A lei surgiu na Europa e tem como objetivo reforçar a proteção de dados de cidadãos Europeus, em todos os tipos de empresas, inclusive as que tem negócios com a Europa. Esse regulamento é utilizado para substituir a Diretiva de Proteção de Dados e irá entrar em vigor no dia 25 de maio de 2018, sendo que as empresas que não estiverem de acordo com essas mudanças poderão ter de pagar multas. Uma questão importante abordada por essa lei diz que: sempre que houver vazamento de informações o público e o governo devem ser avisados. O Brasil é um país que tem um sério problema com vazamento de dados, como o caso da atriz Carolina Dieckman que resultou na criação da Lei Carolina Dieckman.
A base da GDPR é um pilar triplo de: transparência, gestão e governança; Regulamentado em 300 páginas, o regulamento é tão necessário que outros países já estão demonstrando interesse em fazer algo semelhante.
O primeiro pilar: Governança de dados.
As empresas devem notificar, em até 72 horas, todo vazamento de dados para qualquer pessoa que possa ter sido afetada;
Em todo projeto, as empresas devem planejar a questão da segurança e privacidade de dados, logo no início;
Todos os fornecedores e pessoas que tiverem acesso aos dados de clientes também serão regidos pela GDPR.
O segundo pilar: Gestão de dados.
Por meio do GDPR, os cidadãos europeus podem solicitar a exclusão de seus dados de organizações;
Todos os dados devem ter um controle envolvendo quem teve acesso e descrições detalhadas de atividades feitas com esses dados;
Informações não podem ser transferidas para países considerados inadequados;
Qualquer empresa que processe mais de 5mil registros de dados deve alocar um responsável (Data Protection Officer) para ficar responsável por essa área e por observar as regras.
Terceiro pilar: Transparência de dados.
A empresa que processa dados deve comprovar que tem autorização para tal;
Por meio do GDPR, qualquer cidadão tem total liberdade para mover, copiar ou transferir seus dados para um novo prestador de serviços de segurança;
Os direitos dos clientes devem ser claros e de fácil entendimento, na política de privacidade.
Sobre as multas: As companhias podem receber penalizações de até 4% sobre o valor do volume de negócios global anual ou 20 milhões de euros (R$ 81 milhões, em conversão direta). Esse valor será pago por empresas que não possuírem o consentimento suficiente de consumidores ao processo de dados ou ao pela violação dos conceitos principais da “Privacy by Design”.
Uma penalidade menor no valor de 2% recai sobre as empresas que não tiverem os registros em ordem ou que não notificarem vazamento de dados. Além de trabalhar com companhias físicas, a GDPR trabalhará em cima de empresas da nuvem.
No caso do Brasil, já temos o marco civil, porém uma lei geral de proteção a dados deve chegar ao Brasil em 2018. Mas, pela atual situação política, só deve ser implementado ano que vem.
Invista em cyber segurança e dados pessoais, são as coisas mais importantes que temos hoje em dia e perde-los pode te trazer muitas dores de cabeça.