- O GDPR aplica-se a qualquer organização que trate dados de residentes da UE, independentemente de onde essa organização está sediada
- Cada atividade de tratamento deve ter uma base legal documentada antes de começar, não depois de uma reclamação
- Tem 72 horas para notificar sua autoridade de supervisão após descobrir uma violação que represente risco para os indivíduos
- Os pedidos de exercício de direitos dos titulares de dados devem ser respondidos no prazo de um mês, sem custos para o indivíduo
- As multas do Escalão 2 podem chegar a 20 milhões de euros ou 4% do volume de negócios anual global, o que for mais elevado
A quem o GDPR se aplica
O âmbito extraterritorial do GDPR é a parte que a maioria das organizações subestima. O Artigo 3 faz com que o regulamento se aplique a qualquer organização que trate dados pessoais de indivíduos na UE ou EEE, independentemente de onde a organização está estabelecida. Uma empresa sediada em Nova York que vende assinaturas de software a empresas holandesas, ou uma empresa brasileira que monitoriza o comportamento de navegação de visitantes franceses de sites, está sujeita ao GDPR. A localização dos seus servidores ou da sua entidade jurídica não é o fator determinante. Tratar dados de residentes da UE é.
O regulamento distingue entre dois papéis. Um responsável pelo tratamento é qualquer organização que determina as finalidades e os meios de tratamento de dados pessoais. Um subcontratante atua em nome de um responsável pelo tratamento. Ambos os papéis têm obrigações nos termos do GDPR, mas os responsáveis pelo tratamento têm a responsabilidade principal. Se utiliza uma ferramenta de terceiros para tratar dados de clientes, é o responsável pelo tratamento e esse fornecedor é seu subcontratante: as falhas de conformidade deles podem tornar-se sua exposição regulatória.
O GDPR aplica regras mais rigorosas a dados de categorias especiais: informações de saúde e médicas, dados biométricos utilizados para identificação, dados genéticos, origem racial ou étnica, opiniões políticas, crenças religiosas, filiação sindical, e dados relativos à orientação sexual ou vida sexual. O tratamento destes dados requer uma condição adicional do Artigo 9 para além de uma base legal padrão. As organizações de saúde, os departamentos de RH e qualquer plataforma que recolha informações relacionadas com a saúde devem rever cuidadosamente sua base ao abrigo do Artigo 9.
As seis bases legais para o tratamento
Cada atividade de tratamento deve assentar numa das seis bases legais do Artigo 6. A escolha da base correta é importante porque determina que direitos se aplicam e o que deve comunicar aos indivíduos. As organizações recorrem frequentemente ao consentimento por defeito quando uma base mais adequada serviria melhor e criaria menos obrigações contínuas.
Os interesses legítimos são a base mais flexível, mas também a mais escrutinada. Requer um teste em três partes: identificar o interesse legítimo, confirmar que o tratamento é necessário para esse interesse, e ponderá-lo em relação aos direitos do indivíduo. Esse teste de ponderação deve ser documentado, não apenas presumido.
Suas quatro obrigações fundamentais
Registos de Atividades de Tratamento
O Artigo 30 exige que as organizações mantenham um Registo de Atividades de Tratamento (RoPA): um inventário escrito de todas as formas como trata dados pessoais. Cada entrada deve cobrir a finalidade do tratamento, as categorias de dados e de titulares de dados envolvidos, quaisquer terceiros com quem partilha dados, transferências para países fora do EEE e durante quanto tempo os dados são conservados.
As organizações com menos de 250 trabalhadores estão tecnicamente isentas do requisito completo do RoPA, a não ser que seu tratamento não seja ocasional, envolva dados de categorias especiais ou represente um risco para os indivíduos. Na prática, a maioria das empresas que tratam dados de clientes, dados de trabalhadores ou informações de saúde deve manter um. É a base de todas as outras atividades de conformidade, e os reguladores solicitam-no no início de quase todas as investigações.
Avaliações de Impacto sobre a Proteção de Dados
Uma Avaliação de Impacto sobre a Proteção de Dados (DPIA) é exigida antes de iniciar qualquer tratamento que possa resultar num risco elevado para os indivíduos. O Artigo 35 especifica que uma DPIA é sempre exigida para o tratamento em larga escala de dados de categorias especiais, para a definição de perfis sistemática e extensiva que afete significativamente os indivíduos, e para a monitorização em larga escala de espaços acessíveis ao público. As autoridades de supervisão também publicam listas de tipos de tratamento que exigem uma DPIA na sua jurisdição.
Uma DPIA não é um exercício único. Se alterar materialmente uma atividade de tratamento abrangida por uma DPIA existente, a avaliação deve ser revista e atualizada.
Notificação de violações
O Artigo 33 exige que notifique sua autoridade de supervisão nacional no prazo de 72 horas após tomar conhecimento de uma violação de dados pessoais que seja suscetível de resultar em risco para os direitos e liberdades dos indivíduos. Se não puder fornecer todos os detalhes no prazo de 72 horas, deve notificar com o que sabe e fornecer mais informações à medida que estejam disponíveis. O prazo de 72 horas começa quando toma conhecimento da violação, não quando ocorreu.
Quando a violação for suscetível de resultar num risco elevado para os indivíduos, o Artigo 34 também exige que notifique os indivíduos afetados diretamente, sem demora injustificada. Não existe um limiar mínimo para o que conta como violação: um email mal direcionado contendo dados pessoais é uma violação e precisa de ser avaliado em relação a estes requisitos de notificação.
Encarregado de Proteção de Dados
Um EPD é obrigatório ao abrigo do Artigo 37 em três situações: é uma autoridade ou organismo público; suas atividades principais exigem monitorização sistemática em larga escala de indivíduos; ou suas atividades principais envolvem o tratamento em larga escala de dados de categorias especiais. O EPD deve dispor dos recursos necessários para desempenhar suas funções de forma independente e reportar diretamente ao mais alto nível de gestão.
Mesmo quando um EPD não é legalmente obrigatório, a nomeação de um ou a designação de um responsável sénior pela proteção de dados sinaliza responsabilidade perante os reguladores e garante que alguém é proprietário do programa de conformidade. As autoridades de supervisão referem consistentemente que a ausência de qualquer responsabilidade interna pela proteção de dados é um fator agravante nas decisões de aplicação.
Direitos dos titulares de dados
O GDPR confere aos indivíduos oito direitos sobre seus dados pessoais. Deve ser capaz de responder a qualquer um destes pedidos no prazo de um mês civil, gratuitamente. Prorrogações de até dois meses adicionais são possíveis para pedidos complexos ou numerosos, mas deve notificar o indivíduo no primeiro mês de que está prorrogando.
O prazo de resposta de um mês para pedidos de acesso a dados surpreende muitas organizações porque os dados que precisam de recuperar abrangem múltiplos sistemas: CRM, email, software de RH, tickets de suporte e cópias de segurança. Sem um processo claro e um responsável nomeado, os pedidos frequentemente ultrapassam o prazo. Uma resposta tardia ou incompleta é independentemente reportável à autoridade de supervisão pelo indivíduo.
A estrutura de multas
As multas do GDPR funcionam em dois escalões, e a distinção é importante porque o escalão superior abrange as falhas de conformidade mais comuns.
As multas do Escalão 1 abrangem infrações menos graves, principalmente obrigações processuais e técnicas: não manter registos adequados de tratamento, não implementar medidas técnicas adequadas, não nomear um EPD quando exigido. O Escalão 1 pode chegar a 10 milhões de euros ou 2% do volume de negócios anual global.
As multas do Escalão 2 aplicam-se às infrações mais graves: violação dos princípios fundamentais de tratamento (legalidade, lealdade, transparência, limitação das finalidades, minimização dos dados), tratamento sem base legal válida, infração dos direitos dos titulares de dados e transferências internacionais ilícitas. As multas do Escalão 2 podem chegar a 20 milhões de euros ou 4% do volume de negócios anual global, o que for mais elevado.
As multas não são o único instrumento de aplicação disponível. As autoridades de supervisão podem emitir advertências, repreensões, proibições temporárias ou permanentes de tratamento, e ordens para notificar os indivíduos afetados. A Autoriteit Persoonsgegevens neerlandesa tem estado cada vez mais ativa: suas decisões de aplicação publicadas abrangem desde o consentimento inadequado para cookies até à notificação insuficiente de violações em grandes empregadores.
Colocar seu programa em ordem
Se seu programa de proteção de dados não foi revisto recentemente, comece pelo RoPA. Um registo de tratamento atual e preciso facilita todas as outras atividades de conformidade: revisões de bases legais, DPIAs, atualizações de avisos de privacidade e a resposta a violações dependem todas de saber o que trata e porquê.
- Audite suas atividades de tratamento atuais e documente cada uma no seu RoPA, incluindo a base legal para cada atividade.
- Reveja seus avisos de privacidade para garantir que correspondem ao que realmente faz, não ao que pretendia fazer quando foram escritos pela última vez.
- Construa um procedimento de resposta a violações que inclua o passo de notificação de 72 horas explicitamente, com uma pessoa nomeada responsável pela comunicação com o regulador.
- Mapeie seus fluxos de dados para subcontratantes terceiros. Cada relação de subcontratação deve ser regida por um Contrato de Tratamento de Dados conforme exigido pelo Artigo 28.
- Verifique se transfere dados pessoais para fora do EEE. O Reino Unido pós-Brexit, e quaisquer transferências para países sem decisão de adequação, requerem mecanismos de transferência adequados como as Cláusulas Contratuais Padrão.
- Teste sua resposta a pedidos de acesso a dados com um pedido simulado antes de um pedido real chegar.
- Se tratar dados de categorias especiais ou realizar monitorização em larga escala, confirme se é necessária uma DPIA e, se existir uma, se está atualizada.
A Autoriteit Persoonsgegevens aceita relatórios voluntários de violações e questões de organizações que trabalham em lacunas de conformidade. Os reguladores tratam as organizações que chegam com um plano de remediação de forma mais favorável do que as encontradas em incumprimento durante uma auditoria. A nossa equipa de auditorias e conformidade trabalha com organizações em todas as fases da construção de um programa GDPR, desde avaliações de lacunas iniciais até suporte contínuo de EPD.
O texto completo do GDPR com navegação artigo por artigo está disponível em GDPR.eu. O Comité Europeu para a Proteção de Dados publica orientações vinculantes sobre consentimento, notificação de violações, transferências de dados e base legal em edpb.europa.eu.