Em 2016, com o objetivo de proteger a privacidade dos dados dos usuários europeus, foi publicada – e entrará em vigor dia 25 de maio de 2018 – a General Data Protection Regulation (GDPR). A decisão tomada na União Europeia impacta todo o globo e as empresas precisam estar preparadas.
O que é a GDPR?
É um conjunto de normas para regulamentar a coleta e o uso de dados pessoais de indivíduos que se encontram na União Europeia, em caso de oferecimento de bens ou serviços a esses indivíduos ou de monitoramento do seu comportamento.
Por que a GDPR foi criada?
Quando o assunto é dados pessoais de usuários, há muita preocupação em protegê-los. Nesse cenário, a EU-GDPR vem zelar pela liberdade e pelos direitos dos usuários.
As normas são restritas a Europa?
Toda empresa que opera na Europa com coleta ou tratamento de dados precisa se adequar às normas. Nesse cenário estão, inclusive, gigantes do mercado – como Amazon, Google, Facebook e Adobe – que, como atuam na Europa, atenderão às normas. Esse movimento faz com que outras empresas adotem as normas da GDPR. Em outras palavras, as normas que nasceram na Europa se tornam boas práticas de referência para todo o globo.
Qual o papel de cada envolvido no GDPR?
Num tweet: o que dizem as normas da GDPR?
Detalham direitos dos usuários, assegurando acesso e edição de seus dados.
O que dizem as normas da GDPR?
Toda a regulamentação conta com 11 capítulos e está disponível no site do GDPR. Confira abaixo os principais pontos da GDPR.
- Disponibilizar a identidade e o contato do controller*;
- Disponibilizar os contatos da empresa de data protection**, se houver;
- Detalhar ao usuário quais dados serão coletados, como serão usados e os motivos para o processamento de dados e as bases legais para isso;
- Listar os destinatários dos dados (ou suas categorias), se houver;
- Citar o período que o dado ficará armazenado ou – se não for possível – o critério usado para determinar tal período;
- Explicitar as possíveis consequências da falta de fornecimento dos dados;
- Detalhar a fonte dos dados, se veio de uma fonte pública e não foi coletado diretamente do usuário;
- Conceder o direito do usuário retificar seus dados;
- Conferir o direito de retirar o consentimento de processamento dos seus dados a qualquer momento;
- A coleta de dados sensíveis (que revelam origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos, dados relativos à saúde ou dados relativos à orientação sexual) merecem proteção específica.
- O tratamento dos dados de uma criança é legal quando a criança tiver pelo menos 16 anos. Nos casos em que a criança tenha menos de 16 anos de idade, tal tratamento só será lícito se e na medida em que o consentimento seja dado ou autorizado pelo titular da responsabilidade parental sobre a criança.
*Controller é a empresa que determina os fins e os meios do processamento de dados.
**São os responsáveis por supervisionar a estratégia e a implementação da proteção de dados para garantir a conformidade com os requisitos do GDPR.
Navegg e a GDPR
A Navegg entende que o GDPR é uma boa prática e, portanto, observa e segue as normas. De fato, muitos pontos abordados pela GDPR já eram adotados pela Navegg. Confira abaixo quais são eles e como a Navegg se adequou em relação aos que não eram adotados ainda.
1. Disponibilizar a identidade e o contato do controller;
2. Disponibilizar os contatos da empresa de data protection, se houver
3. Detalhar os motivos para o processamento de dados e as bases legais para isso;
4. Listar os destinatários dos dados (ou suas categorias), se houver;
5. Citar o período que o dado ficará armazenado ou – se não for possível – o critério usado para determinar tal período;
6. Explicitar as possíveis consequências da falta de fornecimento dos dados;
7. Detalhar a fonte dos dados, se veio de uma fonte pública e não foi coletada diretamente do usuário;
Desde o princípio, na política de privacidade da Navegg, constam as informações dos pontos 1, 3, 4, 5, 6 e 7. Já o ponto 2 fica a cargo dos nossos clientes nos citarem em suas políticas de privacidade.
8. Conceder o direito do usuário retificar seus dados;
Desde o princípio, disponibilizamos a página Seu Perfil para que o usuário veja como está sendo classificado pela Navegg e, há 9 anos, a página Editar Seu Perfil para que ele (a) possa editar as informações que ali constam.
9. Conferir o direito de retirar o consentimento de processamento dos seus dados pessoais a qualquer momento;
Assim como, a Navegg disponibiliza um plug-in para incluir o opt-in em seu site. Desde o princípio, a página Sair da Rede está disponível para os usuários que desejem fazer opt-out da rede Navegg também.
10. A coleta de dados sensíveis (que revelam origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos, dados relativos à saúde ou dados relativos à orientação sexual) só é permitida quando o processamento é necessário para fins de medicina preventiva ou ocupacional, para a avaliação da capacidade de trabalho do funcionário, diagnóstico médico, prestação de cuidados de saúde ou sociais ou tratamento ou gestão de sistemas e serviços de saúde ou assistência social com base em Do direito da União ou do Estado-Membro ou por força de contrato com um profissional de saúde.
Desde o princípio das suas operações, a Navegg não armazena nem coleta dados sensíveis e explica isso em sua política de privacidade.
11. O tratamento dos dados pessoais de uma criança é legal quando a criança tiver pelo menos 16 anos. Nos casos em que a criança tenha menos de 16 anos de idade, tal tratamento só será lícito se e na medida em que o consentimento seja dado ou autorizado pelo titular da responsabilidade parental sobre a criança, desde que essa idade inferior não seja inferior a 13 anos.
A Navegg não coleta dados pessoais nem identificáveis. Além disso, antes havia uma boa prática de mercado que permitia a coleta de dados de adolescentes de 13 a 16 anos. No entanto, a partir da decisão publicada no GDPR, esta categoria foi retirada e apenas maiores de 18 anos têm seus dados coletados pela Navegg. Confira abaixo um exemplo da aba dados demográficos do dashboard da Navegg após tal atualização.
Como criar uma estratégia de dados que respeita as normas?
As empresas com operação na Europa que descumprirem as regras, receberão multas. As menores penalidades custarão até 10 milhões de Euros ou 2% do volume de negócios global. Já as empresas que não operam na Europa, não receberão multas, mas colocam a reputação das suas empresas em risco. De fato, independentemente de onde a empresa opera, uma mancha na reputação deve ser a preocupação de todas. Isso pode ter um preço muito mais alto que a própria multa.
A Navegg completa 10 anos de atuação e preocupação com as melhores práticas deste mercado. Por isso, é o parceiro ideal para montar uma estratégia de uso de dados com a sua empresa e para lhe ajudar a compreender e se adequar as novidades do mercado.
Caso tenha ficado alguma dúvida sobre aplicação do GDPR, conte conosco e escreva para [email protected]