GDPR: como o regulamento impacta as empresas de TI?

A nova lei de proteção de dados da União Europeia entrou em vigor no final de maio deste ano, sendo responsável por muitos e-mails com alertas sobre as mudanças nas políticas de privacidade de serviços online. Ela deu aos usuários mais controle sobre as suas informações e mudou radicalmente a maneira como as companhias lidam com os dados de seus clientes.

Mas como a GDPR afeta o seu negócio? A sua empresa deve se adaptar a essa lei modificando as políticas de governança e privacidade? Confira no nosso post!

O que é GDPR?

A GDPR (sigla para General Data Protection Regulation, ou Regulamento Geral sobre a Proteção de Dados) é uma lei idealizada em 2012, aprovada em 2016 e que começou a valer a partir de maio deste ano. Ela substituiu a regulamentação de dados digitais existentes na União Europeia (que foi estabelecida em 1995) e tem como principal objetivo dar aos cidadãos um maior controle sobre os seus dados.

As regras da GDPR são focadas na União Europeia. Porém, diante da forma como os serviços de internet estão estruturados, muitas empresas estão alinhando as suas políticas de privacidade globais conforme as normas da regulamentação.

Em poucas palavras, a GDPR tornou mais transparente a forma como as empresas lidam com os dados de seus clientes. Ela também deu ao usuário um maior controle sobre o modo como as informações privadas são gerenciadas por empresas que têm operações em ambientes digitais. Assim, restrições passaram a vigorar para reduzirem as chances de abusos ocorrerem.

Como a GDPR afeta as políticas de segurança e a privacidade digital de empresas de TI?

A GDPR está afetando as políticas de privacidade digital e a segurança de dados de negócios de todo o planeta. Obrigatória para qualquer negócio que pretenda fornecer serviços comerciais para cidadãos da União Europeia, a lei estabeleceu um novo nível de controle sobre os dados.

Para Jan Philipp Albrecht, um dos principais políticos que atuaram na criação da norma, a GDPR “devolveu aos usuários o direito de decidir como as suas informações serão utilizadas”. Isso é feito a partir de duas bases, que são:

• a GDPR em si, que é focada em dar ao usuário maior controle sobre os seus dados;
• a Diretiva de Proteção de Dados, que cobre a maneira como as informações são utilizadas pelos órgãos de polícia na UE.

Como o nosso texto está direcionado na maneira como a nova lei afetará as suas relações comerciais, daremos foco na GDRP. Em resumo, essa lei cria as seguintes obrigações para empresas:

• o serviço ou página web deve dar ao usuário o poder de decidir se os seus dados serão ou não utilizados para fins comerciais;
• o usuário deve ter uma ferramenta clara e transparente para verificar quais são as informações que são utilizadas pelo negócio;
• a empresa deve fornecer um mecanismo para que os seus dados sejam excluídos (ou que a coleta de dados seja interrompida) e a sua decisão respeitada;
• o usuário também pode solicitar uma cópia de todos os registros que são coletados pelo negócio e, quando cabível, migrar tais informações para outro serviço;
• as políticas de privacidade e proteção de dados devem ter uma linguagem clara, concisa e transparente, ou seja, que possa ser compreendida por usuários básicos e avançados;
• se algum vazamento de dados ocorrer em função de uma vulnerabilidade de segurança, o negócio deve notificar as autoridades em até 72 horas;
• as políticas de privacidade devem ser consideradas como um fator básico a partir do momento em que a empresa projetar um novo serviço;
• a pseudonimização é recomendada sempre que for aplicável ao serviço;
• em algumas situações, a empresa pode ter que trabalhar com um Data Protection Officer (DPO), órgão voltado para supervisionar o uso de informações pessoais, prestar esclarecimentos ou comunicar às autoridades sobre o tema.

Para as empresas, a maior mudança está na forma como as informações dos usuários serão utilizadas para otimizar serviços e vender propaganda direcionada. O negócio reavaliará a forma como aborda rotinas de análise de dados, logins e, principalmente, propaganda.

No entanto, em vez de lidar com uma norma para cada país, a companhia terá um conjunto de normas detalhadas para todos os 28 países da União Europeia. E como elas são vistas com bons olhos, ter uma política de privacidade e segurança de dados alinhada com os padrões do mercado será, também, uma forma de se tornar mais competitivo.

Quais as multas para quem não se adequar à GDPR?

Toda empresa que atuar na União Europeia sem estar alinhada com a GDPR pode sofrer multas. Isso vale até mesmo para as brasileiras: se o seu negócio tiver uma loja online, por exemplo, que exporte produtos para a União Europeia, ele precisa se alinhar à GDPR também.

A penalização por não estar de acordo com a GDPR pode ir de uma notificação, caso a infração seja leve, ou uma multa de € 20 milhões (ou 4% da receita anual global do negócio, o que for maior).

E isso ocorrerá mesmo que a companhia não tenha uma representação oficial na União Europeia. As autoridades já comunicaram que, nesses casos, acordos e procedimentos diplomáticos poderão ser realizados com órgãos locais para a aplicação da multa. Ou seja, ainda que a aplicação de uma penalidade em uma empresa de outro país seja um processo complexo, a União Europeia está preparada para executar todas as rotinas necessárias.

Como manter minha empresa competitiva e confiável?

A privacidade digital tomou espaço no noticiário de tecnologia nos últimos anos. Com ataques e vazamentos de dados sendo cada dia mais frequentes, empresas passaram a ser mais cobradas por usuários que buscam políticas de proteção da informação realmente sólidas e confiáveis. E a pressão também veio de entidades governamentais, como é o caso da União Europeia.

Nesse cenário, a GDPR deve ser vista como mais um incentivo para que companhias tenham processos de proteção de dados robustos. Quem se adequar ao novo conjunto de normas não só dará mais controle aos usuários sobre a forma como os seus dados são utilizados, como também evitará prejuízos, além de conseguir um lugar de destaque na sua área de atuação, uma vez que poderá reforçar a imagem de uma companhia comprometida em fornecer serviços mais seguros, sem que isso comprometa o seu nível de inovação.

A estruturação de um setor de TI eficaz vai além da criação de uma política de segurança de dados abrangente. Veja no nosso blog quais são os outros seis passos que podem ser adotados pelo empreendimento para organizar a área e ter uma gestão de TI mais eficaz!