quero falar com um especialista

Artigos

Poucos minutos todos os dias para manter você atualizado sobre o que acontece na segurança cibernética de todo o mundo.

Como as empresas brasileiras podem se adaptar à gdpr?

Você já ouviu falar em leis referentes à proteção de dados? Existe um movimento global em torno do assunto, do qual o Brasil agora também faz parte com sua Lei Geral de Proteção de Dados (13.709).

Nosso foco de hoje é a GDPR, General Data Protection Regulation. Trata-se da legislação europeia referente à proteção de dados, em vigor desde maio de 2018. Ela sugere que as empresas brasileiras devem agir para estarem de acordo com as novas exigências estabelecidas por essa legislação no que diz respeito à proteção e tratamento de dados.

Para isso, vamos primeiro falar um pouco mais sobre essa lei em si e todo o processo envolvido em sua criação. Em seguida, listaremos os principais pontos de mudança para as empresas brasileiras que desejam atuar na Europa com a coleta e processamento de dados. Boa leitura!

O QUE É GDPR

O acordo selado no Parlamento Europeu em 2016 — podendo ser traduzido como Regulamento Geral de Proteção de Dados — é uma regulamentação específica que visa garantir o tratamento adequado de dados de cidadãos da União Europeia por qualquer empresa que desejar atuar no bloco econômico.

O prazo máximo para adequação foi dia 25 de maio de 2018, sendo que as organizações que já estavam presentes nos países da UE tiveram cerca de 2 anos para alterar seus processos de coleta e análise de dados.

Segundo o documento, as empresas que não se adequaram, ou adentraram o mercado após esse prazo sem a observância de suas diretrizes, estão sujeitas a pesadas multas e penalidades rígidas emitidas pelos órgãos regulatórios do bloco econômico.

Todos os requisitos descritos na GDPR se aplicam a todos os estados-membro da UE, com o objetivo de criar uma rede de proteção consistente aos dados pessoais dos cidadãos europeus e evitar o uso indiscriminado dessas informações por parte das empresas.

Entre os principais pontos a serem observados na legislação europeia, podemos destacar:
• exigir da parte interessada, dono da informação, que obtenha do indivíduo seu consentimento expresso para o uso e processamento de seus dados;
• fornecer notificações claras e em tempo determinado sobre qualquer violação ou perda de informações pertencentes ao usuário;
• usar o processo de anonimização dos dados coletados para garantir a privacidade dos envolvidos;
• garantir a portabilidade segura dos dados sob custódia, ou seja, que estão sob cuidado da empresa, ao realizar a transferência de informações entre fronteiras, utilizando-se do máximo de cuidado possível e observando subsequentes legislações;
• determinar e nomear um profissional interno para agir como oficial de proteção de dados, supervisionando a aplicação da GDPR e apoiando os órgãos de fiscalização.

Podemos entender a GDPR como um conjunto de padrões de referência para garantir que as empresas lidem de forma segura com os dados relativos a cidadãos europeus, salvaguardando as informações da melhor maneira possível durante o processamento e uso e garantindo o anonimato e privacidade dos usuários.

O QUE MUDA PARA AS EMPRESAS BRASILEIRAS

O primeiro ponto a ser observado é que as exigências realizadas pela GDPR não se direcionam apenas para empresas europeias, mas para qualquer organização que processe dados de cidadãos do bloco econômico.

Sendo assim, qualquer empresa brasileira que atue na UE ou pretenda iniciar suas atividades no velho continente terá de alcançar a conformidade esperada com a nova legislação, adequando-se a todas as exigências da GDPR.

Ou seja, é preciso que as empresas brasileiras que se encontram nessas condições invistam em tecnologia e knowhow de processos para estarem de acordo com o que é exigido pela Europa em termos de tratamento de dados.

O primeiro passo é estabelecer um responsável pela segurança da informação, sendo que a maioria das empresas hoje já possui alguns processos internos voltados à proteção de dados. O ideal é dar um passo de cada vez em direção à conformidade, sem realizar investimentos não bem dimensionados.

Pode-se buscar apoio de prestadores de serviço em segurança da informação para garantir a adequação, não apenas à GDPR, mas também a outras legislações e padrões de proteção, que cada vez mais são necessários.

Dessa forma, fica mais simples verificar quais são os principais pontos de vulnerabilidade a serem tratados e criar um plano de ação eficaz para buscar a conformidade em todos os aspectos com a GDPR e em outros padrões aceitos no mercado.

COMO EVITAR PUNIÇÕES

A GDPR traz em seu texto multas pesadas para as empresas que não realizarem as alterações necessárias ou não se adequarem ao texto da lei. Segundo a legislação, as sanções podem chegar a 20 milhões de euros ou 4% da arrecadação total da empresa.

Com multas tão grandes, é normal que muitas organizações estejam receosas com relação ao cumprimento de todas as exigências da GDPR e buscando se adequar de todas as formas ao texto da nova lei.

A falta de conformidade pode dificultar a atuação das organizações. Num vazamento de dados, por exemplo, as companhias podem ter dificuldades de administrar o evento. Além disso, elas têm que lidar com multas geradas, podendo resultar, inclusive, num impacto direto sobre a imagem da empresa, algo muito pior do que uma sanção — o que pode levar à perda de negócios e mercado.

Quando falamos sobre organizações brasileiras que atuam na União Europeia, é preciso saber se realmente é necessário se adequar à nova legislação ou não. Para isso, pode-se observar alguns pontos em questão:
• identificar o enquadramento da empresa nas hipóteses listadas no Regulamento Geral de Proteção de Dados;
• analisar como são realizados, atualmente, a coleta, o processamento e o armazenamento de dados pessoais pela sua empresa;
• estudar a fundo todo o texto da lei para verificar quais são os pontos já atendidos e quais devem ser aplicados dentro da organização para a total conformidade;
• verificar a necessidade da contratação de um encarregado geral da proteção de dados junto ao órgão fiscalizador estrangeiro.

Quem supervisiona todos os aspectos são as ASs, Autoridades de Supervisão, responsáveis por verificar a conformidade das atividades da empresa com o texto da GDPR. Além disso, algumas das principais sanções partem delas. São de sua responsabilidade:
• emitir advertências;
• realizar auditorias;
• exigir melhorias a serem apresentadas em um prazo específico;
• determinar a não transferência de dados de cidadãos europeus para outro país.

Chegamos ao final de nosso post e esperamos que você possa ter compreendido melhor como funciona a GDPR e quais as principais demandas na proteção de dados para se adequar a mais essa legislação.
A Aon conta com profissionais experientes em segurança da informação e pode ajudar você a criar estratégias de conformidade para a sua empresa. Fale com um dos nossos especialistas e saiba como se proteger!

Anteriores

Fale com a Aon

Nossos especialistas estão prontos para ouvi-los e conversar sobre os Riscos Cibernéticos
e as possíveis soluções que o mercado de seguros pode oferecer.

A Aon e outras empresas do grupo usarão suas informações pessoais para contatá-lo eventualmente sobre produtos, serviços e eventos que acreditamos ser de seu interesse. Toda informação coletada é usada de acordo com nossa Política de Privacidade.

Ao preencher os dados, você autoriza expressamente a Aon a coletar, usar, armazenar, transferir e processar seus dados pessoais conforme previsto em tal Política de Privacidade. Por favor assinale este campo caso NÃO deseje receber estes comunicados.