RESUMINDO A LEI EUROPEIA:

 

Estabelecida a partir de 25 de Maio de 2018, a GDPR ou General Data Protection Regulation, é uma lei regulamentar da EU (União Europeia) que visa a proteção dos dados pessoais e a privacidade dos cidadãos da EU e da EEA (Espaço Econômico Europeu).

Essa regulamentação proporciona mais privacidade aos indivíduos e mais poder às autoridades reguladoras para tomar ações contra empresas que violarem esta lei.

A lei também vale para empresas situadas fora da EU que processam e armazenam dados de indivíduos que residem na EU. A transferência internacional dos dados também será governada pelas leis da GDPR.

Multas pesadas serão aplicadas para quem descumprir a lei. As penalidades variam de € 20 milhões ou 4% da receita global anual. O que for maior.

A GDPR também ampliou sua definição do que são os dados pessoais e considera como tal quaisquer dados relativos à genética, mental, cultural, econômico e identidade social.

Qualquer empresa que quiser coletar dados do usuário deverá fazer de forma clara e solicitar o consentimento do usuário. Dados subjetivos tem o direito de serem esquecidos e apagados dos registros imediatamente.

O consentimento dos pais é obrigatório para coletar dados pessoais das crianças e adolescentes abaixo de 16 anos.

Todos os usuários têm o direito de requisitar seus dados coletados.

A nomeação de um oficial para proteção dos dados (DPO) será obrigatória para as empresas que processarem grandes volumes de dados pessoais e considerado uma boa prática para as demais. Os controladores deverão relatar qualquer violação dos dados que ocorrer, em até 72 horas após tomarem ciência da violação, à menos que a violação tenha um baixo risco para o indivíduo.

Uma avaliação de impacto de riscos à privacidade é obrigatória para projetos onde os riscos à privacidade são altos.

Produtos, sistemas e processos devem considerar os conceitos de privacidade durante o seu desenvolvimento.

Os controladores de dados devem garantir contratos adequados para governar os processadores de dados. E estes podem ser responsabilizados diretamente pela segurança dos dados pessoais. Os controladores também devem ter uma base legal para processar e coletar dados pessoais.

As empresas internacionais só terão de lidar com uma autoridade de proteção de dados de supervisão.

Como forma de ajudar as empresas a se adequarem à GDPR para protegerem os dados pessoais e sistemas a norma ISO 27001 pode ser um modelo referencial.