O que é GDPR e o que mudou para minha empresa
Quando se trata de empresas que atuam no ambiente da internet, uma questão que traz muita polêmica diz respeito à regulação de dados pessoais. Eles são necessários em alguns serviços, como os que envolvem transações. Entretanto, de outro lado há os direitos do consumidor.
Enquanto países como o Brasil possuem regulamentações fracas sobre segurança digital, em outros lugares essa discussão avança. É o caso da União Europeia, que em 2016 criou o Regulamento Geral de Proteção de Dados (GDPR), cuja entrada em vigor aconteceu em maio de 2018.
O que é a lei GDPR
Começando pelo seu nome, o Regulamento Geral de Proteção de Dados já deixa claro qual é o seu objetivo. Isto é, a salvaguarda das informações do consumidor residente na União Europeia.
Embora há muito tempo a União Europeia já discuta sobre estes temas (em 1995 tem as primeiras regulamentações e em 2012 começa a ser discutida a GDPR), o resultado tal como foi criado agora surgiu em 2016. Algumas regras rígidas foram criadas para proteger os cidadãos.
Como ela impacta o mercado de segurança da informação no Brasil
O que confunde muita gente é que, se essa regulamentação é europeia, por que ela impacta as empresas daqui? Por que isso não se aplica somente às da Europa?
Pode ser visto sob dois ângulos diferentes. O primeiro, é o do consumidor. Neste caso, se alguém reparou, nos últimos meses deve ter recebido vários e-mails dos serviços que utiliza mudando os termos de uso e de privacidade. Isto porque boa parte das empresas no mundo optaram por seguir as linhas do GDPR.
O segundo, é o das empresas. As que são nacionais, se quiserem trabalhar com europeus, devem seguir a política deles e não apenas a de segurança da informação Brasil, visto que no nosso país é menos complexa.
O que muda para os setores de TI das empresas
Os setores de TI das empresas, com isso, têm de se adaptar para trabalhar com residentes da Europa. Algumas das obrigações da GDPR Europe são:
- Deixar o usuário escolher se e como seus dados serão tratados e utilizados, saber quais dados estão sendo coletados e poder solicitar cópia.
- Ter políticas de privacidade claras.
- Considerar a proteção dos dados uma das partes vitais da empresa.
- Dificultar o acesso às informações do usuário, fazendo com que a sua identidade só seja descoberta se juntadas diversas informações.
- Ter um Data Protection Officer em cada empresa.
O que minha empresa pode fazer
A empresa que tenha clientes no continente europeu, deve começar a adaptar-se. Isso porque qualquer informação é relevante para o GDPR – desde os cookies do navegador até o endereço do consumidor.
Em vista disso, o mais adequado a fazer é adequar o seu sistema de segurança digital. Atualizar os termos de uso e política de privacidade é um bom caminho. Além disso, seguir as recomendações citadas no item anterior.