O Regulamento Geral de Proteção de Dados (na sigla em inglês GDPR – General Data Protection Regulation) é um regulamento da União Europeia (UE – 2016/679) que entrou em vigor em 25 de maio de 2018. Este Regulamento fortalece o atual quadro de proteção de dados da UE, o Regulamento Geral de Proteção de Dados (GDPR) substitui a Diretiva de Proteção de Dados de 1995.

O GDPR estabelece as regras de como os dados pessoais devem ser coletados, processados e armazenados por organizações que operam na UE. Também estabelece novos direitos para os indivíduos no que diz respeito aos seus dados pessoais. Finalmente, cria mecanismos de execução para assegurar que os controladores de dados cumpram com a GDPR.

A GDPR aplica-se a qualquer organização que processe os dados pessoais de indivíduos na UE, independentemente de a organização estar sediada dentro ou fora da UE, ou que preste serviços, ou esteja em capacidade de prestá-los aos cidadãos europeus.

As organizações que processam os dados pessoais dos cidadãos da UE devem cumprir com o GDPR, e possam demonstrar que preenchem certas condições.

A GDPR exige que as organizações obtenham o consentimento explícito dos indivíduos antes de coletar, usar ou compartilhar os seus dados pessoais. As organizações também devem fornecer aos indivíduos informações claras e concisas sobre seus direitos sob a GDPR e assegurar que os indivíduos possam facilmente exercer seus direitos.

Sob a GDPR, as organizações devem tomar medidas para proteger os dados pessoais que coletam e processam contra perda acidental ou não autorizada, destruição ou dano. Devem também estabelecer procedimentos para assegurar que os dados pessoais sejam controlados com qualidade, para que sejam precisos e atualizados.

Também o GDPR exige que as organizações informem qualquer incidentes de dados – tais como violações de dados – à autoridade supervisora e, em alguns casos, aos indivíduos afetados.

O GDPR impõe multas significativas às organizações que violam suas disposições, incluindo até 4% da receita anual global de uma organização ou 20 milhões de euros (o que for maior), como sanções aos não cumprimentos.

A GDPR também dá aos indivíduos o direito de apresentar queixa à autoridade fiscalizadora se acreditarem que seus direitos foram violados.

O cumprimento do GDPR não é opcional, vem a caracterizar o direito de proteção aos dados pessoais como sendo um direito fundamental ao cidadão, neste sentido, diversas legislações internacionais seguiram a sua perspectiva, e vem orientando as demais legislações em termos de proteção de dados pessoais.

O regulamento causou uma mudança significativa na maneira como as companhias lidam com os dados, principalmente devido às elevadas multas que podem ser impostas em caso de não cumprimento.

É importante observar que, mesmo que sua companhia não esteja sediada na Europa, se a organização processar os dados de indivíduos residentes nessa região, o GDPR será aplicado.

Não vale a pensa segmentar os seus clientes, excluindo os europeus das suas bases de dados, pois isso só vai criar novos problemas, além de ser ilegal.

Se você ainda não tem certeza se o GDPR se aplica à sua companhia, sugerimos que procure aconselhamento especializado, e treine os seus colaboradores, principalmente sobre os aspectos que podem gerar sanções à sua organização. Estes aspectos incluem:

1. Tipologia do dado a tratar, Os dados podem ser sensíveis ou não, e deve ser tratado de acordo com suas características;
2. A maneira como será obtido o consentimento do titular de dados, é importante que isso seja feito de maneira clara e concisa, a fim de que não haja mal-entendidos sobre o uso que será dado aos dados;
3. O registo dos tratamentos, que deve conter informações sobre os fins para os quais os dados serão usados, o tempo durante o qual eles serão mantidos e quem terá acesso a estes;
4. Por quanto tempo os dados pessoais serão armazenados pela sua companhia. É importante ter uma política de retenção de dados, a fim de apagar os dados quando eles não forem mais necessários para os fins para os quais foram coletados ou quando a pessoa interessada os solicitar;
5. As medidas de segurança adotadas pela empresa, o que deve incluir o a captura, armazenamento, criptografia, controles de acesso, formas de destruição, bem como planos de recuperação de desastres;
6. A maneira pela qual os incidentes de dados serão relatados, a fim de cumprir com as exigências de notificação da GDPR no caso de uma violação de dados.

É importante ter todos esses aspectos bem definidos dentro de sua companhia, para que todos saibam quais são suas responsabilidades e como agir em caso de qualquer dúvida.

A fim de cumprir com a GDPR, sua empresa precisará tomar várias medidas, inclusive:

1) Nomear um encarregado da proteção de dados (DPO): Dependendo da dimensão e complexidade de sua organização, você talvez precise nomear um encarregado da proteção de dados. O DPO é responsável por supervisionar o cumprimento da GDPR e deve ter conhecimento especializado da lei de proteção de dados e práticas.

2) Realizar um inventário de dados: Para cumprir a GDPR, você precisa saber que dados pessoais possui, de onde eles vieram, como se realiza o tratamento, quem tem acesso a eles. A realização de um inventário de dados irá ajudá-lo a compreender melhor seu panorama de dados e a identificar quaisquer áreas em que possa precisar fazer mudanças.

3) Rever suas políticas e procedimentos: Uma vez que você tenha uma boa compreensão dos dados pessoais tratados na sua organização (incluindo os trabalhadores), precisará rever suas políticas e procedimentos para assegurar que eles estejam de acordo com a GDPR. Isso inclui assegurar que exista uma base legal para processar dados pessoais, implementar medidas de segurança para proteger os dados pessoais, e colocar em prática processos para lidar com pedidos de acesso a assuntos.