende trazer mais segurança aos usuários de serviços que solicitam o compartilhamento de informações pessoais, exigindo que as empresas trabalhem com mais cuidado e transparência no processamento de dados.

Em alguns casos, a proteção requerida pela lei pode ser ainda maior, quando se tratar de processamento de dados sensíveis, como aqueles sobre orientação sexual, opinião política, dados biométricos e genéticos, de religião, vínculos com sindicatos e antecedentes criminais.

E o que são os dados pessoais relevantes, pela GDPR?

Segundo a norma, no caso dos websites, um usuário só é considerado como uma pessoa que compartilha dados pessoais e está, portanto, protegido pela lei, quando se torna possível vincular suas informações ao seu endereço de I.P ou quaisquer outros dados de comportamento de navegação. Ou seja, quando é possível determinar quem é a pessoa que navegou pela página.

Nesse sentido, dados de catálogo, database e quaisquer informações que apenas deixem um rastro de navegação e não identifiquem, de fato, uma pessoa, não são objetos dessa legislação. Para um e-commerce, por exemplo, esse registro de comportamento de navegação não seria considerado um dado pessoal caso o usuário não se identificasse por nome, e-mail ou algum plugin de vínculo com redes sociais.

E quais são os direitos dos usuários?

Para que estejam de acordo com a legislação, as empresas devem saber que usuários protegidos pela GDPR têm direitos que podem ser exercidos a qualquer momento, uma vez que visitem um website e vinculem sua navegação e dados pessoais à página – seja através de canais Opt-in, e-mail ou redes sociais.

Destacamos algumas garantias que o usuário tem sobre seus dados coletados:

  • Direito de ser informado: o usuário/visitante tem o direito ser informado sobre quais dados são processados e concordar (ou não) com a coleta dessas informações.
  • Direito ao acesso das informações: o usuário/visitante tem o direito a ter acesso às informações coletadas e processadas pelas empresas.
  • Direito à retificação: se existirem divergências nos dados processados, o usuário/visitante tem o direito de solicitar o ajuste de qualquer informação equivocada que tenha sido armazenada.
  • Direito ao esquecimento: é direito do usuário/visitante pedir que os seus dados armazenados até então sejam deletados.
  • Direito ao processamento restrito: direito do usuário/visitante a que se processe o mínimo possível de informações.
  • Direito a portabilidade de dados: o usuário/visitante tem o direito a ter acesso a seus dados em um formato possível de ser reutilizado.
  • Direito à objeção: o usuário/visitante possui o direito de proibir a coleta e o processamento de novos dados, ou seja, a restrição tem efeitos futuros.
  • Direitos em relação a tomadas de decisão automatizadas: o usuário/visitante pode, ainda, contestar permissões feitas por meios automatizados ou elaboração de perfis, caso essas decisões tenham algum efeito jurídico ou outro igualmente significativo.

Como esses dados serão protegidos?

Empresas que controlam e processam dados devem decidir sobre como essas informações serão coletadas e, a partir disso, criar bases legais para se proteger. Pergunte-se: quais dados são necessários coletar? Para que eles serão utilizados? De quem serão esses dados coletados? Essas informações serão compartilhadas e, se sim, com quem? Quais direitos essa pessoa terá? E por quanto tempo esses dados ficaram armazenados?

Além disso, as empresas que têm domínio sobre essas informações, devem estar de acordo com os 7 princípios da GDPR, que são:

  1. Dados pessoais devem ser processados de maneira legal, justa e transparente;
  2. Dados pessoais devem ser coletados para razões específicas, explícitas e legítimas;
  3. Dados pessoais devem ser adequados ao uso para o qual se destinam e mantidos de forma mínima;
  4. Dados pessoais devem ser precisos e atualizados;
  5. Dados pessoais não devem ser mantidos por mais do que o necessário;
  6. Dados pessoais devem ser processados de uma maneira que garanta a segurança dos usuários;
  7. A empresa que detém os dados é responsável e deve estar de acordo com esses 6 princípios.

E o que acontece com quem violar essas regras?

A GDPR apresenta penalidades diferentes para violações de dados, de acordo com a gravidade do evento. As multas podem ir de 2% a 4% do faturamento global da empresa, ou de €10 milhões a €20 milhões.

Como podemos ver, essas normas estão se tornando cada vez mais relevantes para o mercado, especialmente para os e-commerces. No Brasil, o tema já está quente e sendo debatido nas casas legislativas, como no caso do projeto de lei Nº 330/2013, que tramita no Senado Federal.

Mais um motivo para ficar atento e por dentro das alterações, para já estar preparado quando normas como as da GDPR entrarem em vigor por aqui também.

Inclusive, temos alguns falando sobre privacidade e boas práticas aqui no blog. Vale a leitura. E logo mais teremos outros artigos sobre a GDPR e tudo o que vai mudar com as novas normas. Fica de olho! 😉

Comments

comments

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *