O que é o GDPR (Regulamento Geral de Proteção de Dados)?

O GDPR (Regulamento Geral de Proteção de Dados) é o Regulamento Europeu 2016/679 que abrange a proteção de pessoa física no que se refere ao processamento de dados pessoais e à livre circulação desses dados. Este Regulamento substitui a Diretiva Europeia sobre a Proteção de Dados Pessoais (Diretiva 95/46 / CE) adotada em 1995 e irá revogar regras contraditórias estabelecidas no Código de Proteção de Dados Pessoais (Decreto Legislativo 196/2003). O regulamento foi adotado em 27 de abril de 2016 e foi implementado nos países da UE em 25 de maio de 2018, após um período de transição de dois anos e diferentemente das "Diretivas", nenhuma lei de aplicação foi exigida dos Estados Membros.

O GDPR busca unificar e padronizar, dentro da União Europeia, as diferentes regras que administram o processamento de dados pessoais, determinando definitivamente as maneiras pelas quais os dados e informações devem ser armazenados, protegidos e disponibilizados pelas empresas. O GDPR aplica-se a empresas não pertencentes à UE que forneçam bens ou serviços a pessoas que residem na União Europeia.

É necessário ressaltar que as regras do GDPR devem ser aplicadas de modo geral e não prever requisitos específicos ou diferentes, dependendo do tamanho, tipo ou setor onde a companhia opera.

Segundo a Comissão Europeia, os dados pessoais são quaisquer informações sobre um indivíduo, relacionadas tanto à sua vida privada, profissional ou pública. Eles podem dizer respeito a qualquer informação: nomes, fotos, endereços de e-mail, dados bancários, postagens em sites de redes sociais, registros médicos ou endereços IP de computadores.

As etapas para implementação: do Registro de Atividades de Processamento ao Plano de Adaptação

O objetivo principal do GDPR é garantir que os dados pessoais sejam protegidos, monitorados e que não sejam divulgados. As mudanças introduzidas pelo GDPR, que podem envolver mudanças na maneira como os processos são organizados, exigem que as empresas se planejem cuidadosamente. As empresas devem estabelecer um Plano de Adaptação para atender aos requisitos do GDPR. Nesta etapa, o modelo atual da organização deve ser avaliado, para definir um plano com ações detalhadas a serem implementadas na Companhia.

O Plano de Adaptação, a ser implementado seguindo uma abordagem estruturada, deve levar em conta duas áreas importantes em Tecnologia e TI:

• A área de Processos e Regras. Esta é, sem dúvida, uma das áreas mais afetadas pelos requisitos de adaptação do PIBR. Por exemplo, portabilidade de dados, gerenciamento de violações de dados, registro de atividades de processamento e direitos dos titulares de dados. A privacidade por concepção é outro aspecto crucial, em outras palavras, uma nova abordagem exigida pelo GDPR estabeleceu como obrigatoriedade que as empresas ao iniciarem um projeto, planejem desde o início quais as ferramentas para proteção dos dados pessoais.

• A área de Tecnologia e Ferramentas. Esta é uma área crucial, mesmo considerando o investimento necessário no Plano de Adaptação. Medidas de segurança de TI (antivírus, recuperação de desastres, firewall, pseudonimização de dados, criptografia de dados, prevenção e detecção de violações de dados, Gerenciamento de Identidade, etc.), Segurança Física (por exemplo, controles de acesso), adoção de ferramentas GRC de TI (Governança, Risco e Conformidade).

O GDPR estabelece uma estrutura legal centrada em tarefas e responsabilidade do Controlador de Dados. As novas regras exigem que o Controlador garanta a conformidade com os princípios estabelecidos no Regulamento, e também que seja capaz de comprovar tal conformidade, adotando uma série de ferramentas especificadas no GDPR.

O que é o GDPR?

As etapas para implementação: do Registro de Atividades de Processamento ao Plano de Adaptação

Artigos relacionados