GDPR: navegando pelas complexidades dos dados dos clientes

Marcy Darsey, diretora do conselho corporativo, Lifesize
Data: 15 de fevereiro de 2018

Olá, pessoal, e bem-vindos de volta ao Lifesize Live!, o show ao vivo pela web produzido inteiramente por meio da plataforma Lifesize.

Eu sou seu apresentador, Julian Fields, e comigo hoje está Marcy Darsey, consultora legal aqui na Lifesize. Vamos falar sobre GDPR.

Muito bem. O assunto favorito de todos hoje em dia.

Sim. Quero dizer, sabemos o que é GPDR. Mas talvez, só para garantir que todos saibam o que é GDPR, vocês poderiam dar algumas informações — como o que significa, o que representa, etc.

Bem, Julian, antes de tudo, muito obrigada por me receber aqui no Lifesize Live! É realmente emocionante conhecer o estúdio e fazer parte deste webcast que a Lifesize produz agora. Antes de começarmos ou nos aprofundarmos em GDPR, como eu sou advogada, quero avisar antes de começar que nada que eu disser nos próximos 10 minutos constitui em aconselhamento jurídico.

Muito bem.

Então, se alguém realmente tiver curiosidade sobre este assunto ou tiver dúvidas específicas sobre GDPR ou qualquer regulação ou lei, deverá consultar com um especialista legal qualificado. Mas, sobre a sua pergunta. O que é GDPR e o que significa? GDPR significa General Data Protection Regulation, uma nova lei aprovada pela Comissão Europeia. Trata-se da segurança e privacidade dos dados de todos os residentes da União Europeia.

Certo. Eu sei que, trabalhando em marketing, sempre experimentamos algum elemento disso ao não poder enviar e-mails a pessoas que não concordaram.

Exato. Bem, na verdade as leis de segurança e privacidade de dados na UE já existem há muito tempo, há mais de 20 anos. Mas a GDPR em si está em vigor há dois anos. Estivemos em um período de implementações e, em 25 de maio, os reguladores começarão a aplicar essa lei. Começarão a atender às questões de não conformidade e, se virem que as empresas não estão conformidade com a GDPR, essas empresas estarão sujeitas a multas. E as multas são pesadas.

OK, não é uma reprimenda.

Isso mesmo, não é uma reprimenda. As multas podem ser de até 20 milhões de euros, o que é considerável.

A taxa de conversão sobre esse valor—vejamos, é mais de 20 milhões de dólares.

É muita coisa. As empresas podem pagar a quantia de 20 milhões de dólares ou até quatro porcento do seu lucro global anual, incluindo a receita das operações em todo o mundo, não apenas das operações na Europa.

Muito bem, então quanto maior você é, maior é a multa.

Bem, as multas são significativas, e isso é porque a União Europeia reconhece que todos os indivíduos têm direito fundamental à privacidade. E, quando você pensa sobre o mundo em que vivemos hoje em dia, com todos os avanços tecnológicos que aconteceram ao longo das últimas décadas, as identidades das pessoas e seus dados pessoais são compartilhados em muitas plataformas, e muitas empresas lucram com a coleta de dados de indivíduos.

Sim, parece que quase todos os aplicativos que eu tenho possuem pelo menos meu nome, algum elemento de uma senha, números de telefone, endereço, coisas assim.

Exatamente. Pense sobre todas as empresas com as quais interage on-line e quantas das suas informações pessoais essas empresas possuem.

Cartão de crédito é uma coisa, mas coisas sobre mim, minhas informações.

Sim, sua identidade, seus dados, quem você é, seu nome — isso é informação confidencial. E, se você compartilhar essas informações com uma empresa, então essa empresa é obrigada a garantir que está sendo transparente com você sobre como está coletando dados e como está usando esses dados e também é obrigada a implementar proteções técnicas adequadas e operacionais para assegurar que seus dados pessoais estejam seguros para que não sejam hackeados. E, se as empresas não estiverem em conformidade com essas leis, as penalidades serão graves, porque o governo na União Europeia quer assegurar que as empresas levem suas obrigações a sério.

Entendi. Então, quais são os elementos-chave da GDPR?

Bem, se você imprimir a GDPR propriamente dita em inglês, serão 88 páginas. É uma lei extensa que cobre muitos tópicos. Há 99 artigos diferentes na GDPR.

Isso é perfeito, porque, a partir de hoje, faltam 99 dias para entrarmos em conformidade. Um artigo por dia — podemos fazer isso.

Qualquer um pode fazer isso. Hoje, 99 é o número mágico porque estamos a 99 dias para a implementação da GDPR entrar em vigor. Ela cobre muitas coisas, mas um dos principais tópicos é um que eu já mencionei: transparência. Os indivíduos têm o direito de entender quais de seus dados estão sendo coletados, o que as empresas fazem com esses dados e se esses dados são passados para fornecedores ou processadores terceirizados. Transparência envolve também saber como e onde no mundo seus dados são armazenados.

Coisas como as pop-ups que você vê em sites que informam a coleta de cookies ou esse tipo de coisa.

Sim, poderiam ser anúncios — isso faz parte do que é ser transparente com os clientes. Ter declarações adequadas na política de privacidade ou nos avisos de privacidade é realmente importante. A maioria das empresas está atualizando seus avisos de privacidade para os clientes para que eles conheçam essas obrigações de transparência. Um outro princípio na GDPR é a prestação de contas, que também é muito importante. O que a prestação de contas significa é que as empresas deverão ser capazes de demonstrar aos clientes que estão em conformidade com os regulamentos e, para demonstrar a conformidade, as empresas deverão ter políticas e procedimentos documentados em vigor. Elas também deverão documentar suas atividades de processamento de dados. As empresas serão obrigadas a manter registros em papel do que fazem.

Então, não basta dizer "sim, declaro estar em conformidade com a GDPR".

Não é suficiente dizer "você tem nossa palavra. Estamos em conformidade". Você realmente precisa ter alguma documentação para demonstrar a sua conformidade com os regulamentos. Logo, um terceiro princípio importante da GDPR é o que é conhecido como um conceito de privacidade desde a concepção, e o que isso significa é que, se as empresas estão desenvolvendo produtos que envolvem a coleta ou o processamento ou o armazenamento de dados pessoais dos indivíduos—

Como os aplicativos que mencionei.

Sim, isso mesmo. Então, se você é uma empresa e está desenvolvendo aplicativos que coletam dados pessoais, é preciso aplicar uma abordagem de privacidade desde a concepção até o desenvolvimento do produto.

Não é algo secundário.

Bem, isso significa que, enquanto você está desenvolvendo a arquitetura para a sua solução ou serviço, você também está levando a privacidade e a segurança em consideração a cada etapa. Você está desenvolvendo, pensando sobre a privacidade desde o começo e sobre como ela é integrada à arquitetura do seu produto. Não é algo que você faz e encaixa no final como algo secundário. Como você disse.

"Vamos criptografá-la no final" — não é assim que se faz.

Não é assim que funciona. É preciso pensar sobre a privacidade ao longo de todo o ciclo de desenvolvimento do produto. E, novamente, com a prestação de contas, você precisa documentar essas ações.

Entendi. Bem, se isso é o principal, vamos detalhar o que as empresas realmente devem estar pensando. Qual é o primeiro passo a ser trabalhado?

O primeiro passo para as empresas é fazer uma avaliação dos dados e compreender quais dados elas possuem. As empresas realmente devem olhar para quais dados dos clientes elas possuem e compreender esses dados e o fluxo dos dados. Isso, às vezes, é chamado de mapa de dados ou inventário de dados. Então, elas olham para cada etapa, da coleta até o processamento, o armazenamento, a exclusão ou a retenção — e se têm obrigações a cumprir para garantir que estejam em conformidade. O primeiro passo é uma avaliação de dados ou mapeamento de dados. Em seguida, o segundo passo seria desenvolver técnicas adequadas e medidas operacionais para garantir que os dados pessoais estejam seguros ao longo do mapeamento de dados.

Certo. Acabei de ver que temos uma pergunta, se você não se importa de respondê-la. Tem a ver com os tipos de exigências para o encarregado da proteção de dados. É algo que as empresas devem ter?

Depende. Não é necessário para todas as empresas, mas depende do tipo de dados que são processados. Se você está processando muitos dados confidenciais, provavelmente precisa ter um encarregado de proteção de dados. E, se você faz algum tipo de monitoramento constante, como se tem uma TV com legendas e está constantemente monitorando as pessoas, é necessário ter um encarregado de proteção de dados. É uma típica resposta jurídica, mas depende. E, na verdade, é uma boa vantagem dessa lei — não é uma lei de tamanho único. Todas as empresas devem desenvolver um programa personalizado para a sua própria conformidade. E isso depende do tipo de dados e de suas atividades de processamento de dados. Então, não há somente uma solução simples que funciona para todas as empresas. Tudo deve de ser personalizado e minuciosamente considerado.

Certo, certo. Muito obrigado, Marcy. Acho que nosso tempo já acabou, mas, se você não se importar, sei que temos mais perguntas que chegaram. Poderíamos seguir e lançar um blogue falando um pouco mais sobre isso?

Com certeza. Há muito a dizer sobre este tema, e agradeço a todos só por sintonizarem e se juntarem a nós hoje. Obrigada por me receber.

Claro. Teremos que receber sua visita novamente em breve. Agradeço a todos por sintonizarem. Vemos você semana que vem. Tchau.