Recursos/White Papers

Opinião

O que diz o novo Regulamento Europeu de Proteção aos Dados Pessoais

E como está o Brasil nesse assunto

Bergson Lopes *

Publicada em 21 de março de 2017 às 06h49

Até o fim de maio de 2018, todas as empresas envolvidas com a manipulação e tratamento de dados pessoais dos cidadãos da Comunidade Européia terão de cumprir novos requisitos legais, estabelecidos na regulamentação conhecida pela sigla GDPR (General Data Protection Regulation). Este regulamento foi promulgado em abril de 2016, dando às organizações um período de dois anos para estarem em compliance com os requisitos determinados no GDPR.

O regulamento muda completamente a forma como as organizações podem gerir os dados pessoais dos cidadãos europeus. Através de novos requerimentos e medidas de compliance, o GDPR afetará qualquer empresa que manipula dados dos cidadãos europeus, independentemente de a organização estar ou não estabelecida na Comunidade Europeia, portanto empresas brasileiras que manipulam ou armazenam dados pessoais dos cidadãos europeus também estão sujeitas às restrições impostas pelo GDPR.

O objetivo é reforçar o direito dos cidadãos à proteção dos seus dados e tornar os processos em torno dos dados mais simples para as empresas. Contudo, a transição das empresas para cumprir a GDPR não é tão simples assim. O novo regulamento estabelece uma série de exigências que até então, não eram consideradas no cotidiano das organizações. Entre as principais definições e exigências da GDPR podemos citar:

1 · Definição e expansão do conceito de Dado Pessoal, incluindo dados genéticos e biométricos. Para fins de entendimento, o GDPR estabeleceu como dado pessoal qualquer dado que, isolado ou associado com demais dados, seja capaz de identificar uma pessoa;

2 · Criação de Órgãos Controladores Locais para cada país membro da comunidade Europeia. Estes órgãos serão responsáveis por receber e investigar denúncias, reclamações sobre a adoção do GDPR;

3 · Nomeação de um representante da organização para responder pela gestão dos dados pessoais. Este representante poderá ser uma pessoa, um departamento ou até mesmo empresas externas. Será responsável pela implementação de medidas técnicas e organizacionais adequadas para assegurar e demonstrar que os dados pessoais, mantidos pela empresa, estão em conformidade com os requisitos da GDPR;

4 · Comunicação aos Órgãos Controladores Locais sobre qualquer violação ocorrida em dados pessoais, no prazo máximo de 72 horas. Se a violação representar riscos para o titular, o mesmo também deverá ser avisado;

5 · Estabelecimento de vários direitos aos cidadãos, tais como:

- Direito de ser excluído - Quando acionadas, as organizações deverão excluir todos os dados pessoais do solicitante;

- Direto de se opor – O indivíduo pode negar o uso dos seus dados pessoais para determinadas situações, como campanhas de marketing, por exemplo;

- Direito a retificação dos dados - O indivíduo poderá solicitar e indicar a correção e o preenchimento dos dados pessoais incompletos;

- Direito a Portabilidade – O cidadão pode solicitar a transferência dos seus dados de uma organização para outra, sem entraves ou burocracia;

- Direito a transparência – O cidadão pode solicitar informações sobre o processamento e armazenamento dos seus dados, incluindo: tempo de retenção, dados de contato do responsável pelos dados pessoais na organização, justificativa para manter o dado pessoal armazenado;

- Privacidade dos dados das crianças - Todos armazenamentos de dados pessoais de crianças com menos de 13 anos devem ter o consentimento dos responsáveis.

Conforme exposto nos requerimentos acima, percebe-se que o esforço para prover as ações necessárias para cumprir a nova regulamentação é muito grande.

Devido ao curto espaço de tempo disponível para as empresas se adaptarem ao novo regulamento, o tema tem sido encarado como prioridade na maioria das empresas na  Europa e tem demandado vários projetos. Entre as demandas mais comuns encontramos: a revisão de algumas aplicações, ajustes nas arquiteturas (dados e processos) e principalmente ações ligadas ao Gerenciamento de Dados Mestres incluindo fatores ligados à Governança e Qualidade dos Dados.

O cronômetro com a contagem regressiva já foi disparado na Europa . As empresas que não se adequarem ao GDPR estarão sujeitas ao pagamento de multas severas, além de ter a imagem abalada junto aos consumidores.

dadospessoais

E como anda o assunto no Brasil?
Independente da empresa possuir dados de cidadãos europeus armazenados nas bases de dados ou não, cada vez mais a privacidade e a proteção dos dados pessoais estarão em pauta nas agendas das empresas.

Atualmente, existe um Projeto de Lei tramitando no Legislativo, o  PL 5276-A, de 2016,  justamente para tratar do assunto.

Considerando que ainda não existe uma ampla divulgação do assunto na nossa imprensa e, aparentemente, não há uma previsão para aprovação do Projeto de Lei, acredito que seja improvável a aprovação de uma lei de proteção dos dados pessoais ainda em 2017.

Mesmo assim, tenho recomendado aos executivos da minha rede que acompanhem e iniciem os estudos para cumprirem os requisitos propostos no Projeto de Lei. Certamente, quando a lei for promulgada, teremos um limite de tempo que pode não ser adequado para a tomada das ações necessárias, principalmente se a organização não possuir uma maturidade mínima em Gestão de Dados e Segurança da Informação.

Por aqui o cronômetro com a contagem regressiva ainda não foi disparado, porém as questões ligadas a segurança e a privacidade dos dados pessoais, cada vez mais serão exigidas pela nossa sociedade.

 

(*) Bergson Lopes é vice-presidente do Capítulo Brasileiro da Data Management Association (DAMA Brasil), CEO da BLR DATA e autor do livro "Gestão e Governança de Dados".



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui