GDPR: o que é, importância e impactos para brasileiros

Você sabe o que significa GDPR? General Data Protection Regulation, ou Regulamento Geral de Proteção de Dados. Essa lei aplicável à União Europeia existe desde 2018 e é uma nova versão da Data Protection Directive, lei do continente que se mantinha em vigor desde 1995. A necessidade de uma atualização se deu devido ao crescimento …

Escrito por Equipe TOTVS
Última atualização em 02 janeiro, 2023

Você sabe o que significa GDPR? General Data Protection Regulation, ou Regulamento Geral de Proteção de Dados.

Essa lei aplicável à União Europeia existe desde 2018 e é uma nova versão da Data Protection Directive, lei do continente que se mantinha em vigor desde 1995.

A necessidade de uma atualização se deu devido ao crescimento e à evolução de empresas que pautam seus negócios na internet e que realizam troca de dados online. 

Mas o que muda com essa lei? Qual o objetivo da GDPR? Em que pilares ela se baseia e como afeta o dia a dia das pessoas e das empresas? 

Se você quer saber mais, continue a leitura e entenda!

O que é a GDPR?

A GDPR  é uma lei que tem como objetivo proteger a privacidade de informação em relação às empresas, oferecendo ao usuário maior clareza e controle dos dados pessoais retidos e tratados nos bancos das organizações.

Questões como a relação de informações dispostas na rede, armazenamento, compartilhamento, vazamento e ciberataques se tornaram algo muito frequente, o que exigia uma regulamentação mais efetiva.

Neste contexto, o regulamento entrou em vigor em 2018 para suprir as novas demandas de segurança de dados no ambiente digital.

Vale lembrar que esse regulamento geral de proteção não prioriza alguns tipos de dados mais do que outros. 

Isso quer dizer que, mesmo informações consideradas menos relevantes, como cookies de navegador, têm o mesmo peso de informações como CPF e número de telefone, por exemplo, e todos podem ser enquadrados na lei.

Agora que você já sabe o que significa GDPR, vamos à finalidade do regulamento.

Qual o objetivo da GDPR?

Nova call to action

A GDPR entrou em vigor em maio de 2018 com o objetivo de proteger os dados pessoais dos cidadãos da União Europeia. 

Para tanto, ela estabelece novos padrões para a proteção de dados, incluindo o direito dos indivíduos à privacidade, à segurança e à transparência a respeito das informações pessoais.

Em outras palavras, seu objetivo é garantir que os dados pessoais dos cidadãos da União Europeia sejam tratados de forma justa e transparente, e assegurar que as empresas que tratam esses dados cumpram as leis relativas à proteção de dados.

E, para entender melhor as bases do regulamento, é preciso conhecer sua estrutura.

Estrutura da GDPR

Na definição do regulamento europeu, dados pessoais são qualquer tipo de informação que possibilite identificar alguém, como nome, CPF, residência, número de telefone, localização etc.

Dados que não têm a capacidade de identificar imediatamente um indivíduo também se enquadram na lei, pois são entendidos como colaborativos nesse processo. 

São os chamados “dados anonimizados”, que, a partir de cruzamentos, levam à verificação de uma pessoa.

É importante lembrar que a lei foi criada e tem maior aplicação na União Europeia, mas não se aplica apenas aos cidadãos nativos. 

Empresas com atividades que envolvam produtos ou serviços que se relacionem com a UE estão sujeitos às regulamentações e sanções impostas pelas diretrizes legais.

Isso quer dizer, inclusive, que pode existir relação entre GDPR e empresas brasileiras. 

Se uma empresa de consultoria brasileira dá palestras ou vende cursos para cidadãos estabelecidos na Europa, ela seguirá as mesmas regras que um e-commerce francês, por exemplo.

Parece complexo? Não se preocupe, a seguir vamos comentar sobre os critérios que constituem o regulamento geral de proteção de dados. Confira!

Quais são as bases da GDPR?

Como já citamos, a transparência de dados é um dos principais motes da GDPR na Europa. Nesse sentido, encontra-se o consentimento do usuário e a comprovação por parte da empresa acerca da autorização das informações que possui, analisa e compartilha.

Entre os pontos principais em que a lei europeia se baseia, também podemos citar:

Governança de dados

A governança diz respeito à criação de um sistema que define com antecedência o processador e o controlador de dados. 

Ou seja, o encarregado por fazer a análise das informações coletadas e o responsável por decidir quando e o que é feito com cada dado, respectivamente.

Esse tópico está ligado diretamente à gestão de pessoas, tecnologias e políticas internas, o que acaba envolvendo manuais e códigos de conduta. 

Estes documentos devem ser divulgados e incentivados à consulta para todos os colaboradores que fazem parte da empresa.

Gestão de dados

Uma vez que a governança faz uma organização e definições prévias da forma de se trabalhar com informações pessoais, a gestão de dados foca no trabalho em si. 

É nesse momento que vemos a conformidade com a GDPR na prática, como os registros internos das atividades de tratamento.

Vale lembrar que o termo “tratamento” diz respeito a ações bem amplas dentro dos bancos de dados, como coleta, compartilhamento, classificação, acesso, reprodução, avaliação e ressignificação.

O regulamento ainda diz que negócios que possuam um total superior a 5 mil registros de dados em um período de um ano devem contar com um profissional responsável pela gestão dos dados.

Quais são as obrigações impostas pela GDPR?

Toda legislação conta com direitos e deveres, e as bases legais da GDPR seguem essa mesma lógica.

Na busca pela proteção de dados, diversos tópicos entram em ação para trazer segurança aos usuários. Vejamos alguns deles a seguir:

  • Portabilidade: o usuário tem o direito de transferir, sem limitações, seus dados pessoais de uma empresa para outra, no momento em que bem desejar;
  • Ciberataques e vazamento: as empresas são obrigadas a notificar os clientes no prazo de 72 horas após tomarem conhecimento de uma invasão ou roubo de dados;
  • Comunicação objetiva: as empresas processadoras de dados devem explanar detalhada e claramente as políticas de privacidade, de maneira que os usuários compreendam;
  • Permissão para uso de dados: no processamento de dados pessoais dos cidadãos, a empresa precisa receber uma permissão assertiva de cada indivíduo. É o chamado consentimento na GDPR;
  • Transferência de dados: os dados de cidadãos que são protegidos pela lei só podem ser transferidos para países que possuam leis semelhantes de proteção de dados pessoais na internet;
  • Direito ao esquecimento: as empresas devem deletar a informação que deixa de ser relevante para propósitos científicos, estatísticos, históricos, referentes à liberdade de expressão ou saúde pública;
  • Proteção para crianças: em uma seção especial do texto da lei, existem regras para evitar a exposição excessiva de crianças, exigindo consentimento dos pais. É mais uma manifestação do consentimento na GDPR, um de seus princípios mais relevantes.

Perceba que existem muitas obrigações previstas na lei, o que demanda dos profissionais responsáveis muitas ações para garantir o compliance em GDPR.

E, para definir as práticas, é importante conhecer os grupos envolvidos na lei.

Grupos envolvidos na GDPR

O regulamento geral de proteção impõe obrigações às empresas que coletam, processam ou armazenam dados pessoais. É o caso da obrigação de fornecer um aviso prévio sobre quaisquer violações de segurança que possam ocorrer. 

Neste exemplo, vemos os três grupos envolvidos e atingidos pelas bases legais da GDPR: autoridades, empresas e cidadãos europeus.

Autoridades

As autoridades são responsáveis por legislar sobre o tema, fiscalizar a conformidade com o regulamento europeu, receber denúncias e autuar os infratores.

Empresas

Qualquer empresa que coleta, processa ou armazena dados pessoais de cidadãos da UE, independentemente de onde essa empresa esteja localizada, deve obedecer à lei.

Para isso, devem traçar uma política de compliance para ajustar seus processos conforme o regulamento. A atuação de forma ética e transparente ajuda a evitar sanções, inclusive.

Cidadãos europeus

Os cidadãos europeus cadastram e fornecem seus dados a empresas, independentemente de onde elas estejam 

Para que as bases legais do regulamento funcionem, eles devem denunciar práticas que não estão alinhadas com a lei.

Com a definição de quem são os grupos envolvidos com o regulamento, é possível ter uma noção da importância da lei para todos eles.

Qual a importância da GDPR?

Falar em GDPR e dados pessoais é trazer à tona a transparência, o consentimento, a governança e a gestão dessas informações. 

Essas bases do regulamento apontam para a importância da lei para o usuário e para as organizações. 

Para o usuário, o regulamento geral de proteção de dados é importante para:

  • Conhecer quais são os objetivos das empresas ao solicitarem o consentimento para o uso de dados pessoais;
  • Garantir a segurança individual, considerando que a realização de atividades na internet é frequente e estão suscetíveis a ataques;
  • Garantir que os dados que fornece às plataformas online estão protegidos de eventuais usos não autorizados, o que evita utilizações para fins ilegais.

Para as organizações, que lidam diariamente com dados de stakeholders, o regulamento tem suma importância para:

  • Incentivar a automatização de processos internos para facilitar a rotina em relação ao tratamento de dados;
  • Otimizar o gerenciamento de informações dos clientes a partir de softwares e sistemas de coleta, armazenamento e integração de informações;
  • Evitar fraudes e ataques cibernéticos a partir da adoção de soluções de segurança da informação necessárias para o compliance em GDPR;
  • Executar um alto nível de compliance em relação aos dados, com diretrizes já estabelecidas pela lei, e evitar eventuais penalidades relativas a ela;
  • Garantir a sobrevivência do negócio, pois a reputação da empresa está também atrelada à forma como ela preza pela segurança das informações de seus clientes.

Quando e a quem se aplica a GDPR?

O Regulamento Geral de Proteção de Dados se aplica a cidadãos dos países que integram a União Europeia e o Espaço Econômico Europeu e às empresas que lidam com dados dessas pessoas.

Por isso, há relação entre GDPR e empresas brasileiras. Hotéis, pousadas e hostels, por exemplo, hospedam cidadãos da União Europeia e, para isso, coletam e armazenam dados desses cidadãos.

A lei será aplicada a essas empresas, portanto.

As penalidades em caso de descumprimento da GDPR

As sanções legais previstas para aqueles que descumprem o regulamento vão desde notificações a multas. Veja:

Notificação, em caso de infrações leves;

Multas de 2% sobre o valor global anual de negócios em caso de registros de dados em desacordo com a lei ou de não notificação sobre vazamento de informações;

Multa de 20 milhões de euros ou de até 4% sobre o valor do volume de negócios geral anual (o que for maior) em caso de violação dos pilares fundamentais do regulamento ou de ausência de consentimento dos consumidores quanto às operações com os dados virtuais;

Vale lembrar que as penalidades podem ser aplicadas a empresas com sede fora da União Europeia, ok? Neste caso, há dependência de procedimentos diplomáticos ou acordos de cooperação internacional. 

Qual a diferença entre LGPD e GDPR?

As principais diferenças entre GDPR e LGPD dizem respeito ao foco da aplicação das normas e à complexidade da lei. 

A LGPD foi inspirada no regulamento europeu e traz normas bastante semelhantes. No entanto, a lei europeia é mais detalhada, exigente e completa.

Outros pontos de diferença são:

  • A norma europeia se aplica a qualquer organização que trate dados pessoais de residentes da UE, independentemente do país de origem da organização, o que não acontece na LGPD;
  • O regulamento geral europeu exige que as organizações forneçam às autoridades competentes uma base legal para o tratamento de dados pessoais, enquanto a LGPD não faz essa exigência;
  • As multas previstas na norma europeia são mais altas para (até 4% do faturamento global da empresa ou € 20 milhões), enquanto a LGPD prevê multas de até 2% do faturamento global da empresa ou R$50 milhões.

Entenda a relação entre blockchain e GDPR

O blockchain é um banco de dados distribuído que cria um registro imutável de transações. Esse registro é verificado e compartilhado por uma rede de computadores, tornando praticamente impossível a sua manipulação. 

Quando implementada corretamente, a tecnologia blockchain pode ajudar as empresas na conformidade com a Lei Geral de Proteção de Dados.

Ao criar um banco de dados descentralizado de transações, o blockchain fornece uma maneira segura e transparente de armazenar e compartilhar dados. 

No entanto, há alguns paradoxos que especialistas apontam. Se o registro é imutável, como os usuários  podem excluir ou alterar seus dados? Como identificar o usuário em uma rede que trabalha anonimamente? 

Há soluções para essas contradições, como utilizar criptografia para tornar os dados inacessíveis.  Por isso, basta ter em mente que blockchain e GDPR prezam pela proteção de dados.

GDPR e o impacto para empresas brasileiras

A importância da lei europeia para empresas e usuários tem a ver com prezar pela segurança das informações, certo?

Aderir ao regulamento se tornou obrigatório para as empresas que tratam dados de cidadãos europeus, inclusive para as brasileiras.

Isso significa que elas sofrem diretamente o impacto das regras do regulamento e devem adotar ações para se adequar. Veja alguns exemplos:

  • Listar os destinatários dos dados armazenados, caso houver;
  • Disponibilizar obrigatoriamente a identidade e o contato do controller;
  • Fornecer os contatos do responsável por supervisionar a estratégia e implantar as medidas de proteção de dados;
  • Conceder ao usuário o direito de corrigir suas informações ou retirar o consentimento para o processamento dos dados;
  • Apresentar o período de tempo de armazenamento da informação ou, se não for possível, apontar o critério que determina esse espaço temporal;
  • Detalhar ao usuário as informações que serão coletadas, o modo de utilização, a finalidade do processamento e os fundamentos legais para essas ações, dentre outras.

Portanto, considerando a relação entre GDPR e empresas brasileiras, cabe a elas traçar estratégias para garantir a conformidade com a lei. 

O uso de ferramentas tecnológicas que prezam pela segurança da informação será imperativo, além de ter um encarregado de dados capacitado. 

O gestor empresarial deve se lembrar a todo o momento que cumprir a lei europeia e a LGPD é melhorar a imagem, a reputação e a competitividade da empresa. 

Afinal, os clientes preferem fornecedores que estejam atentos à política de dados focada em proteger suas informações.

Os melhores livros sobre GDPR

Para quem deseja se aprofundar em GDPR, o livro “Comentários ao GDPR”, de Renato Opice Blum, com edição de Viviane Nóbrega Maldonado, é uma ótima opção em português.

Se você domina o inglês,  há opções para estudar GDPR nos livros seguintes:

  • “EU GDPR: A Pocket Guide”, de Alan Calder;
  • “Commentary on the Eu General Data Protection Regulation: A Commentary”, de Christopher Kuner;
  • “Ultimate GDPR Practitioner Guide (2nd Edition): Demystifying Privacy & Data Protection”, de Stephen R Massey.

Os melhores cursos sobre GDPR

Gestores que desejam obter certificação em GDPR devem pesquisar cursos que abordem a particularidade desta norma.

Alguns cursos, como o da Ópice Blum Academy, fazem uma imersão em proteção de dados, abordando a norma europeia e a LGPD.

Na Udemy, marketplace de ensino, há outras muitas opções de cursos sobre ambas as normas.

Há certificação em GDPR também fora no Brasil, como na Libero Assurance, empresa portuguesa focada em certificações.

Outra possibilidade é buscar cursos de Data Protection Officer.

Seja qual for a sua escolha, o foco é aprender mais sobre a segurança no tratamento de dados em ambiente digital.

A importância da segurança no compartilhamento de dados digitais

Em tempos de transformação digital, a proteção de dados é uma das preocupações mais importantes para empresas e usuários de internet. 

Com a crescente popularidade do compartilhamento de dados digitais, é crucial que esses dados sejam protegidos contra vazamentos ou roubo. Essa é uma atitude imprescindível para atender à legislação nacional e estrangeira que trata da proteção de dados.

Felizmente, existem maneiras de garantir a segurança enquanto as informações estão sendo transferidas. 

Por exemplo, as empresas podem usar criptografia para impedir que os dados sejam lidos por pessoas não autorizadas. Além disso, elas devem ter cuidado ao escolher as soluções tecnológicas, pois algumas plataformas são mais seguras do que outras.

Essa é a proposta da solução TOTVS Assinatura Eletrônica.

Conheça o TOTVS Assinatura Eletrônica

O TOTVS Assinatura Eletrônica é uma plataforma de assinatura eletrônica de documentos online que preza pela segurança e veracidade das informações.

A ferramenta conta com alto padrão de criptografia para assegurar que as ações dos signatários tenham validade jurídica.

Com a solução da maior empresa de tecnologia do Brasil, as empresas podem minimizar o risco de vazamento ou roubo de dados digitais.

Isso porque, além da criptografia, a ferramenta realiza o armazenamento de documentos na TOTVS Cloud. É a melhor forma de garantir que as informações constantes neles sejam resguardadas de acesso indevido.

Quer saber mais sobre como a solução da TOTVS pode garantir a segurança da informação na assinatura e na guarda de documentos?

Experimente grátis por 30 dias o TOTVS Assinatura Eletrônica!

https://youtu.be/MagxtUvYvVE

Conclusão

Nesse conteúdo, falamos sobre um assunto muito pertinente às empresas modernas. Explicamos o que significa GDPR, como ela se constitui, os pilares que a reforçam e as obrigações das empresas nesse processo.

A TOTVS é uma empresa 100% brasileira e que sabe da importância de ter rotinas alinhadas à legislação, além de estar sempre buscando inovação e desenvolvimento.

Se você gostou do artigo, provavelmente deve ter se lembrado do Marco Civil da Internet e da Lei Geral de Proteção de Dados. 

Conheça mais sobre a LGPD e seus objetivos!

Lembre-se de continuar acompanhando nosso blog e assinar a newsletter para receber conteúdos diretamente em seu e-mail e ficar por dentro de todas as novidades do mercado.

Artigos Relacionados

Deixe aqui seu comentário

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *


Usamos cookies para fornecer os recursos e serviços oferecidos em nosso site para melhorar a experência do usuário. Ao continuar navegando neste site, você concorda com o uso destes cookies. Leia nossa Política de Cookies para saber mais.