O GDPR (Regulamento Geral de Proteção de Dados) é a normativa europeia 2016/679 sobre a proteção das pessoas a respeito do tratamento dos dados pessoais e a livre circulação desses dados. Este Regulamento substituirá a Diretiva europeia sobre a proteção de dados (Diretiva 95/46 / CE) estabelecida em 1995 e revogará as disposições incompatíveis do Código para a proteção de dados pessoais (Decreto Legislativo n.196/2003).
O regulamento foi adotado a 27 de abril de 2016 e, após um período de transição de dois anos, será convertido em pleno funcionamento na EU a 25 de maio de 2018. Esta é a data que é preciso fixar pois, ao contrário de uma diretiva, não exige nenhum tipo de legislação de aplicação pelos Estados membros… E as sanções podem atingir até 4% do volume de negócios – e até um máximo de 20 milhões de euros.
O GDPR tem como objetivo standardizar e normalizar, dentro da União Europeia, as diferentes regras que regem o tratamento de dados pessoais, regulando definitivamente as formas como os dados e a informação devem ser armazenados, protegidos e postos à disposição das empresas, aplicando-se também às empresas não comunitárias que proporcionam bens ou serviços aos residentes da UE.
É importante ter em conta que as regras do GDPR têm um valor geral e não preveem obrigações específicas ou diferenciadas por tamanho, tipo ou setor de atividade da empresa.
De acordo com os dados pessoais da Comissão Europeia, qualquer informação relativa à vida de uma pessoa conectada é privada, seja profissional ou pública. Pode estar relacionado com tudo: nomes, fotos, endereços de e-mail, dados bancários, trabalho nos sites de redes sociais, informação médica ou endereços IP dos equipamentos.
As etapas: Desde o registo das atividades de processamento até ao plano de ajuste
O objetivo do GDPR é garantir que os dados pessoais não são divulgados, estão protegidos e são monitorizados constantemente: porque pode obrigar a importantes mudanças organizacionais e investimentos tecnológicos, as empresas necessitam duma planificação cuidadosa num tempo muito curto. O período em que as medidas podem ser adotadas aproxima-se agora rapidamente.
Nesse sentido, as empresas devem ter um plano de conformidade com o GDPR. Esta fase consiste na avaliação do modelo atual da organização, com a finalidade de definir um plano de ação detalhado adequado.
Este plano de ajustamento, que utiliza uma abordagem estruturada, deve definitivamente considerar duas áreas importantes na tecnologia e na informática:
- Na área dos processos e regras. É sem dúvida uma das áreas mais envolvidas nos pedidos de ajuste do GDPR: basta recordar a portabilidade dos dados, incumprimento da gestão dos dados, registo de processamento de dados e direitos das partes interessadas. Muito importante é o design da privacidade, que compreende um novo foco no GDPR segundo o qual é exigido às empresas o desenvolvimento de um projeto que proporcione, de imediato, a proteção das ferramentas dos dados pessoais.
- Na área da tecnologia e ferramentas. Adquire uma importância vital do ponto de vista dos investimentos esperados no plano de ajuste: a segurança informática (antivírus, recuperação de desastres, firewalls, dados apócrifos, encriptação de dados, dados de violação de prevenção e deteção, administração de identidades, etc.), segurança física (por exemplo, o controlo de acesso), a adoção das ferramentas informáticas de GRC (Governo, Riscos, Conformidade).
O GDPR estabelece uma estrutura normativa centrada exclusivamente nas tarefas e responsabilidades do responsável pelo tratamento (o princípio de “prestação de contas”). Os novos regulamentos requerem que a entidade assegure a conformidade dos princípios que contém, e seja capaz de demonstrar a adoção de um conjunto de ferramentas indicados pelo GDPR.