Os impactos causados pela GDPR são muito maiores do que lotar a sua caixa de e-mails com atualizações das políticas de privacidade ou comunicados sobre proteção de dados vindos de todas as empresas com as quais você já interagiu. Apesar da legislação ter sido criada na UE, ao entrar em vigor ela afeta todas as empresas que detêm dados de seus residentes, em qualquer lugar do mundo.
Por adotar essa regra de extraterritorialidade, afetando também organizações fora da União Europeia, se a sua empresa lida com dados que, sozinhos ou combinados com outras informações possam ser utilizados para identificar um indivíduo, ela é afetada pela GDPR. Alguns exemplos de dados: nome, endereço, contatos pessoais, IP, dados de comportamento na web, informações financeiras, etc.
Para continuar exercendo suas atividades de forma legal e evitar a multa de até 20 milhões de euros ou 4% da renda anual (o que for maior), sua empresa precisa cumprir alguns requisitos básicos. Veja se a sua empresa atende às 4 (quatro) etapas deste checklist: documentação, responsabilidade e governança, direitos dos indivíduos e segurança de dados.
Deve ser avaliados dois pontos: se a empresa realizou uma auditoria de informação para mapeamento do fluxo de dados e se existe a documentação dos dados pessoais que a empresa possui, de onde vem, com quem se partilha e o que se faz com tais dados. O primeiro ponto serve para identificar risco na transferência de dados, e o segundo para que a empresa se adeque ao princípio da responsabilidade da GDPR, e demonstre ter procedimentos efetivos e orientações para funcionários.
A segunda etapa é mais longa, envolve a criação de uma política de proteção de dados, a nomeação de um responsável pela proteção de dados ou designação de um setor especial para isso (Data Protection Office), uma gestão responsável de dados, treinamento de funcionários, autorização dos controladores de dados, a representação da empresa na Europa, processos efetivos para lidar com violação de dados, etc.
Já a terceira etapa, relacionada aos direitos dos indivíduos visa saber se a empresa está adequada aos direitos previstos na GDPR como: o do acesso, a portabilidade dos dados, de restringir o processamento, a correção, ao esquecimento, a contestar etc.
Por último, a quarta etapa requer a criação de uma Política de Segurança em relação aos dados utilizados pela empresa, estando de acordo com as medidas de segurança previstas na GDPR. Todas essas etapas e suas especificações podem ser consultadas no link: https://ico.org.uk/fororganisations/resources-and-support/data-protection-self-assessment/dataprocessors/.
A GDPR ainda traz diretrizes sobre como a empresa apresenta as suas informações acerca do seu processamento e finalidade de uso dos dados. As informações precisam ser concisas, transparentes, inteligíveis e de fácil acesso. Outro ponto importante é que a empresa precisa estar preparada para disponibilizar prontamente os dados armazenados ou deletá-los, caso o usuário solicite.
Além disso, é necessário que a escrita seja evidente, simples, clara e em fonte legível, principalmente se o público-alvo for infantil e que tais informações sejam livres de cobrança – isso significa que o consentimento para utilização dos dados deve ser explícito e inequívoco, não deixando margem para qualquer dúvida.
Se você ainda não incluiu em seu site alertas sobre cookies e não realizou as devidas alterações em seus contratos, políticas de privacidade e termos de uso para que se adequem à GDPR, tome estas medidas com urgência.
A ITB está totalmente em conformidade com a GDPR pois fornecemos somente dados de pessoas jurídicas ou dados de pessoas físicas (apenas de nacionalidade brasileira) advindos de fontes públicas ou revendedores autorizados e GDPR compliant.