Transcrição

1

2 A partir de , o Regulamento Geral de Proteção de Dados ("GDPR") europeu passou a ser aplicável. Seus efeitos vão além da Europa. A nova regulamentação pode se aplicar também a empresas brasileiras, desde que ocorra qualquer um desses fatores: (I) a organização oferece bens ou serviços a pessoas lá localizadas; ou (II) há prática do monitoramento de comportamento (incluindo profiling) de pessoas que estejam no território da União Europeia. Adicionalmente, nas situações em que empresas brasileiras tiverem filial, sucursal ou outro tipo de estabelecimento na Europa, isso também pode trazer a incidência do GDPR para parte de suas atividades. Além disso, referida legislação vem sendo utilizada por nossos tribunais para fundamentar decisões envolvendo proteção de dados e possivelmente diversos de seus preceitos servirão de base para a futura legislação brasileira sobre o assunto, sendo certo que os principais Projetos de Lei sobre o tema tramitam em regime de urgência nas Casas Legislativas. Para auxiliar nossos clientes e parceiros sobre o GDPR e seus impactos, preparamos 5 infográficos explicativos que resumem os principais pontos que devem ser observados. Começamos pelos Aspectos Gerais do GDPR:

3 Nomeação de Data Protection Officer, quando obrigatório Realização de Análise de Impactos de Proteção de Dados Art.3 Art.83 Princípios Art. 5 DPOs Consentimento Art.37 Art. 7 DPIA Art.35 Art.16 Direito a retificação Algumas empresas do BR devem nomear representantes na UE Exigências mais rígidas para o consentimento junto ao titular dos dados Dados incorretos/desatualizados devem ser retificados Notificações Art.33 Art.17 Direito a exclusão Art.20 Art.27 Representantes Proteção de dados como padrão e desde a concepção das aplicações GDPR 1 Transparência, limitação da finalidade e minimização dos dados... Escopo territorial Sanções Certas violações de dados deverão ser reportadas Possibilidade de abrangência a empresas brasileiras Multas de até 20 milhões ou 4% do faturamento anual Art.25 DP by design/default Os dados não mais necessários deverão ser excluídos Direito a portabilidade dos dados Titular pode levar seus dados a outras empresas

4 GDPR 2 Infográfico 02 - Direitos dos Titulares dos Dados O GDPR amplia os Direitos dos Titulares, exigindo mais transparência por parte das empresas e conferindo maior controle ao titular sobre seus dados.

5 Direitos dos Titulares de Dados GDPR 2 Direito a limitação/oposição ao tratamento de dados Direito de acesso Direito de não ser submetido a decisões automatizadas e profiling Direito de retificação/atualização Direito a portabilidade dos dados Direito ao esquecimento Direito de restringir o tratamento de dados Direito de ser notificado sobre mudanças no tratamento dos dados

6 GDPR 3 Infográfico 03 Áreas Impactadas pelo GDPR Uma das grandes novidades do GDPR é o incentivo à criação de programa de governança em proteção de dados. O legislador europeu dispôs acerca da necessidade de que todas as áreas das organizações avaliem, constantemente, os tratamentos de dados pessoais que levam a efeito. Portanto, o GDPR afeta muito além das áreas que se relacionam com o consumidor ou usuário final, exigindo, na verdade, a criação de uma cultura empresarial de proteção de dados, a partir de política global a ser aplicada de maneira transversal.

7 Áreas Impactadas pelo GDPR GDPR 3 Desenvolvimento de software e TI Marketing Gerenciamento de produtos Análise de dados Jurídico Segurança da informação Usuários Compliance Recursos Humanos Serviços

8 GDPR 4 Infográfico 04 Incidentes de Segurança e Notificações Incidentes de segurança envolvendo dados pessoais são cada vez mais frequentes, representando riscos relevantes e inerentes ao tratamento de dados para qualquer empresa. Para estar compliant com o GDPR, o melhor modo é a prevenção mediante desenvolvimento de planos de ação para vazamento de dados que contemplem a rápida avaliação da necessidade de reportar o fato à autoridade competente e/ou aos próprios titulares dos dados.

9 Incidentes de Segurança e Notificações GDPR 4 72h Risco aos direitos e liberdades das pessoas? Até 72h após a descoberta Notificação (artigo 33) Data Protection Authorities (DPA) Ausência de risco aos direitos e liberdades das pessoas? Desnecessário o envio de notificação Incidente! Alto risco aos direitos e liberdades das pessoas? Sem demora após a descoberta Comunicação (artigo 34) Titular dos dados

10 GDPR 5 Infográfico 05 DPIA (Data Protection Impact Assessment) O que é DPIA e como executá-la? Antes de realizar o DPIA (Data Protection Impact Assessment), é necessário catalogar todo o tipo de tratamento de dados que a empresa realiza. Feito isso, deve-se verificar quais tratamentos podem ensejar elevado risco aos titulares de dados. Para eles, o GDPR exige que seja realizada uma análise de impacto específica, para que a própria empresa busque medidas que minimizem o risco inicialmente diagnosticado. Caso o risco ainda seja alto após a efetivação do DPIA, a Autoridade de Proteção de Dados competente deve ser consultada. Diante dessas particularidades, importante não confundir o Data Protection Impact Assessment com outros tipos de análises, como por exemplo, uma Legal Opinion sobre adequação ao GDPR.

11 DPIA - Data Protection Impact Assessment GDPR 5 Avaliações sobre as conclusões sobre o DPIA Analisar se a atividade de tratamento exige DPIA Dados tratados e suas categorias Implementação das medidas de controle para reduzir os riscos diagnosticados Verificação do nível de risco residual Observância das recomendações da Autoridade Competente, caso tenha sido consultada Auxílio do Data Protection Officer, caso exista Colocar em prática o plano de ação Elaborar plano de ação com medidas para reduzir o risco DPIA no GDPR (artigo 35) Descrever o ciclo de vida dos dados Checar necessidade, proporcionalidade e riscos Tipos de tratamento (coleta, uso, armazenamento compartilhamento, exclusão) Intervenientes e terceiros receptores dos dados Identificação dos sistemas utilizados Relação dos tipos de sujeitos afetados pelo tratamento

12