Após o Regulamento Geral de Proteção de Dados (GDPR), o que virá a seguir para as empresas de tecnologia?

Eric W. Sleigh - Desenvolvimento do Mercado de Tecnologia, Thomson Reuters

Agora que o GDPR está em vigor, o que virá a seguir? O Canadá, que tem uma lei similar ao GDPR, oferece uma amostra do futuro provável.

Não há dúvida de que o setor de tecnologia será muito afetado pela implementação do Lei Geral de Proteção de Dados (GDPR). As principais empresas de dados globais estão tendo de repensar e reestruturar muitas de suas políticas e procedimentos para cumprirem o GDPR.

O GDPR sem dúvida transformará a maneira na qual as empresas do setor de tecnologia atuam. Há quantidades cada vez maiores de dados produzidos diariamente, e grande parte deles é pessoal – e essas informações estão sendo usadas, processadas e armazenadas por uma série de razões pelas empresas de tecnologia. E isso é apenas o início. Podemos esperar mais no horizonte no que tange a como os países – e as empresas – gerenciam a privacidade e segurança dos dados globais.

Um declaração da Microsoft recente indica resumidamente o impacto potencial.

 “Embora o regulamento seja aplicável a empresas de todos os tipos, grande parte do ônus prático recai sobre o setor de tecnologia. Isso se deve em parte à grande quantidade de informações mantidas pelas empresas on-line, mas também porque, com as tendências de transformação digital, as empresas dependem cada vez mais dos serviços em nuvem. Para a Microsoft e outras empresas de tecnologia que fornecem esses serviços, as mudanças de arquitetura e engenharia que corroboram os novos requisitos do GDPR são fundamentais não apenas para nós mesmos, mas para todos os nossos clientes que usam os nossos serviços para armazenar ou processar informações dos consumidores”.

 

Muitos no setor de tecnologia apontam quatro dos requisitos do GDPR como os mais desafiadores para serem cumpridos:

  • Documentação de todos os “dados pessoais” que a empresa processou ou armazenou e ser capaz de excluí-los ou fornecê-los ao indivíduo mediante solicitação
  • Contratação de Diretores de Proteção de Dados (DPO’s), uma nova despesa significativa para muitas empresas
  • Identificar e comunicar violações de dados em até 72 horas
  • Disposições que permitem que os clientes baixem e retirem os seus dados, potencialmente fornecendo-lhes a um concorrente

 

O consentimento será um dos maiores desafios do GDPR para empresas do setor de tecnologia, e causará muitos problemas para empresas que compartilham dados, bem como para os fornecedores de serviços em nuvem, que hospedam informações em data centers em nome de outras empresas. O GDPR estabelece um alto padrão de consentimento, definindo-o como “oferecer aos indivíduos uma opção e controle legítimos”, com a responsabilidade pelo consentimento sendo colocada na empresa, não apenas para pedir a permissão de um indivíduo, mas também manter registros sobre isso.

 

Canadá - Uma comparação útil 

Embora os requisitos existentes e emergentes dos países e regiões variem – e eles vão variar – o Canadá oferece uma comparação útil, pois tem um regime jurídico bem estabelecido que apoia a privacidade de dados. Isso fornece um alto nível de familiaridade com a privacidade e o cumprimento regulatório às organizações canadenses. No entanto, as diferenças entre as estruturas de privacidade da UE e do Canadá fornecem informações sobre o que as empresas em todo o mundo provavelmente enfrentarão no futuro.

 

Entre as diferenças operacionais mais significativas entre a Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA) do Canadá e o GDPR relativas à privacidade de dados, de acordo com Pablo Rodriguez, Vice-Presidente de Estratégia e Política Comercial para as áreas Jurídica e Tributária e Contábil no Canadá, está a abordagem do consentimento como base legal para o processamento de dados. O GDPR é mais flexível do que a PIPEDA, pois permite que as organizações coletem, utilizem e divulguem informações pessoais com base em motivos específicos, como a execução de um contrato ou interesses legítimos. Outros pontos de comparação, de acordo com Rodriguez, incluem:

  • Tanto a PIPEDA quanto o GPDR concedem aos indivíduos o direito de acessar as informações pessoais que as organizações têm sobre eles. No entanto, o GDPR também introduz um direito à “portabilidade de dados”.
  • A PIBR concede aos indivíduos o direito a ser esquecido, permitindo que os indivíduos exijam que as organizações “apaguem” informações pessoais mediante uma série de circunstâncias. Com base na PIPEDA, a obrigação de destruir dados é qualificada, como ocorre sob o GDPR, para outras obrigações legais ou direitos contrários, como o cumprimento de outra lei de retenção de dados.
  • No momento, não há disposições obrigatórias de comunicar violações de dados em vigor na PIPEDA, mas a notificação de violação será exigida ainda este ano, com multas por descumprimento. No entanto, as emendas foram aprovadas na Lei de Privacidade Digital de 2015 para tratar os relatórios de violação. As empresas descobrirão que há uma sobreposição significativa entre as disposições de violação da Lei da Privacidade Digital e do GDPR.
  • As organizações canadenses que se preparam para as disposições de violação de dados na Lei de Privacidade Digital provavelmente encontrarão uma obrigação de cumprimento incremental com base no GDPR, especificamente para assegurar que a definição potencialmente mais ampla de uma violação sob o GDPR seja capturada no planejamento de respostas a violações e para garantir que as violações sejam reportadas no prazo mais curto exigido pelo GDPR.

 

Existem diferenças adicionais entre a nova lei europeia e a do Canadá. Embora tanto a PIPEDA quanto as diretivas europeias anteriores tenham colocado o ônus da responsabilidade no controlador dos dados (a empresa que gerencia dados sensíveis), o GDPR atribui responsabilidades legais ao processador de dados. Organizações de serviços externas, contratadas por controladores que têm acesso a dados sensíveis, são consideradas processadores. Por exemplo, fornecedores de serviços em nuvem e call centers.

As organizações canadenses que cumprem a PIPEDA têm uma vantagem em termos de já ter estabelecido políticas e práticas de privacidade. No entanto, as organizações canadenses afetadas pelo GDPR precisarão analisar cuidadosamente as áreas adicionais de cumprimento, considerando o seu mandato de consentimento mais rígido, direito de ser esquecido e requisitos de portabilidade de dados.

 

Olhando para o futuro

O trabalho de cumprir o GDPR tem sido um foco significativo para os grupos jurídicos, de dados/tecnologia e de marketing de muitas empresas no ano passado. No entanto, vale a pena destacar que as empresas (particularmente as empresas de tecnologia) precisam reconhecer que a data de 25 de maio não é o fim do jogo, e que o GDPR não será um exercício definitivo.

O cumprimento dos requisitos existentes e a necessidade de permanecer ágil conforme novos requisitos (e interpretações) são introduzidos globalmente, serão trabalhos em andamento para as empresas no futuro próximo. À medida que as empresas de tecnologia olham para o futuro (principalmente com a versão brasileira desta lei já aprovada), o GDPR fornece um modelo importante e uma estrutura para muitos outros países no tratamento da privacidade de dados, segurança de dados e coleta de dados pessoais.

Materias Relacionadas

Com a chegada da GDPR, muitas empresas estão tendo que reformular a forma com que tratavam os dados recolhidos e abriu portas para mudanças no mundo todo, confira a conversa entre Vivienne Artz e Michael Morgan sobre o tema.

A GDPR entrou em vigor e irá revolucionar a forma com que empresas captam e utilizam dados de cidadãos da União Europeia.

As posições mais altas de gestão estão se transformando junto com as novas tecnologias, para alcançar a inovação é preciso reconhecer o caminho de desenvolvimento, veja os principais paços que os CFOs terão de dar para o crescimento de suas empresas até 2020.