In Sem categoria

A preocupação com a privacidade dos dados pessoais na era da internet cresce a cada dia entre os usuários da rede. Saber como implementar as regulamentações da GDPR (General Data Protection Regulation, na tradução literal, Regulamentação Geral de Proteção de Dados) é essencial para a sua empresa na era digital.

A GDPR, que entrou em vigor em 25 de maio de 2018, foi criada pela União Europeia (UE) a fim de proteger os dados pessoais dos habitantes desse bloco econômico e político. Portanto, se a sua empresa não está dentro da UE, mas possui acesso, coleta ou trata dados de cidadãos europeus em seus registros, ela precisa se adequar às novas regras.

As multas que serão aplicadas para as empresas que não cumprirem a nova regulamentação são pesadas, podendo chegar a 4% da renda anual global da empresa, ou 20 € milhões de euros, prevalecendo o valor mais alto.

Quais os passos para implementar as regulamentações da GDPR?

A primeira coisa que a empresa precisa ter em mente é que, a partir da entrada em vigor da GDPR, a responsabilidade em proteger os dados pessoais dos titulares é de responsabilidade de quem coleta, armazena ou trata, de qualquer forma esses dados. Em síntese, quem possui acesso aos dados pessoais de um usuário deverá se responsabilizar pela segurança, proteção e privacidade desses dados.

Além disso, somente o titular dos dados é capaz de autorizar que eles sejam utilizados e para quais finalidades, por isso é tão importante a obtenção do aceite do usuário.

É importante que todos os funcionários da empresa se envolvam com o processo de adequação às normas. Muitos setores precisam ser totalmente reformulados e muitos processos revistos. A seguir, alguns passos para auxiliar na transição.

Tenha um Comitê de Segurança da Informação

O DPO (Data Protection Officer, ou Comitê de Segurança da Informação) passa a ser obrigatório em empresas que necessitem gerenciar dados pessoais, seja ela pública ou privada. Ele será responsável por garantir que as novas regras sejam seguidas, além de realizar auditorias frequentes nos processos estipulados pela empresa, apontando falhas no sistema e propondo melhorias.

É importante que esse comitê seja formado por pessoas de diferentes áreas da empresa. Essa formação trará uma visão global de todos os procedimentos da empresa que envolvem a manipulação de dados pessoais.

Caberá ao comitê auxiliar na implementação da regulamentação da GDPR tendo um encarregado, que será o principal responsável e desempenhará papel relevante durante a transição.

Faça uma avaliação do sistema atual

Durante essa etapa, é importante que o DPO avalie quais são os dados pessoais que a empresa detém, incluindo informações genéticas, biométricas e de saúde. É importante realizar essa avaliação prévia para ser possível avaliar, inclusive, se são coletados dados desnecessários e/ou excessivos às finalidades da empresa.

Após a identificação dos dados, caberá ao DPO o mapeamento de todo o processo de gerenciamento de dados, tais como: coleta, organização, recuperação, consulta, utilização, divulgação e destruição.

O comitê deverá avaliar se existem falhas e lacunas no sistema atual, de modo que elas devem ser apontadas.

Caberá à empresa detentora dos dados proteger as informações pessoais de seus usuários.

Defina um plano de ação

Após tomar conhecimento do funcionamento do sistema atual, a empresa deverá avaliar quais são os procedimentos que devem sofrer alterações para que a implementação da regulamentação da GDPR ocorra.

Todos os procedimentos que necessitarem de mudança deverão ser modificados. Tenha um planejamento para realizar as adequações, para que nenhum ponto fique de fora da atualização, e um controle de todas as alterações que já foram realizadas.

Estabeleça políticas internas e tenha procedimentos claros

É essencial que a empresa possua um Sistema de Segurança da Informação, estabelecendo medidas para controle e gestão dos dados pessoais internamente. Essas barreiras podem ser:

  • físicas (como controle de acesso a determinadas áreas da empresa);
  • organizacionais (com estabelecimento de políticas e códigos de conduta);
  • técnicas (como a utilização de softwares que codifiquem as informações dos titulares).

A empresa deverá revisar os seus procedimentos com os colaboradores e empresas parceiras, elaborando e atualizando termos de sigilosidade além de implementar normas de conduta internas.

Faça uma revisão da política de privacidade

Um dos pontos cruciais da regulamentação é o consentimento da coleta e utilização dos dados pelos seus titulares. A política de privacidade precisa ser redigida de forma clara, concisa e transparente, para que o usuário entenda todos os pontos abordados.

A política de privacidade deverá ser revisada, para garantir que ela contenha todas as informações necessárias para que o titular tome conhecimento e decida se concorda ou não com a coleta e utilização das suas informações.

É necessário que ela mencione também como o usuário deverá proceder em caso de transferência (portabilidade) e exclusão de seus dados dos registros da empresas.

Comunicação de vazamentos de informações

Caso ocorra o vazamento de informações pessoais de titulares, a empresa tem a obrigação de reportar o incidente em até 72 horas após o ocorrido. A empresa deverá comunicar a CNPD (Comissão Nacional de Proteção de Dados).

Portanto, ao criar o plano de ação, a empresa precisa ter ciência dessa obrigação e estar preparada caso seja necessário realizar esse comunicado.

Concepção de novos projetos

Todos os novos projetos que incluam a coleta de dados de titulares devem ter as normas do GDPR incluídas desde a sua concepção. Garantindo a privacidade e a sigilosidade dos dados desde o início.

Busque empresas especializadas

Pode ser que mesmo após seguir todos os passos acima, a empresa ainda tenha dúvidas sobre como regulamentar e implementar os novos procedimentos ou mesmo queira se certificar de que todas as exigências foram seguidas.

Nesses casos, é recomendado consultar empresas especializadas no tema, que possam fazer uma análise completa de todas as informações sobre os procedimentos coletadas pelo DPO.

Se você quer saber mais sobre a regulamentação GDPR, continue acompanhando o nosso site, pois temos outros artigos que podem ser de seu interesse.

“Se quiser saber mais sobre este tema, contate o Dr. Cesar Peduti Filho.”

“If you want to learn more about this topic, contact the Dr. Cesar Peduti Filho.”

 

Recent Posts

Leave a Comment

Contact Us

We're not around right now. But you can send us an email and we'll get back to you, asap.

Not readable? Change text. captcha txt