O GDPR está chegando: como se preparar

Nota: Isto é apenas para fins informativos gerais e não se destina a constituir análise jurídica ou aconselhamento jurídico. Você deve entrar em contato com um advogado para saber mais sobre suas obrigações específicas sob o GDPR.

Se você faz parte de uma organização que faz negócios com cidadãos da União Europeia, pode ter ouvido falar das próximas mudanças envolvendo o Regulamento Geral de Proteção de Dados (GDPR). O GDPR é uma lei da União Europeia que visa fortalecer e unificar as regras e direitos de proteção de dados em benefício dos cidadãos da UE. O GDPR se aplica a organizações da UE e a organizações não pertencentes à UE (de qualquer tamanho) que fornecem bens e serviços para a UE ou que utilizam tecnologias de rastreamento (como cookies ou pixels de rastreamento) para monitorar o comportamento dos usuários da UE.

O GDPR será aplicado a partir de 25 de maio de 2018.

Nesse momento, quaisquer organizações que não estejam em conformidade podem estar sujeitas a multas e outras sanções regulatórias. Para uma visão geral do GDPR, este artigo é um ótimo lugar para começar.

Princípios-chave do GDPR

Tenha em mente os seguintes princípios enquanto você e sua equipe se preparam para o próximo GDPR:

• Os dados pessoais coletados precisam ser processados ​​de maneira justa, legal e transparente. Não deve ser usado de qualquer maneira que uma pessoa não esperaria razoavelmente.
• Os dados pessoais devem ser recolhidos apenas para cumprir uma finalidade específica e não devem ser utilizados de forma incompatível com essas finalidades. As organizações devem especificar por que precisam dos dados pessoais quando os coletam.
• Os dados pessoais mantidos precisam ser mantidos atualizados e precisos. Não deve ser realizada por mais tempo do que o necessário para cumprir seu propósito.
• Os cidadãos da UE têm o direito de aceder aos seus próprios dados pessoais. Eles também podem solicitar uma cópia de seus dados e que seus dados sejam atualizados, excluídos, restritos ou movidos para outra organização sem impedimentos.
• Todos os dados pessoais precisam ser mantidos seguros e protegidos, e as empresas que realizam certos tipos de atividades agora são obrigadas a nomear um responsável pela proteção de dados.

O que são Dados Pessoais?

A definição de dados pessoais do GDPR inclui o que normalmente consideramos informações de identificação pessoal (PII) - nome, número do passaporte, data de nascimento etc. - mas também inclui dados que podemos considerar como não-PII, como endereços IP ou dispositivo IDs.

Os dados pessoais podem até incluir dados sobre um indivíduo que foi criptografado ou criptografado.

Para obter uma lista abrangente do que o GDPR considera dados pessoais, leia o Artigo 4(1) do GDPR.

Além disso, está incluído na definição de dados pessoais um subconjunto de dados conhecido como “categorias especiais de dados pessoais”. Categorias especiais de dados pessoais são uma lista específica de dados, expressamente estabelecida no GDPR, e inclui coisas como raça, religião, opiniões políticas, dados de saúde, etc.

Etapas para se preparar para o GDPR

Mapeamento de dados – Determine (e documente) o seguinte:

• Que dados pessoais possui ou recolhe?
• Para que finalidades são utilizados os dados pessoais?
• De onde vieram esses dados e com quais partes foram compartilhados?
• Onde esses dados residem atualmente?
• Por quanto tempo os dados são armazenados?
• Como esses dados serão excluídos ou modificados se um titular de dados enviar uma solicitação?

Direitos – Verifique seus procedimentos atuais para garantir que você possa cumprir os direitos dos titulares dos dados. Os cidadãos da UE têm o direito de aceder aos seus próprios dados pessoais. Eles também podem solicitar uma cópia de seus dados e que seus dados sejam atualizados, excluídos, restritos ou movidos para outra organização sem impedimentos, em determinadas circunstâncias.

Consentimento – Ao confiar no consentimento como base para o processamento de dados pessoais, aborde como você busca, obtém e documenta o consentimento. Para certos (mas não todos) tipos de atividades, o consentimento geralmente deve ser obtido de um indivíduo para usar seus dados – por exemplo, ao processar categorias especiais de dados pessoais. O GDPR afirma que o consentimento deve ser dado por um ato afirmativo claro - silêncio, caixas pré-marcadas ou inatividade normalmente não constituem consentimento. O consentimento também deve ser informado.

As organizações terão que fornecer informações sobre por que estão coletando os dados pessoais e para que serão usados.

Você também será obrigado a manter um registro de todo o consentimento obtido, incluindo quem consentiu, quando e quais declarações específicas eles consentiram. Os indivíduos da UE terão o direito de retirar o consentimento a qualquer momento.

Políticas de Privacidade – Revise sua política de privacidade atual e determine se alguma atualização é necessária.

Design do produto – Você deve criar privacidade desde o design em projetos e considerar como você pode minimizar o impacto na privacidade de seus produtos. Tente usar pseudonimização, anonimização e criptografia quando apropriado ou necessário. Informações mais detalhadas sobre privacidade por design podem ser encontradas no artigo 25 do GDPR.

Procedimentos de violação de dados – Certifique-se de ter procedimentos em vigor para detectar, relatar e investigar quaisquer violações de dados. O GDPR exige que as organizações relatem uma violação às autoridades de proteção de dados geralmente dentro de 72 horas após a detecção, a menos que seja improvável que a violação resulte em risco aos direitos de privacidade dos indivíduos.

Data Protection Officer – Determine se você deve nomear um Data Protection Officer (DPO). O GDPR afirma que um DPO deve ser nomeado quando as atividades principais da organização envolvem “monitoramento regular e sistemático de titulares de dados em grande escala” ou quando a organização realiza processamento em larga escala de “categorias especiais de dados pessoais”. O DPO é responsável por supervisionar a conformidade com os requisitos do GDPR e serve como ponto de contato entre a organização e as autoridades de supervisão.

Provedores de terceiros – Faça uma lista de todas as soluções de terceiros que você usa atualmente (incluindo cookies de rastreamento de sites) que têm acesso ou processam os dados pessoais dos titulares dos dados. Você deve revisar todos os seus contratos com fornecedores terceirizados. Inclua cláusulas de confidencialidade e privacidade de dados em seus contratos que, quando necessário, estejam em conformidade com o GDPR. Pergunte aos fornecedores terceirizados que você determinou que estão no escopo se eles estão em conformidade com a regulamentação GDPR.

Conscientização – Eduque seus funcionários sobre o GDPR e seu impacto na coleta e tratamento dos dados pessoais dos clientes.

E quanto ao Escudo de Privacidade?

O GDPR tem requisitos específicos em relação à transferência de dados pessoais para fora da UE.

Por exemplo, a transferência de dados deve ocorrer apenas para países que tenham leis de proteção de dados adequadas ou onde você tenha implementado mecanismos de exportação de dados apropriados.

A UE não considera que os EUA tenham leis de proteção de dados adequadas - no entanto, o Privacy Shield é um programa voluntário de autocertificação do qual as organizações dos EUA podem participar para mostrar que têm práticas adequadas de proteção de dados para atender a esse requisito do GDPR .

O SendGrid é certificado pelo Privacy Shield e também oferece Cláusulas Contratuais Padrão aos clientes como um mecanismo alternativo de exportação de dados.

Como isso afeta o e-mail?

O GDPR terá um impacto nas práticas de marketing. Todos os profissionais de marketing por e-mail preocupados com o GDPR precisam abordar como buscam, obtêm e documentam o consentimento quando necessário. Os profissionais de marketing também desejarão garantir que possam atualizar, excluir, restringir ou mover os dados de um indivíduo, se solicitado. Ao cumprir o GDPR e remover endereços de e-mail de assuntos indesejados de suas listas, você pode melhorar sua capacidade de entrega!

Qual o proximo?

Se você acredita que sua organização será afetada pelo GDPR, entre em contato com um advogado para saber mais sobre suas obrigações específicas sob o GDPR. O objetivo deste post é destacar algumas das mudanças que podem ocorrer para as organizações como resultado do GDPR. O texto completo do GDPR está disponível aqui. Você também pode encontrar mais informações relacionadas ao uso de cookies, o Regulamento de privacidade eletrônica e como ele se relaciona com o GDPR aqui.