GDPR & PLC: entenda as leis e seus impactos

01/11/2019 | Artigo


GDPR da União Europeia

A União Europeia considera a proteção de dados pessoais um direito dos cidadãos dos países do bloco. Por isso, o General Data Protection Regulation (Regulamentação Geral de Proteção de Dados) adotada em 27 de abril de 2016 e que entrou em vigor em maio deste ano, é um novo regulamento que muda significativamente as obrigações de empresas que lidam com os dados das pessoas que sejam residentes na União Europeia. Com essa nova regulamentação, todas as empresas e organizações, independente de porte ou área de atuação, deverão seguir regras rígidas para coletar, processar, compartilhar e armazenar dados pessoais.

Uma das principais regras da GDPR é que a partir de agora será necessária a permissão do usuário para que a empresa realize a coleta e processamento dos seus dados. Isso significa que o usuário precisa estar ciente de que seus dados serão captados e que ele pode negar o acesso a eles ou até mesmo retirar esse acesso da empresa, uma vez que seja dado.

Caso alguma empresa não esteja em conformidade com o novo GDPR, ela poderá ser multada da seguinte forma:

  • 1) Não conformidade: 10 milhões de euros ou até 2% do faturamento anual da empresa do ano anterior, o que for maior.
  • 2) Violações de Dados: até 20 milhões de euros ou até 4% do faturamento anual da empresa do ano anterior, o que for maior. Esta multa é para qualquer empresa que sofra uma violação de dados onde os dados pessoais dos europeus estejam comprometidos.

Destaques sobre o GDPR

  • Obter autorização dos usuários para a coleta de dados de forma transparente e explícita, ou seja, caixas pré-verificadas ou consentimento passivo não serão considerados.
  • Dar liberdade para o usuário gerenciar os dados coletados e o direito de ser esquecidos.
  • Todos estão sujeitos ao GDPR, mesmo que não tenha uma presença física na UE. Se fornecer bens ou serviços a cidadãos da UE, será afetado.
  • Caso ocorra o vazamento de dados, as notificações de violação são agora obrigatórias e deverão ser feitas dentro de 72 horas após o primeiro conhecimento da violação.
  • A definição de dados pessoais (Dados PII) é expandida para incluir endereços de IP, cookies que identifiquem usuários e localização de GPS.
  • Os cidadãos da UE têm o direito de escolher se os seus dados pessoais devem ou não ser armazenados.
  • A lei fará com que as empresas revisem e atualizem sua política de privacidade.
  • Caso as empresas utilizem plataformas ou sistemas de terceiros para ajudar a administrar o site ou campanhas de publicidade, a empresa deverá avaliar se eles estão em conformidade com a GDPR.

Entenda o que é o PLC 53/2018 do Brasil

Após o escândalo do Facebook onde 87 milhões de dados foram violados pela Cambridge Analytica, levantou-se dúvidas no mundo todo sobre a transparência e o compromisso das empresas com a proteção de dados dos usuários. O assunto virou pauta no congresso brasileiro que se mobilizou para retomar o projeto de lei criado em 2010 e sancionado no dia 15 de agosto de 2018, com o objetivo de modificar a relação de captura, armazenamento e uso de dados pessoais.

A lei geral de proteção de dados no Brasil é inspirada na legislação da União Europeia (GDPR), abordando regras para a prevenção de dados on-line e off-line por pessoas jurídicas e físicas do setor público e privado. A lei estabelece que empresas apenas coletem dados necessários para os serviços.

O novo regulamento dá autonomia para os usuários autorizarem a partir de uma permissão o uso e gerenciamento dos dados compartilhados com as empresas. Nessa permissão, as empresas deverão utilizar uma comunicação clara com informações detalhadas explicando quais dados serão coletados e como serão usados, além de oferecer uma opção para o usuário visualizar, corrigir e excluir esses dados a qualquer momento. Além disso, a lei aborda como devem ser tratados casos em que ocorram a violação dos dados que possam acarretar em algum tipo de risco para os titulares.

Caso alguma empresa não esteja em conformidade com o PLC 53/2018, ela poderá ser multada em até 2% do faturamento (limitado a R$ 50 milhões), publicização da infração, bloqueio e eliminação de dados pessoais referentes à infração. As empresas infratoras não serão impedidas de continuar funcionando.

 

Destaques sobre o PLC 53/2018

  • Dará mais controle aos usuários sobre como seus dados estão sendo usados pelas empresas, pois a captura de informações somente será realizada como o consentimento do titular através de uma permissão (opt-in).
  • Tal lei será aplicada a qualquer empresa que tenha usuários brasileiros, mesmo que não tenha sede no Brasil.
  • A empresas terão período de 24 meses para se reestruturar, período contado a partir de agosto de 2018.
  • A empresa deverá comunicar ao órgão competente a ocorrência de incidente com vazamento de dados que possa acarretar risco ou danos relevantes aos usuários. A comunicação para os usuários deverá ser feita em um prazo razoável, conforme definido pela órgão competente.
  • Haverá a possibilidade dos usuários solicitarem acesso a seus dados, além de pedirem que informações sejam corrigidas ou excluídas. Informações sensíveis, como posição política, opção religiosa e vida sexual receberão tratamento mais rigoroso.
  • O projeto prevê que o uso de dados de crianças deverá ser feito com consentimento dado por ao menos um dos pais ou responsável legal.
  • Quanto à transferência internacional de dados pessoais, será permitida para países ou organizações que proporcionem grau de proteção de dados adequado ao previsto na legislação brasileira.
  • Fica excluído o uso de dados realizados para fins jornalísticos, artísticos, acadêmicos, de segurança pública e defesa nacional.

Entenda o que são dados PIIs e cookies

Dados PIIs (Personally Identifiable Information)

Informações pessoalmente identificáveis (PIIs) são quaisquer informações que possam potencialmente identificar um indivíduo específico. Qualquer informação que possa ser usada para distinguir uma pessoa da outra pode ser considerada PII. Além disso, o dado PIIs podem ser classificados em sensível ou não sensível.

  • PII sensíveis: são informações que, quando divulgadas, podem resultar em danos diretos ao indivíduo cuja privacidade foi violada. As PII sensíveis devem, portanto, ser criptografadas em trânsito e quando os dados estão em repouso em uma base de dados.
  • PII não sensíveis: são informações que podem ser transferidas de forma não criptografada sem resultar em danos ao indivíduo, mas embora não sejam informações delicadas, são informações que podem ser vinculadas, ou seja, quando cruzadas com outros dados podem acabar revelando a identidade de um indivíduo.

Cookies

Um cookie é um arquivo de texto simples, cuja o objetivo muitas vezes é armazenar informações de navegação e de preferências no navegador dos usuários. É importante salientar que as leis de regulamentação geral de proteção de dados apenas abordam dados pessoais, mas não referência a utilização de cookies. Se um cookie contiver informações pessoais de um usuário, então a GDPR e a PLC deverão ser aplicadas, mas em outras situações as leis não estará sendo infligida.

Principais precauções das empresas no momento

 

Para mais informações, entre em contato com um dos especialistas do time de Business Intelligence da Cadastra. Prestamos consultoria para auditar os dados coletados pelas empresas, instruindo quais são as melhores práticas de mercado para essa nova regulamentação visando garantir a privacidade dos dados de seus clientes.