O General Data Protection Regulation (GDPR) é o elemento central da legislação europeia sobre privacidade digital. Trata-se de um conjunto de regras elaboradas para dar aos cidadãos da UE mais controle sobre os seus dados, exigindo que as empresas que cumprem o GDPR protejam os dados pessoais e a privacidade dos cidadãos que residem na UE.
O Parlamento Europeu adotou o GDPR em abril de 2016, substituindo uma diretiva voltada à proteção de dados desatualizada de 1995. Essencialmente, o GDPR cria um imperativo para avaliar e atualizar a forma como as empresas armazenam, gerenciam, transferem e protegem os dados, sendo que as empresas que não estivem em conformidade estarão sujeitas a severas sanções e multas.
O regulamento concede aos titulares dos dados amplos direitos para acessar, corrigir e apagar seus dados pessoais, bem como de retirar o consentimento para a sua utilização.
De acordo com o artigo 5(1)(a), os dados pessoais devem ser "tratados de forma lícita, justa e transparente em relação ao titular dos dados".
A licitude está relacionada com dois aspectos: escolher uma base legal adequada para o processamento de dados pessoais e evitar atividades ilegais durante o processamento de dados pessoais. Existem 6 bases lícitas diferentes para o tratamento de dados pessoais, de acordo com o Artigo 6(1):
A. Consentimento: o titular dos dados deu o seu consentimento para o tratamento de seus dados pessoais para uma ou mais finalidades específicas;
B. Contrato: o processamento é necessário para a execução de um contrato no qual o titular dos dados é parte ou para tomar medidas a pedido do titular dos dados antes de celebrar um contrato;
C. Obrigação legal: o processamento é necessário para o cumprimento de uma obrigação legal à qual o controlador está sujeito;
D. Proteção de interesses vitais: o tratamento é necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa física;
E. Função pública: o processamento é necessário para o desempenho de uma função de interesse público ou para o exercício da autoridade pública investida no controlador;
F. Interesse legítimo: o tratamento é necessário para os fins dos interesses legítimos defendidos pelo responsável pelo tratamento ou por um terceiro, salvo se tais interesses forem anulados pelos interesses ou direitos e liberdades fundamentais do titular dos dados que exige a proteção de dados pessoais, em especial se o titular dos dados for uma criança.
Caso não se possa aplicar nenhuma base legal à sua atividade de processamento de dados, então, considera-se o processamento ilegal.
Lealdade significa que as empresas não utilizam indevidamente dados pessoais de uma forma que possa impactar negativamente um indivíduo. O princípio da transparência requer uma comunicação clara, aberta e honesta com os indivíduos sobre a forma como os seus dados pessoais são utilizados, incluindo notificá-los sobre as informações que as empresas utilizam, quer sejam obtidas diretamente deles ou de outra fonte.
As organizações devem ter razões legítimas para coletar e processar informações pessoais. De acordo com o artigo 5(1)(b), os dados pessoais devem ser: "coletados para propósitos específicos, explícitos e legítimos e não processados posteriormente de maneira incompatível com esses propósitos; o processamento posterior para propósitos de arquivo no interesse público, fins de investigação científica ou histórica ou propósitos estatísticos não será considerado incompatível com os propósitos iniciais ("limitação de propósito"), de acordo com o Artigo 89(1).
Este princípio significa simplesmente coletar apenas os dados mínimos necessários. Limita o controlador de dados a coletar, armazenar, processar e usar apenas as informações pessoais necessárias para fornecer o serviço necessário ou cumprir um propósito específico. De acordo com o artigo 5(1)(c), os dados pessoais devem ser "adequados, relevantes e limitados ao necessário em relação aos propósitos para os quais são processados ("minimização de dados")".
As empresas são responsáveis por tomar todas as medidas razoáveis para garantir que os dados pessoais que coletam são corretos e precisos. A intenção é encorajar as empresas a manter apenas dados relevantes e eliminar todos os dados desnecessários, incorretos ou irrelevantes. De acordo com o Artigo 5(1)(d), os dados pessoais devem ser "precisos e, quando necessário, atualizados; devem ser adotadas todas as medidas razoáveis para garantir que os dados pessoais inexatos, considerando os propósitos para os quais são processados, sejam rapidamente apagados ou retificados ("precisão")".
Para cada dado pessoal em processamento, as empresas devem ser capazes de justificar porque esse dado está sendo armazenado. Os dados pessoais só devem ser armazenados tempo suficiente para que os dados sejam processados para os propósitos declarados.
De acordo com o artigo 5(1)(e), os dados pessoais devem ser: “conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para os propósitos para as quais são tratados; os dados pessoais podem ser armazenados durante períodos mais longos, desde que sejam tratados exclusivamente para propósitos de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, em conformidade com o undefined(1) sujeitos à aplicação das medidas técnicas e organizacionais adequadas exigidas pelo presente regulamento, a fim de proteger os direitos e liberdades do titular dos dados (‘limitação de armazenamento’)”.
As organizações devem ter medidas de segurança para proteger os dados pessoais coletados contra uso ilegal, perda acidental e destruição, de acordo com o Artigo 5(1)(f). Este princípio tem uma forte relação com a segurança da informação, mas também se aplica a medidas organizacionais que podem ser implementadas para proteger dados pessoais.
O controlador de dados ou organização é responsável por demonstrar o tratamento adequado dos dados pessoais e a conformidade com o GDPR. De acordo com o artigo 5(2), define-se que: “O controlador responsável pelo tratamento dos dados deverá demonstrar a conformidade de acordo com o disposto no parágrafo 1 (‘responsabilidade’)”.
Cada etapa da conformidade deve ser documentada, incluindo:
Atividades de processamento
Medidas técnicas e organizacionais
Políticas de proteção de dados
Avaliações de impacto da proteção de dados
Indicação de um DPO
Cada membro da União Europeia e qualquer organização que faz negócios na UE está sujeita ao GDPR, o que significa que todas as grandes organizações nos Brasil também devem aderir a esta legislação. Ela se aplica a qualquer pessoa ou empresa que:
Oferece produtos e serviços na UE
Monitora o comportamento das pessoas na UE (inclusive por meio de anúncios online direcionados)
Candidate-se a vagas em governos e empresas privadas
25/05/2018
O GDPR lista uma série de controles e práticas fundamentais relacionadas com a gestão e monitoramento de pessoas e dados pessoais. Os dois primeiros são a notificação de violação de dados e uma função obrigatória, o Data Protection Officer. Segundo a definição do GDPR, uma “violação de dados pessoais” é “uma violação de segurança que leva à destruição acidental ou ilegal, perda, alteração, divulgação ou acesso não autorizado a dados pessoais transmitidos, armazenados ou de outro modo processados”.
Em caso de violação de dados pessoais, as organizações devem notificar a autoridade de controle. O GDPR define dois conceitos distintos que normalmente (mas nem sempre) se referem às organizações - Controlador de Dados (ou controlador) e Processador de Dados (ou Processador).
O Controlador de Dados é a entidade (na maioria dos casos, uma organização, mas, em alguns casos, uma pessoa) que orienta a razão pela qual os dados pessoais são inicialmente processados. Por exemplo, uma empresa de compartilhamento de caronas quer analisar os padrões de uso dos seus passageiros para melhor alocar os motoristas. Observe que a entidade que é o controlador não precisa ser aquela que analisa ou processa os dados.
O Processador de Dados é a entidade (novamente: pessoa ou organização) que realmente faz o processamento ou análise dos dados. Por exemplo, os bancos frequentemente contratam terceiros para fazer a análise de fraudes, e neste caso, o banco é o controlador (orientando o que é feito com os dados), e o terceiro contratado é o processador (quem realmente faz a análise).
Em caso de violação, a organização deve notificar a autoridade de controle do estado membro onde o controlador dos dados tem o seu principal estabelecimento e as pessoas que foram afetadas. Ou seja, se uma organização estiver sediada em Frankfurt e tiver a maioria dos seus clientes na Alemanha, a notificação deve ser enviada para a autoridade de controle alemã. O Artigo 51 do GDPR trata da criação da autoridade de controle por Estado.
A notificação deve ser enviada “sem demora injustificada e, sempre que possível, no prazo de 72 horas após ter tomado conhecimento do fato”. Para aqueles familiarizados com a violação da Equifax, a organização esperou seis semanas para fazer o anúncio publicamente. Esta demora no anúncio parece não só ter agravado a situação: os executivos seguraram a vendas das ações da empresa e o público foi impedido de tomar medidas para proteger sua identidade.
A notificação à autoridade de controle deve incluir “pelo menos” o seguinte:
A natureza da violação dos dados pessoais, incluindo o número e as categorias dos titulares dos dados e os registros dos dados pessoais afetados.
As informações de contato do responsável pela proteção dos dados.
As prováveis consequências da violação dos dados pessoais.
Como o controlador se propõe a resolver a violação, incluindo quaisquer esforços de mitigação.
O GDPR prevê algumas exceções ao requisito adicional de notificar os titulares dos dados sobre a violação de dados pessoais, se:
O controlador implementou medidas de proteção técnicas e organizacionais adequadas que tornam os dados ininteligíveis para qualquer pessoa que não esteja autorizada a acessá-los (consulte nosso próximo blog sobre pseudonimização).
O controlador adota medidas posteriores à violação dos dados pessoais para “garantir que a ameaça de alto risco para os direitos e liberdades dos titulares dos dados provavelmente não se concretize”.
A notificação a cada titular dos dados implicaria um esforço desproporcional, caso em que podem ser utilizadas medidas de comunicação alternativas.
Cumprir os requisitos de notificação de violação, conforme acima referido, é apenas uma parte do objetivo do regulamento. Neste sentido, são necessárias executar duas outras etapas:
Avaliar que dados uma organização possui que são considerados “dados pessoais”.
Compreender se, em primeiro lugar, ocorreu uma violação.
O GDPR define dados pessoais como qualquer informação relativa a uma pessoa física residente em qualquer um dos países da UE que possa ser identificada direta ou indiretamente.
Nomes
Datas de nascimento
Endereços (físico e e-mail)
Números de telefone
Dados de localização, endereço IP, cookies e etiquetas de identificação por radiofrequência (RFID)
RG e CPF
Números de cartão de crédito
Informações de saúde e genéticas
Informações biométricas (reconhecimento facial, impressões digitais, comportamento, etc.)
Filosofia pessoal, política, religião e crenças
Raça ou etnia
Identidade ou orientação sexual
Dados irreversivelmente anonimizados.
De acordo com o GDPR, se os dados forem anonimizados de modo que o titular dos dados não seja mais identificável (direta ou indiretamente), o GDPR não os vê ou os considera mais como dados pessoais.
A Razão 26 explica isso em detalhes:
1Os princípios da proteção de dados deverão se aplicar a qualquer informação relativa a uma pessoa física identificada ou identificável.
2Os dados pessoais que tenham sido pseudonimizados, que possam ser atribuídos a uma pessoa física mediante a utilização de informações adicionais, devem ser considerados informações sobre uma pessoa física identificável.
3Para determinar se uma pessoa física é identificável, deve-se considerar todos os meios prováveis de serem razoavelmente utilizados, como a seleção, quer pelo controlador quer por outra pessoa, para identificar direta ou indiretamente a pessoa física.
4Para determinar se há uma probabilidade razoável de os meios serem utilizados para identificar a pessoa física, deve-se considerar todos os fatores objetivos, como os custos e o tempo necessário para a identificação, levando-se em consideração a tecnologia disponível no momento processamento dos dados e a evolução tecnológica.
5Os princípios da proteção de dados não devem, portanto, aplicar-se a informações anônimas, ou seja, informações que não estejam relacionadas com uma pessoa física identificada ou identificável nem a dados pessoais tornados de tal modo anônimos que o seu titular não seja ou já não possa ser identificado.
6O presente regulamento não se refere, portanto, ao processamento de tais informações anônimas, inclusive para propósitos estatísticos ou de investigação.
As principais ações de preparação para o GDPR são:
Identificar os dados pessoais retidos
Implementar controles sobre como esses dados são processados
Garantir que o processamento atenda aos direitos dos titulares dos dados
Assegurar-se de que o processamento por parte de terceiros está em conformidade
Atualizar e testar os processos de gerenciamento de uma violação de dados para incluir os novos requisitos de notificação
Implementar a proteção de dados por projeto e padrão
O GDPR introduz novas regras obrigatórias de comunicação de violações de dados. As empresas que sofrem um incidente de segurança de dados serão potencialmente obrigadas a notificar seus clientes corporativos, seus órgãos reguladores e os indivíduos cujos dados foram comprometidos.
Qualquer empresa que tenha sofrido uma violação de dados saberá que, além do custo de proteger novamente os dados comprometidos, as violações de dados acarretam custos financeiros, reputacionais e de recursos bastante significativos.
Em termos das regras específicas que introduziu, o GDPR estabelece uma expectativa de que as empresas devem comunicar uma violação de dados às autoridades de proteção de dados no prazo de 72 horas após terem tomado conhecimento de tal violação - um prazo muito curto para qualquer incidente de segurança de dados relevante - e devem informar os indivíduos afetados sem “atrasos injustificados”. Entretanto, o GDPR afirma que as empresas não precisam notificar as autoridades de proteção de dados se puderem “demonstrar que é improvável que a violação de dados pessoais resulte em um risco para os direitos e liberdades dos indivíduos”.
Em uma nota semelhante, afirma também que as empresas só precisam informar os usuários afetados caso a violação possa resultar em um “alto risco” para a sua privacidade - e que a notificação não é necessária caso a empresa tenha implementado “medidas de proteção técnicas e organizacionais adequadas que tornam os dados ininteligíveis para qualquer pessoa que não esteja autorizada a acessá-los”.9
Em resumo, se uma violação de dados apresenta baixo risco para os indivíduos em questão, os requisitos de notificação da violação do GDPR tornam-se mais flexíveis. A pseudonimização, seja por meio de mascaramento, hashing ou criptografia, oferece um meio claro de reduzir os riscos para os indivíduos decorrentes de uma violação de dados (por exemplo, reduzindo a probabilidade de fraude de identidade e outras formas de utilização indevida dos dados), e é corroborado pelo GDPR como uma medida de segurança.
Consequentemente, as empresas que efetivamente pseudonimizaram os seus dados podem se beneficiar das exceções de notificação às autoridades reguladoras e aos indivíduos afetados no caso de sofrerem uma violação de dados.
As solicitações de acesso a dados são normalmente feitas no contexto de ações litigiosas, por indivíduos que buscam obter um acesso mais amplo às informações do que normalmente teriam sob as regras normais de divulgação de litígios. Os indivíduos continuarão tendo direito de acesso aos dados ao abrigo do GDPR. Contudo, de acordo com a sua abordagem quanto à pseudonimização em questões de violação de dados, o GDPR parece flexibilizar os requisitos de divulgação em resposta a uma solicitação de acesso a dados em que os dados tenham sido pseudonimizados—consultar Artigos 15 a 18.
Isto significa que uma empresa não pode ser obrigada a incluir dados que tenham sido efetivamente pseudonimizados ao responder a solicitações de acesso a dados de um indivíduo. Este é um benefício particularmente importante para as grandes empresas que se relacionam diretamente com clientes, que podem enfrentar muitos pedidos de acesso de seus clientes em um determinado momento.
Um outro desenvolvimento importante no GDPR é que a lei introduz um conceito específico de “criação de perfil”, definindo-o como “qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa física, em especial para analisar ou prever aspectos relacionados com o seu desempenho profissional, a sua situação econômica, saúde, preferências pessoais, interesses, confiabilidade, comportamento, localização ou deslocamentos”.
O GDPR prossegue afirmando que as empresas não devem tomar “decisões” sobre um indivíduo se tais decisões forem baseadas exclusivamente em processamento automatizado, incluindo criação de perfil, a menos que um de determinados critérios legais específicos seja cumprido - normalmente exigindo o “consentimento explícito” do indivíduo. No entanto, a regra só se aplica se a criação do perfil produzir “efeitos legais” em relação ao indivíduo ou “o afete de forma similar”.
A criação de perfis de dados em que as informações de identificação direta de um indivíduo foram excluídas utilizando-se pseudonimização reduzirá significativamente qualquer impacto sobre a privacidade do indivíduo, especialmente quando se considera a corroboração integral do GDPR à pseudonimização.
Em vez da divisão intencional versus não intencional, como o California Consumer Privacy Act, a aplicação do GDPR utiliza critérios diferentes que determinam a severidade das sanções. Isto inclui a natureza, gravidade e duração da infração; o caráter intencional ou negligente da infração; a(s) medida(s) tomada(s) para mitigar os danos sofridos pelos indivíduos; as medidas técnicas e organizacionais implementadas para proteger os dados pessoais; o histórico anterior de infrações; o nível de cooperação com a autoridade de controle; os tipos de dados pessoais envolvidos; a forma como a infração foi notificada à autoridade de controle; o cumprimento das normas da indústria.
As infrações menos graves podem resultar em multa de até 10 milhões de euros ou 2% do faturamento anual da empresa em todo o mundo relativo ao exercício financeiro anterior, o que for mais alto.
As infrações mais graves podem resultar em multa de até 20 milhões de euros ou 4% do faturamento anual da empresa em todo o mundo relativo ao exercício financeiro anterior, o que for mais alto.
Além das possíveis multas, o GDPR também concede às autoridades de proteção de dados poderes adicionais, incluindo direitos obrigatórios de auditoria,19 e dá aos indivíduos a possibilidade de entrarem com ações judiciais (ou ter ações judiciais movidas em seu nome por organizações de liberdades civis ou semelhantes) contra empresas que não estejam em conformidade com o GDPR.