Dados pessoais — é uma expressão popular que está inundando as notícias e nos forçando a pensar sobre nossa identidade online e como
está sendo usada por outros sites e empresas.
Empresas online e proprietários de sites muitas vezes atuam como guardiões de dados pessoais sensíveis que coletaram. Com a
recente implementação do GDPR — regulamentações abrangentes
governando a segurança de dados e privacidade na
UE — você pode estar preocupado sobre como está armazenando e protegendo as informações de outras pessoas, e se esses dados estão
seguros e protegidos.
Não está?
As novas leis de dados pessoais da UE estão transferindo a responsabilidade para você garantir que está em conformidade, mas estamos aqui para lhe dar algumas dicas. O Regulamento Geral sobre a Proteção de Dados foca em dar mais controle aos cidadãos sobre seus dados na web.
Além de capacitar os usuários a decidir o que acontece com suas informações, o GDPR também inclui novas regras sobre
como as organizações devem lidar com esses dados. Tudo isso pode exigir alguma ação da sua parte — mesmo que você não esteja
baseado na UE. Aqui está o que você precisa saber e o que você pode fazer para ficar por dentro disso.
Relacionado: DreamHost está em conformidade com o GDPR
O que você precisa saber sobre o GDPR
1. O GDPR está aqui.
Isso mesmo: O GDPR entrou em vigor em 25 de maio de 2018. Isso significa que se você ainda não atualizou seu site para estar em conformidade, você precisa começar a correr atrás. O restante deste artigo fornecerá algumas dicas e recursos sobre o que isso implica. Não entre em pânico! Após ler este artigo, recomendamos visitar o site oficial do GDPR para se atualizar.
2. O GDPR aplica-se aos “dados pessoais” de pessoas na UE.
Pode haver muitas razões pelas quais um site coleta dados do usuário: para facilitar uma compra, distribuir uma lista de mala direta, direcionar
publicidade, ou determinar o tipo de conteúdo mais popular. Qualquer que seja o propósito, se esses dados se referem a um
indivíduo que visita o site de um estado membro da UE, o GDPR se aplica.
Os visitantes do site nem precisam ser cidadãos da UE — se estiverem visitando a UE de, digamos, Gana ou Brasil, e
visitarem seu site, seu site precisa proteger os direitos deles sob o GDPR.
Embora a regulamentação esteja baseada na Europa, ela é na verdade mais abrangente do que parece à primeira vista. Se o seu
negócio tem alguma conexão com a Europa, seja através de clientes ou parceiros (mesmo que apenas um!), você deve estar ciente do
que a lei exige.
3. A definição de dados pessoais é expandida no GDPR.
Quando pensamos em dados pessoais, coisas como nome, endereço e número de telefone podem vir à mente. Há muito mais do que isso, de acordo com a definição do GDPR. Indo além dos detalhes que normalmente seriam considerados informações pessoais identificáveis, o GDPR afirma que qualquer informação “específica à identidade física, fisiológica, genética, mental, econômica, cultural ou social daquela pessoa” está sob proteção.
Dados os parâmetros amplos, é seguro assumir que qualquer coisa que identifique uma pessoa pode estar sob a
definição de dados pessoais. Se você não tem certeza se conta, provavelmente conta! Na verdade, a definição de
informações pessoalmente identificáveis pelo GDPR é “qualquer informação relacionada a uma pessoa natural identificada ou identificável.” Então,
aí está.
4. Qualquer entidade que controla e processa esses dados deve cumprir.
Os documentos reais do GDPR fazem referências a coletores e processadores de dados pessoais. Não tem certeza se você é um
controlador ou um processador? Continue lendo.
Um controlador de dados é uma entidade — uma empresa, organização ou indivíduo — que toma decisões sobre quais dados são
coletados e como são usados. Um processador de dados coleta, armazena e transfere esses dados uma vez que são coletados. Portanto, se
sua organização lida com qualquer tipo de dado de pessoas na UE, ou faz parceria com uma que faz, é hora de se envolver.
5. As novas leis exigem consentimento para coletar dados.
Você pode ter notado que muitos sites e aplicativos atualizaram suas políticas de privacidade e termos de uso recentemente.
Isso tudo é por causa do GDPR. Se uma organização espera que alguém na UE visite seu site, a empresa precisa
incluir informações pedindo consentimento para coletar dados do usuário.
Relacionado: Sua Lista de Verificação para Redesenho de Site em 2020
As políticas atualizadas devem incluir informações sobre quais dados são coletados, por que estão sendo coletados, por quanto tempo serão armazenados, assim como como serão usados e quem terá acesso aos dados. Tudo isso precisa ser declarado claramente no site em um local de destaque.
A conformidade com o GDPR exige consentimento ativo — e não métodos passivos, como uma caixa pré-marcada. O GDPR terá pouca
tolerância para práticas de UX obscuras que enganam
as pessoas fazendo com que concordem ou se inscrevam em coisas ou design de blog ruim que oculta
informações pertinentes.
Estes avisos são necessários mesmo quando o tipo mais básico de dados está sendo coletado. USA Today adotou uma abordagem interessante em relação à conformidade com o GDPR hospedando duas instâncias separadas do seu site — uma para usuários da UE e outra para todos os demais. O site orientado para a UE não coleta nenhuma informação além do endereço IP do usuário para que possa direcioná-los ao site correto — mas o USA Today ainda precisa notificar os usuários de que a empresa está coletando essa informação.
6. Existem requisitos mais rigorosos para a segurança dos dados sob o GDPR.
Comparado à legislação anterior da UE sobre privacidade de dados pessoais (a Diretiva de Proteção de Dados, implementada em 1998), o GDPR possui responsabilidades mais prescritivas para controladores e processadores de dados no que diz respeito à segurança.
Se você está lidando com informações pessoais identificáveis de pessoas, você precisa fazer a devida diligência para garantir
que as informações estejam totalmente protegidas. Pode haver múltiplas soluções para isso, dependendo dos dados coletados,
das tecnologias disponíveis e do seu orçamento. Algumas medidas de segurança que o GDPR sugere incluem criptografar dados,
garantir que sistemas e serviços possibilitem a confidencialidade, fornecer a capacidade de restaurar o acesso aos dados pessoais,
e manter um processo para avaliar a segurança do sistema.
Estas são apenas algumas das estratégias que as organizações podem usar para demonstrar que estão em conformidade com o GDPR. Você
pode já ter levado isso em consideração, ou pode ter que adicionar alguns componentes ao seu plano de segurança.
Com esses novos padrões, você pode estar preocupado com o custo para o seu negócio em cumprir. No entanto, a segurança não precisa ser cara. Vários provedores — incluindo a DreamHost — incluem
certificados SSL/TLS gratuitamente para criptografar o tráfego da web para os sites dos clientes.
7. Violações de dados devem ser comunicadas às pessoas cujos dados foram comprometidos.
Outro novo aspecto das leis de privacidade conforme exigido pelo GDPR é a necessidade de notificar os usuários quando ocorre uma violação de dados e pode ter afetado suas informações pessoais. O GDPR define uma violação de dados pessoais como um evento que leva à “destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilegal a dados pessoais transmitidos, armazenados ou de outra forma processados.” Isso protege muito além do risco de fraude ou roubo de identidade (que resultaria do acesso a registros financeiros) para incluir acesso não autorizado a qualquer coisa definida como informação pessoal identificável.
Se ocorrer uma violação de dados pessoais que “é provável que resulte em um alto risco aos direitos e liberdades dos indivíduos”,
os controladores de dados têm a obrigação de notificar rapidamente as pessoas afetadas. Existem poucas exceções a esta regra,
como quando os dados criptografados seriam ininteligíveis para usuários não autorizados ou quando o controlador toma ações após
a violação para prevenir risco. Os detalhes desta regra podem estar abertos a interpretação e discussão, mas em caso de dúvida,
o GDPR adota uma postura forte e abrangente na proteção dos dados do usuário.
Se o controlador de dados possui uma sede principal na UE, ele também deve notificar a autoridade supervisora no estado membro da UE onde a organização está localizada. Esta comunicação precisa ser feita dentro de 72 horas após a identificação da violação.
Hospedar o site da sua organização em um servidor seguro e estável ajuda a prevenir violações de dados pessoais. Os planos da DreamHost todos possuem segurança de primeira linha através de certificados Let’s Encrypt SSL/TLS, que criptografam de forma segura os dados que trafegam em um site da DreamHost.
Se você está escolhendo entre
Shared e VPS hosting, pode ter certeza de que as informações pessoais identificáveis estão seguras. Nossos planos de hospedagem dedicada mantêm os dados pessoais ainda mais
protegidos.
8. Os controladores de dados devem conceder aos usuários acesso aos seus dados quando solicitado.
O significado deste aspecto do GDPR é direto: se um usuário deseja ver os dados que você coletou sobre ele, você deve entregá-los dentro de um prazo razoável. O caminho para alcançar isso pode ser um pouco mais sinuoso, no entanto, dependendo das suas circunstâncias atuais.
Para atender a essas solicitações, você precisará de um sistema para que os clientes enviem solicitações e de pessoal que possa atendê-las.
A tecnologia que permite a exportação de dados pessoais também será necessária. No Artigo 15, o GDPR destaca vários outros direitos relacionados à
informação, como quem tem acesso aos dados e por quanto tempo eles serão armazenados.
9. Os usuários na UE têm “o direito de ser esquecidos.”
Outra disposição relacionada ao acesso a dados é o que o GDPR chama de “direito de ser
esquecido.” No Artigo
17, os cidadãos têm o direito de solicitar que seus dados sejam excluídos do sistema de um controlador. Eles podem
fazer isso por vários motivos, que incluem a retirada do consentimento para processar os dados.
A lei parece indicar que pode haver qualquer motivo legítimo para solicitar a exclusão de dados pessoais. No entanto,
ela oferece orientações sobre quando uma organização pode negar tal solicitação. Se o processamento dos dados for considerado necessário para
“exercer o direito à liberdade de expressão e informação”, cumprir obrigações legais ou estabelecer reivindicações legais,
ou servir ao interesse público de certas maneiras, uma organização não precisa cumprir.
10. O Brexit não exclui o Reino Unido do GDPR — ainda.
O RGPD ainda se aplica a empresas no Reino Unido, apesar da iminente saída do país da UE. Uma vez que o Brexit
ocorra formalmente, o RGPD não mais regerá a segurança de dados britânica. No entanto, a Lei
de Proteção de Dados do país é quase idêntica ao RGPD — até mesmo com a mesma data de início, 25 de maio. Se você está
em conformidade com o RGPD, também deverá estar coberto pela lei do Reino Unido.
11. Violar os termos do GDPR vem com um preço alto.
Não tente escapar de evitar ou ignorar o GDPR — isso vai custar caro. As maiores penalidades por não conformidade incluem multas de até €20 milhões (mais de $23 milhões) ou 4 por cento da receita global, o que for maior. Esse nível de punição seria reservado para os piores infratores, mas não vale a pena descobrir como serão tratadas as infrações menores.
Além de tomar seu dinheiro, as autoridades de proteção de dados da UE também podem retirar alguns privilégios de coleta de dados
da sua empresa — ou até mesmo proibi-lo de coletar dados completamente. Apenas faça a coisa certa!
12. A ênfase das novas regras é o uso legal e o comércio justo.
O GDPR tem como objetivo unificar as regulamentações de dados de todos os estados membros da UE. Com as novas leis, as regras são mais claras
e o campo de jogo é mais nivelado em como as empresas da UE lidam com a coleta e uso de dados pessoais. Ao mesmo
tempo, isso exerce uma pressão sobre as empresas de outros países para estarem em conformidade.
Entretanto, a busca por segurança e transparência pode ser boa para os negócios a longo prazo, e tudo isso tem a ver com a percepção do cliente. Nos últimos anos, houve um aumento nas violações de segurança de dados, bem como maior publicidade em torno da coleta e uso dos dados das pessoas.
Nesta era de troca de dados, o GDPR também visa aumentar a confiança dos cidadãos nas empresas, oferecendo-lhes
maiores proteções. As regulamentações são amplamente consideradas uma vitória para os direitos de privacidade individuais. Mas, embora possa
ser doloroso ter que atualizar os avisos de privacidade — e possivelmente mudar as políticas de uso de dados na sua empresa — o
GDPR tem o potencial de dar aos clientes maior confiança no comércio. A filosofia, em resumo, é que o que é
bom para o cliente é bom para o negócio.