Um guia para GDPR: o regulamento geral de proteção de dados

Publicados: 2021-03-09

O Regulamento Geral de Proteção de Dados (GDPR) foi aprovado em maio de 2018 na tentativa de proteger os cidadãos de violações de dados devido a negligência ou maus atores. A regulamentação europeia é uma das muitas que estão tentando tornar os ambientes digitais mais seguros para os consumidores: CCPA na Califórnia, LGPD no Brasil, PIPL na China, PIPEDA no Canadá.

O GDPR é uma resposta à crescente preocupação pública na Europa sobre privacidade de dados. A União Europeia usou o regulamento para salvaguardar a proteção de dados na UE e nos Espaços Econômicos Europeus com aplicação rigorosa das regras, poderes de investigação e multas substanciais por não conformidade ou no caso de violações de dados.

O GDPR oferece proteção de dados aos consumidores, incluindo:

  1. O direito de ser informado
  2. O direito de acesso
  3. O direito de retificação
  4. O direito de apagar
  5. O direito de restringir o processamento
  6. O direito à portabilidade de dados
  7. O direito de oposição
  8. Direitos em relação à tomada de decisão automatizada e criação de perfil

Quem precisa se preocupar com a conformidade com GDPR

Escusado será dizer que, se você é uma empresa europeia ou uma empresa que faz negócios na Europa, precisa estar ciente dos requisitos do GDPR.

As empresas nos Estados Unidos também devem prestar atenção ao GDPR porque, embora o regulamento seja específico da Europa, afeta empresas fora da UE e do EEE que também lidam com dados de consumidores europeus. A economia global não está isolada e há muito transbordamento; você deve verificar os fornecedores com os quais trabalha para certificar-se de que eles atendem aos requisitos de conformidade para evitar qualquer responsabilidade.

Se você é uma empresa de comércio eletrônico, você, como comerciante, é o controlador de dados responsável pelos dados de seus consumidores. Escolher os parceiros certos para trabalhar será parte de como você alcançará a conformidade total. Por exemplo, Shopify tem muitos recursos relacionados ao GDPR para ajudá-lo a entender suas obrigações e demonstrar sua própria conformidade.

Os consumidores dos EUA também devem ter interesse no GDPR, pois isso pode beneficiá-los sem que eles saibam. O GDPR garante proteções não apenas para cidadãos europeus, mas também para quaisquer consumidores cujos dados sejam traficados na Europa, como aqueles que visitam em férias ou negócios. Também deve servir como um lembrete de que tipo de dados é e não é protegido nos Estados Unidos.

Atitudes do consumidor em relação à proteção de dados

O Relatório de Privacidade e Segurança de Dados da RSA pesquisou mais de 7.500 consumidores na França, Alemanha, Itália, Reino Unido e Estados Unidos sobre “o impacto que a privacidade, os dados e as regulamentações têm em seus relacionamentos com as empresas”.

Ele mostrou uma desconfiança dos profissionais de marketing on-line e medo de hackers, pois “mais de 40% dos entrevistados admitiram falsificar informações e dados pessoais ao se inscrever em produtos e serviços on-line” para evitar ser comercializado ou perder dados confidenciais.

80% dos entrevistados listaram informações financeiras e bancárias como uma preocupação por ter dados expostos em uma violação de dados, além de estarem preocupados com suas senhas (76%) e informações de identidade como passaportes e carteiras de motorista (72%).

Outros dados demográficos interessantes incluem que 51% dos entrevistados alemães são protetores sobre seus dados genéticos e 51% dos millennials mais jovens (de 18 a 24 anos) estão preocupados com informações pessoais sendo usadas para chantagem.

É imperativo construir um espaço online em que os consumidores possam confiar, mas também há um incentivo para que as empresas melhorem suas práticas de segurança de dados: 82% dos entrevistados do Reino Unido afirmaram que boicotariam uma empresa que demonstrasse continuamente que não respeitava proteger os dados do cliente.

Embora a ameaça de boicote possa não ser um incentivo suficiente para as empresas se autorregularem, as nações europeias desenvolveram uma estrutura regulatória substancial e progressiva que obriga as empresas a levar a sério a questão da segurança de dados, e não têm medo de cobrar impostos multas enormes para demonstrar a gravidade do problema.

Que tipo de dados pessoais são protegidos pelo GDPR

Como parte dos amplos regulamentos de conformidade do GDPR, as empresas devem proteger os dados do consumidor, incluindo:

  • Informações de identificação pessoal (PII), como nome, endereço e números de identificação.
  • Dados da Web, como endereços IP, dados de cookies e etiquetas RFID.
  • Saúde e dados genéticos.
  • Opiniões políticas.
  • Orientação sexual.

Os benefícios do GDPR

O GDPR é completo e progressivo. As altas multas impostas podem ter incomodado o Google, mas são um meio para um fim – um fim que é um ambiente digital mais seguro que protege os consumidores e responsabiliza as empresas por projetar sistemas melhores. O CEO da Apple, Tim Cook, disse que “deveria ser a lei em todo o mundo” e que os governos deveriam defender a privacidade dos dados do consumidor.

Embora o GDPR possa não se aplicar a todas as empresas norte-americanas, ser um dos primeiros a adotar práticas de segurança de dados é benéfico para seus negócios. Michael Fimin, escrevendo na revista Forbes, reconhece cinco benefícios para a conformidade com o GDPR.

1. Segurança cibernética aprimorada

O GDPR “exige que as organizações identifiquem sua estratégia de segurança e adotem medidas administrativas e técnicas adequadas para proteger os dados pessoais dos cidadãos da UE”. Colocar essas práticas em prática protege seus dados e melhora sua segurança cibernética.

2. Gerenciamento de dados aprimorado

Ao revisar sua coleta e armazenamento de dados, “livre-se de arquivos redundantes, obsoletos e triviais (ROT) que sua organização retém” e torne seus dados pesquisáveis. Seus funcionários serão mais eficientes se seus sistemas forem enxutos, indexáveis ​​e pesquisáveis.

3. Aumento do ROI com leads mais qualificados

Quando você altera sua política de cookies para uma que os usuários precisam aceitar, você pode ter um pool de dados menor, mas como todos nesse pool teriam que tomar uma decisão ativa para permitir que você use seus dados, eles devem ser considerado mais qualificado.

4. Confiança do Consumidor

Os consumidores estão preocupados com a forma como os seus dados estão a ser recolhidos, utilizados e expostos a riscos online. Ir além dos requisitos americanos para proteger os dados de seus clientes de acordo com o padrão GDPR destaca o quanto você valoriza seus dados pessoais e o quão seriamente você leva a ameaça de violações de dados.

5. Diferenciação de mercado

Ser um early adopter tem muitos benefícios. Você pode passar por muitas iterações de práticas de segurança de dados para aperfeiçoar seus sistemas antes que um adotante tardio entre nesse espaço, você antecipa os requisitos de quaisquer regulamentos futuros e pode alcançar a conformidade antes que seja obrigatório ou exequível, e isso lhe dará diferenciação de mercado em um mar dos concorrentes que ainda não avançaram na segurança dos dados. Como a Fimin coloca, a conformidade com o GDPR é sua oportunidade de “implementar uma nova cultura de negócios que valoriza a privacidade humana. O GDPR é sua oportunidade de se destacar.”

Desvantagens do GDPR

Uma preocupação com regulamentações tão pesadas é que o custo de conformidade pode ser uma barreira à entrada de novas empresas no espaço digital, que foi pensado como um ambiente que recompensa o risco, a inovação e a disrupção de novas empresas. As empresas de escala rápida podem ser menos competitivas em relação aos concorrentes maiores que já existem no mercado.

Para empresas maiores, ou empresas que lidam com grandes volumes de dados pessoais, existem os custos associados à contratação ou promoção de um Encarregado de Proteção de Dados encarregado de proteger os dados e cumprir as autoridades europeias. As multas podem ser pesadas e dissuasivas, mas também são os custos associados à conformidade. A sobrecarga adicional pode ser uma sentença de morte para as PMEs.

A conformidade é algo que precisa ser gerenciado ativamente. As empresas menores podem não conseguir acompanhar a conformidade na mesma capacidade que as empresas maiores. Isso preserva a vantagem competitiva que essas empresas maiores já possuem.

As limitações de como as empresas podem coletar, armazenar e usar dados afetarão o lado técnico da publicidade em que muitas PMEs dependem. Sem a percepção de dados de qualidade para fins de marketing, as empresas têm dificuldade em alcançar seus públicos-alvo e os consumidores podem receber anúncios menos relevantes. Uma boa propaganda beneficia tanto o consumidor quanto o anunciante quando os produtos certos são colocados diante dos olhos certos.

Outra crítica ao GDPR é que ele foi longe demais e que o excesso de regulamentação levará a um estado constante de pedidos de consentimento online dos consumidores. Ou os usuários serão recebidos com banners de cookies constantes ou as empresas não coletarão dados confidenciais em primeiro lugar, usando análises de dados alternativas para obter conformidade sem nenhuma solicitação de aceitação feita aos visitantes do site.

Como alcançar a conformidade com o GDPR

A privacidade de dados é uma questão global e o GDPR afeta qualquer empresa que lide com dados residentes na UE. Se o seu site coletar dados do usuário com um software de análise, este regulamento afetará você e você terá que mudar de coleta de dados opt-out para opt-in.

Audite os dados que você está coletando.

Entenda que tipo de dados você processa, como eles são armazenados e quem em sua organização tem acesso a eles. Monitore seus fornecedores que coletam dados de seu site e verifique suas declarações sobre conformidade com o GDPR.

Aborde a privacidade em todos os níveis.

Não preste atenção apenas em como os sistemas são projetados ou como as informações são armazenadas, mas também em quem tem acesso local às contas.

Adote uma abordagem baseada em risco.

A conformidade de segurança de dados requer colaboração; coletar insights e contribuições de todos em sua organização. Ao se reunir para identificar seus maiores riscos e priorizar suas correções, você pode reconhecer efetivamente seus riscos e alcançar a conformidade.

Controle de dados

Os consumidores europeus têm agora direitos alargados sobre a forma como os seus dados pessoais são recolhidos e utilizados, mas também têm o direito à "portabilidade dos dados", o que significa que podem solicitar uma cópia dos dados pessoais detidos sobre si ou solicitar que ser retificado ou suprimido.

As empresas que investem pesadamente no espaço digital e trafegam dados pessoais em qualquer nível terão que desenvolver práticas e tecnologias que lhes permitam se adequar facilmente aos regulamentos.

  • Monitore e proteja continuamente os ativos digitais.
  • Implemente controles adequados para proteger os dados contra violações.
  • Disponibilize os dados aos titulares dos dados dentro de um 'tempo razoável'.

O que acontece se você não cumprir: penalidades GDPR

As penalidades de alto perfil para o GDPR foram vastas. No primeiro ano da nova regra, o Google recebeu uma multa de € 50 milhões. A Intersoft Consulting escreve sobre as multas do GDPR que elas são projetadas para serem “eficazes, proporcionais e dissuasivas para cada caso individual”.

O regulamento foi escrito com uma estrutura de multa em dois níveis para penalizar as empresas:

As infrações menores estão “sujeitas a multas administrativas de até € 10 milhões ou, no caso de uma empresa, até 2% do faturamento anual total mundial do exercício anterior, o que for maior”.

As infrações graves estão “sujeitas a multas administrativas de até € 20 milhões, ou no caso de uma empresa, até 4% do faturamento anual total mundial do exercício anterior, o que for maior”.

As penalidades podem ser decididas levando em consideração:

  • a natureza, gravidade e duração da infração, tendo em conta a natureza, âmbito ou finalidade do tratamento em causa, bem como o número de titulares de dados afetados e o nível de danos sofridos por eles.
  • o caráter intencional ou negligente da infração.
  • qualquer ação tomada pelo controlador ou processador para mitigar os danos sofridos pelos titulares dos dados.
  • o grau de responsabilidade do controlador ou processador levando em consideração as medidas técnicas e organizacionais implementadas por eles.
  • quaisquer infrações anteriores relevantes pelo controlador ou processador.
  • o grau de cooperação com a autoridade supervisora, a fim de remediar a infração e mitigar os possíveis efeitos adversos da infração.
  • as categorias de dados pessoais afetadas pela infração.
  • a maneira pela qual a infração se tornou conhecida da autoridade supervisora, em particular se, e em caso afirmativo, em que medida, o controlador ou processador notificou a infração.
  • se as medidas referidas no artigo 58.º, n.º 2, tiverem sido previamente ordenadas contra o responsável pelo tratamento ou subcontratante em causa relativamente ao mesmo objeto, o cumprimento dessas medidas.
  • adesão a códigos de conduta aprovados nos termos do artigo 40.º ou mecanismos de certificação aprovados nos termos do artigo 42.º.
  • qualquer outro agravante ou atenuante aplicável às circunstâncias do caso, tais como benefícios financeiros obtidos ou perdas evitadas, direta ou indiretamente, com a infração.

Quais são as multas médias por violações do GDPR?

O GDPR tornou-se lei em maio de 2018 e, somente no restante desse ano, foram emitidas 91 multas no total de € 55.955.871. Na maioria das vezes, são as multas de grande valor de alto perfil que recebem a maior parte da atenção, mas nem todas as multas do GDPR são publicadas ou ganham manchetes. Quando você remove a multa de € 50 milhões entregue ao Google dos dados, a multa média do GDPR que uma empresa enfrentou foi de aproximadamente € 66.000.

A Autoridade Holandesa de Proteção de Dados (DPA) publicou suas diretrizes para penalizar infrações em março de 2019. Eles desenvolveram um sistema de penalidades escalonado com quatro categorias, dependendo da gravidade da infração.

A Categoria I se aplica no caso de violações simples ou burocráticas, como “não compartilhar os detalhes de contato do Data Protection Officer (DPO) da empresa ou não registrar adequadamente as responsabilidades dos processadores ou controladores conjuntos”. Faixa de multa de € 0 – € 200.000; multa padrão de € 100.000.

A Categoria II se aplica quando uma empresa não cumpre obrigações e requisitos específicos do GDPR. Faixa de multa de € 120.000 – € 500.000; multa padrão de € 310.000.

A Categoria III se aplica quando uma empresa se recusa a ser transparente com seus usuários ou com a Autoridade Holandesa de Proteção de Dados (DPA), recusando-se a notificar o DPA sobre violações ou recusando-se a cooperar com o DPA. Faixa de multa de € 300.000 – € 750.000; multa padrão de € 525.000.

A Categoria IV se aplica quando uma empresa se envolve no processamento ilegal de dados confidenciais, na criação de perfis ilegais ou se recusa a cumprir as diretrizes específicas do DPA holandês. Faixa de multa de € 450.000 – € 1.000.000; multa padrão de € 725.000*
*Somente no caso de aplicação de € 20.000.000 / 4% do faturamento anual

Instâncias notáveis ​​de aplicação do GDPR

No outono de 2020, a Marriot e a British Airways receberam multas substanciais após violações de dados separadas em 2018 que afetaram negativamente os consumidores.

British Airways | US$ 25,85 milhões | Reino Unido, 2020

A British Airways foi multada em US$ 25,85 milhões e 400.000 dos dados de seus clientes foram comprometidos na violação de dados. A multa aplicada a eles pelo Information Commissioner's Office (ICO) foi por suas deficiências de segurança de dados depois que a investigação descobriu que eles estavam processando “uma quantidade significativa de dados pessoais sem medidas de segurança adequadas”.

Embora a multa tenha sido a maior que a ICO havia dado, eles originalmente propuseram uma multa de US$ 229 milhões antes de levar em consideração o impacto econômico que o Covid-19 teve no setor de aviação. A ICO também deu crédito à BA pelas “melhorias consideráveis ​​em sua segurança de TI” após o ataque e por cumprir os investigadores – ambos ajudaram a reduzir o total original da multa.

Marriot Internacional | US$ 23,8 milhões | Reino Unido, 2020

Em 2020, a Marriott Hotels recebeu uma multa de US$ 23,8 milhões por uma violação de dados que expôs 339 milhões de registros de hóspedes, afetando 30 milhões de usuários em toda a UE. O interessante sobre o caso Marriott é que a violação original data de 2014, mas não foi descoberta até 2018, e “a penalidade cobre apenas a parte da violação que data de 25 de maio de 2018 – quando o GDPR entrou em vigor .”.

Assim como a multa da British Airways, dada apenas algumas semanas antes da multa da Marriott, o governo do Reino Unido reduziu o valor total da multa de US$ 123 milhões devido ao impacto econômico do Covid-19, bem como aos esforços de mitigação e conformidade da empresa.

Google | US$ 57 milhões | França, 2018

O Google tem, desde o início do GDPR, a ira dos reguladores de dados franceses. Em 2018, a empresa foi multada em € 50 milhões por “falta de transparência, informações inadequadas e falta de consentimento válido em relação à personalização de anúncios”.

Google | US$ 121 milhões | França, 2020

No final de 2020, os reguladores franceses novamente aplicaram ao Google uma multa de € 100 milhões, embora o Google esteja atualmente lutando contra o valor na justiça. A multa foi porque quando os usuários visitaram o google.fr “sete cookies foram colocados em seus equipamentos terminais, antes de qualquer ação de sua parte”.

Amazônia | US$ 42 milhões | França, 2020

A Amazon também recebeu uma multa de € 35 milhões pelos reguladores franceses pela mesma violação de cookies. As autoridades francesas determinaram que nem o Google nem a Amazon cumpriram “o requisito de informações prévias, claras e completas para os usuários, nem o requisito de obter seu consentimento e que o mecanismo de oposição a esses cookies estava parcialmente defeituoso”.

H&M | US$ 41,3 milhões | Alemanha, 2020

Enquanto os outros casos de alto perfil de aplicação do GDPR foram devidos a consumidores afetados por violações de dados e práticas da empresa, a multa da H&M foi por vigiar ilegalmente seus próprios funcionários na Alemanha.

A Autoridade de Proteção de Dados de Hamburgo (HmbBfDI) pronunciou a multa, a maior da Alemanha desde a implementação do GDPR, depois que a empresa foi descoberta por monitorar excessivamente a vida privada de seus funcionários. Desde pelo menos 2014, alguns membros da equipe foram submetidos a “extenso registro de detalhes sobre suas vidas privadas”.

“Após ausências como férias e licenças médicas, os líderes das equipes supervisoras realizavam as chamadas Welcome Back Talks com seus funcionários. Após essas conversas, em muitos casos, não apenas as experiências concretas de férias dos funcionários foram registradas, mas também sintomas de doenças e diagnósticos”, disse o HmbBfDI. “Além disso, alguns supervisores adquiriram um amplo conhecimento da vida privada de seus funcionários por meio de conversas pessoais e no chão, variando de detalhes bastante inofensivos a questões familiares e crenças religiosas.”

As práticas de coleta de dados foram expostas em outubro de 2019 após um erro interno permitir que as informações ficassem acessíveis por várias horas. O Prof. Dr. Johannes Casper, Comissário de Proteção de Dados e Liberdade de Informação de Hamburgo, disse sobre a multa: “O valor da multa imposta é, portanto, adequado e eficaz para impedir que as empresas violem a privacidade de seus funcionários”.

Nossos pensamentos sobre o GDPR

O GDPR é um ato progressivo e abrangente que estabelece um padrão de proteção de dados que protege os consumidores, e isso é bom para os indivíduos. As sanções foram concebidas para serem proporcionais e eficazes, para obrigar as empresas a verem a gravidade da questão da proteção de dados e para dissuadir o incumprimento.

Eu sou europeu, então posso ser tendencioso; O GDPR se alinha com minhas sensibilidades europeias. Mas minhas prioridades são com as empresas para as quais forneço valor e acredito que práticas aprimoradas de segurança de dados também são de seu interesse.

Sim, a mudança pode ter algumas dores iniciais para empresas que não conseguem cumprir com rapidez suficiente ou arcar com o custo de contratar profissionais de conformidade para gerenciar riscos específicos. Ainda assim, as multas são caras o suficiente para considerar investir em profissionais de compliance ou pelo menos auditar seus riscos existentes.

Ajuda que as agências europeias de aplicação de dados trabalhem com os controladores de dados para mitigar as consequências de qualquer violação ou potencial violação. Não se trata apenas de punir, eles querem ativamente que o ambiente digital seja mais seguro, inteligente e melhorado; restaurar a confiança do consumidor nos espaços digitais; e fornecer aos usuários direitos e proteções sobre seus dados pessoais.

Com a abordagem opt-in para remarketing para os visitantes do seu site, o remarketing pode se tornar mais enxuto. Você pode ter certeza de que os usuários em suas listas tomaram uma decisão consciente de optar por estar lá. Ter sistemas para organizar e auditar seus próprios dados também elimina muito do ruído nos dados; removendo dados redundantes, obsoletos e triviais (ROT). Seus dados serão ouro, você desejará protegê-los e sua equipe será ainda mais eficiente por isso.

Não somos advogados; não podemos ajudá-lo a auditar e obter conformidade em segurança cibernética, mas podemos criar um site incrível que atenda aos requisitos do GDPR e podemos trabalhar em conjunto com sua equipe de gerenciamento de dados para criar um ambiente digital que aumentará a confiança do consumidor em sua marca e atenderá seus objetivos de negócios.