O GDPR é amplo e complexo. O seu detalhamento está
publicado na internet e já há uns 3 ou 4 livros na Amazon publicados sobre ele.
Acesse http://www.eugdpr.org/ para começar a entendê-lo.
A figura-01 mostra, sinteticamente, os pontos principais das mudanças trazidas
pela GDPR.
Objetivo:
O objetivo, mostrado de forma simplificada, é proteger o chamado PII-Personal
Identifiable Infomation, ou seja as informações que permitem identificar alguém.
Por exemplo, alguns campos são identificadores mais diretos como o CPF, SSN, # da carteira de
identidade, endereço de email, # do telefone. Outros são identificadores
indiretos, como data de nascimento, cep e sexo, etc. Esses campos, claro não
permitem (diretamente) chegar a alguém, mas podem, caso combinados, aumentar a chance de se chegar ao seu PII. Há uma pesquisa que aponta que, com a
combinação dos três elementos de dados(cep, sexo e data-nascimento), há 87% de
chance de alguém ser identificado. A conferir... Além da proteção dos dados, o GDPR também foca nos direitos de cada cidadão
com relação aos seus dados. Por exemplo, a entidade controladora(conceito
explicado mais abaixo) será obrigada a,
em poucos dias, notificar o cidadão cujos dados foram desviados. A não
observância dessa e de outras regras definidas implicará em multas
pesadíssimas (até 4% do faturamento bruto anual ou 20 milhões de Euros, o que for maior). No exemplo citado anteriormente sobre o breach do Yahoo, já
estaria caracterizada uma violação dessa natureza.
Escopo:
O escopo das regras será para as empresas que estão
localizadas na UE (União Europeia) e processam dados de residentes de lá, ou
também empresas que estejam fora da UE, mas que também processam dados de
cidadãos residentes naquela comunidade. Está fora do escopo os casos em que o
processamento de dados tem a finalidade de segurança nacional ou atrelado a
aspectos legais. Cada estado membro da UE definirá um órgão
controlador-SA-Supervisory Authority, que terá a missão de receber e investigar
reclamações, ofensas etc, naquele domínio e trabalhará, de forma integrada e
colaborativa com as outras SA´s. A UE tem aproximadamente 350 milhões de
habitantes, distribuídos por 28 estados(países) diferentes. Os membros da UE
estarão subordinados a essa legislação, que prevalecerá sobre outras já,
eventualmente, existentes.
Papeis
importantes na GDPR:
Há os conceitos de Controladores-Processadores-Autoridade
de Supervisão e Representantes. Esses conceitos são muito importantes para
o entendimento do GDPR e estão representados na figura-02.
Controladores:
São pessoas, agências, autoridades públicas ou qualquer
outro corpo organizacional que tenha como objetivo o uso dos dados
coletados. Serão os responsáveis por garantir que os dados serão usados, de
acordo com a GDPR. Deverão deixar claro: Quais objetivos procuram, quais dados
existem e suas categorias, os meios pelos quais serão usados, a forma de
coleta, a forma de busca de consentimento (autorização) para o uso dos dados, a
descrição dos destinatários( por quem os dados serão usados), os mecanismos de
transferência de dados(entre unidades, países, empresas, etc), além das
descrições de processos e técnicas a serem aplicados na segurança
organizacional daqueles dados. Acresce-se a isso os planos de riscos
devidamente definidos para os dados, envolvendo incidência, probabilidade,
impacto , mitigação e contingência. As notificações e avisos obrigatórios sobre
o uso dos dados deverão incluir o período de retenção para os dados pessoais e
informações de contato dos controladores de dados e do escritório ou gestores de segurança e
proteção, definidos. Aliás, já se usa a sigla DPO-Data Protection Office, para
definir um grupo totalmente dedicado a isso. Outro aspecto considerado
importante será sobre as decisões automáticas(ações por default), que poderão
ser contestadas. Ou seja, um cidadão poderá questionar uma opção (definida
automaticamente por um sistema-tipo Optin/out) de coleta de seus dados, caso
não haja a sua manifestação explícita de concordância sobre aquilo. Os dados
deverão ter seu uso explicitamente consentidos pelos usuários. Os sistemas e
serviços deverão ter um Plano definido de Privacidade e Segurança. Por exemplo,
um Hospital que coleta os dados de pacientes, via sistema de internação e os
complementa via sistemas de informações médicas, será o Controlador desses dados nesse contexto, caso haja dados de
cidadãos da UE. Como controlador, deverá responder por todos os pontos
definidos anteriormente e deverá estar apto a demonstrar, via GD, os elementos
requeridos pela GDPR.
Processadores:
São pessoas, agências, autoridades públicas ou qualquer
outro corpo organizacional que trabalha, em nome de outro(o controlador). São os
contratados para realizarem serviços de
dados definidos e esperados pelo Controlador. Os seus processos devem estar de
acordo com as definições do Controlador, que por sua vez estarão coerentes com a
GDPR. Um contrato entre essas duas partes deverá regular os requisitos de
proteção e privacidade, segundo a GDPR. O “How” dos processos, a serem
aplicados não precisam ser detalhados pelo Controlador. Poderá ser definido
pelos Processadores, desde que estejam em “compliance” com as regras da GDPR.
Dessa forma os Processadores assumirão responsabilidades(em nome dos
Controladores), definindo: o sistema(ferramentas-processos e tecnologia) usado,
as formas de coleta, armazenamento, transferência dos dados,etc. Definem também
como os dados PII serão usados e
apresentarão Planos de retenção, disposal(eliminação de dados), etc . O Processador
contratado não poderá subcontratar outro processador, sem a autorização
expressa do Controlador. É natural que muitos Controladores sejam também os
seus próprios Processadores e assim, as regras e exigências permanecem no mesmo
domínio organizacional.
As informações requeridas para os Processadores são:
nome, detalhe de contratos, especificação de cada controlador e processador(um
Controlador poderá ter n Processadores, e vice versa). Detalhamento dos
processamentos realizados para cada Controlador, descrição geral de medidas,
técnicas e processos de segurança.
Autoridades
de Supervisão-AS:
São organizações, corpos organizacionais, etc definido
pela UE como elementos de supervisão e controle constante sobre a GDPR. Estão
geograficamente distribuídas pelos vários (países) da UE e serão as
responsáveis pela lupa sobre os Controladores, Processadores e Representantes.
Serão uma espécie de QA, com autoridade plenamente instituída.
Representantes:
São uma espécie de “proxy” dos processadores, que não
estão na geografia da UE. Assim, os representantes respondem pelos
processadores, perante as Autoridades de Supervisão, junto ao solo da UE.
Suponha, por exemplo, uma empresa brasileira de tratamento de dados (faça
projetos de Qualidade de dados, Dados Mestres, BI, etc) que fará um serviço
para a FIAT na Itália. Essa empresa, deverá ter um representante formal naquele
pais, ou em algum lugar da UE, que será o elo com as autoridades de supervisão.
Outras
considerações importantes:
a)O consentimento(ou a autorização concedida pelo donos
dos dados), deverá ser feita explicitamente em termos claros, inteligíveis, sem
juridiquês (legalese, em inglês), em um formulário facilmente acessível, com o
objetivo do uso dos dados pelos controladores e processadores claramente
definido. O consentimento dado poderá ser retirado a qualquer momento, bem como
a solicitação de eliminação de dados existentes, porém agora sem relevância;
b)O direito ao acesso, por parte dos usuários, será
rigoroso, podendo o dono dos dados questionar os controladores ou processadores
se os seus dados estão sendo processados por eles;
c)O direito à portabilidade significa que o dono dos
dados poderá solicitar (aos controladores e processadores) os seus dados em
uso, entregues em forma digital (machine readable) e transferi-los para outro
controlador;
d)O direito à Privacidade por projeto(Privacy by design)
diz respeito à consideração desses conceitos(Privacidade e Segurança) serem
feitas no nível de projetos e não mais à posteriori.
Como se percebe, as exigências da GDPR elevarão, em muito,
os cuidados necessários com os dados de residentes da UE. Isso demandará uma
visão organizacional sobre dados(nos domínios de Segurança e Privacidade) e ,
claro, chegará à Governança de dados e o seu papel fundamental e a importância dos conceitos aplicados por ela. No próximo
artigo, falaremos sobre isso.
Nenhum comentário:
Postar um comentário