o ã ç i al d E git Di
www.informationmanagement.com.br
A revista dos profissionais da informação
Especial
GDPR A sua empresa está pronta para o novo Regulamento Geral de Proteção de Dados da União Europeia? Entrevista Exclusiva Dra.Patrícia Peck
ENTREVISTA
PatrÃcia Peck 2
INFORMATION MANAGEMENT | NOV2017
www.informationmanagement.com.br
GDPR em pauta A sua empresa está pronta para o novo Regulamento Geral de Proteção de Dados da União Europeia? Com a entrada em vigor, em maio de 2018, das novas leis sobre privacidade e proteção de dados, especialmente na Europa, e em vários países da América Latina, há a necessidade de realizar uma análise de como está o grau de conformidade da empresa e quais medidas precisam ser tomadas para evitar infração a estas novas regras. Advogada especialista em Direito Digital, graduada pela Universidade de São Paulo e doutorada em direito internacional pela mesma instituição, a Dra. Patricia Peck Pinheiro é a nossa entrevistada desta edição para tirar todas as suas dúvidas a respeito do assunto. Mas você sabe se a sua empresa está sujeita à nova regra europeia da GDPR (General Data Protection Regulation – Regulamento Geral de Proteção de Dados da União Europeia)? Veja esses questionamentos: • • • •
A empresa possui operações em quaisquer dos países integrantes da União Europeia? A empresa coleta e/ou armazena dados coletados diretamente de cidadãos da União Européia em sua base (princípio da nacionalidade)? A empresa faz parte do mesmo grupo econômico de empresas que possuem dados coletados e/ou armazenados de cidadãos da União Europeia e compartilha dados (há integração destas bases de dados de alguma forma)? • A empresa possui sua base de dados localizada em território de um dos Estados membros da União Europeia ou utiliza uma solução internacional contratada por sua matriz ou grupo econômico que esteja localizada em território da União Europeia – princípio da territorialidade? • A empresa pretende estabelecer operações na União Europeia em 2018 ou ofertar produtos e serviços que envolvam a coleta ou armazenamento de dados de cidadãos da União Europeia? Se a resposta foi SIM para uma dessas cinco perguntas, então esse conteúdo é para você!
IIMA – O que é o Regulamento Geral de Proteção
União Europeia em abril de
bém se aplica a companhias
2016 que trata sobre como as fora da UE que processam
de Dados (GDPR) e a quem organizações podem gerir os
dados de indivíduos euro-
dados pessoais dos cidadãos
peus (princípio da nacionali-
europeus. A medida atinge
dade dos dados) e as empre-
regulamentação conhecida
toda empresa ou organização
sas instaladas no Brasil que
por General Data Protection
que processa, controla, hos-
estejam de posse de dados
Regulation, ou pela sigla
peda ou compartilha dados
de cidadão europeus também
GDPR, é uma normativa
pessoais dos cidadãos da
devem estar atentas à nova
geral de proteção de dados
União Europeia.
regra. Por isso recomenda-
se aplica? Dra. Patricia Peck – A
pessoais promulgada pela
www.informationmanagement.com.br
Ou seja, a regulação tam-
mos que as corporações na
2018 | INFORMATION MANAGEMENT
3
ENTREVISTA a GDPR não é tão simples assim. O novo regulamento estabelece uma série de
“A nova regulamentação tem um caráter mais protecionista e exige o consentimento prévio e expresso para utilização dos dados.”
exigências que, até então, não eram consideradas no cotidiano das organizações. IIMA – Poderia dar um exemplo? Dra. Patricia Peck – A exigência de explicar a relação entre o uso e sua
cionais façam uma análise
objetivo principal da nova
de risco e conformidade de
regulamentação foi o de
sua estrutura atual.
simplificar a relação das
IIMA – Quando entra em vigor? Dra. Patricia Peck – A
privacidade, unificando o entendimento em um úni-
GDPR foi aprovada em
co Regulamento Geral da
abril de 2016 e concedeu às
União
organizações um período de
Européia. Esta uniformiza-
dois anos para estarem em
ção visou estabelecer limites
conformidade com os seus
no uso dos dados pessoais e
requisitos, passando a vigo-
transparência na gestão das
rar completamente a partir
informações relacionados
25 de maio de 2018.
aos consumidores euro-
IIMA – Quais são os objetivos do novo Regulamento? Dra. Patricia Peck – O
4
empresas com as leis de
INFORMATION MANAGEMENT | 2018
peus, reforçando o direito dos cidadãos à privacidade e à proteção dos seus dados. Contudo, a transição das empresas para cumprir
finalidade no tratamento dos dados, se a informação é diretamente relevante e necessária à realização dos objetivos específicos do projeto, se os dados são recolhidos diretamente do indivíduo, e se existem políticas e procedimentos para se assegurar que os dados pessoais são precisos, completos e atuais. Em determinadas situações as instituições vão ter que avaliar o impacto de privacidade ao fazer o tratamento de dados de indivíduos em suas bases de dados. Devemos entender por que há a necessidade de se ter uma lei específica sobre
www.informationmanagement.com.br
proteção dos dados pessoais, dependem diretamente de
empresa e o usuário.
visto que o direito a privaci-
informação para garantir a
dade já é uma garantia cons-
segurança jurídica das par-
titucional. A resposta a isso
tes, evitar golpes, fraudes,
- Criação de Órgãos Con-
é devido à forma como está
inadimplência. Informação
troladores Locais para cada
sustentado o modelo atual
verdadeira e transparente,
país membro da comunida-
de negócios da Sociedade
utilizada de forma legítima e de Europeia para receber e
Digital, em que a informa-
proporcional garante cresci-
ção passou a ser a principal
mento econômico e seguran-
moeda de troca utilizada
ça pública.
pelos usuários para ter
Sendo assim, o cidadão
Dentre os princípios e conceitos, podemos destacar:
investigar denúncias; - Nomeação de um representante da organização para responder pela gestão dos
acesso a determinados bens,
deve ter o direito de ser
serviços ou conveniências.
proprietário da sua própria
Na medida em que a eco-
informação e poder negociar rências com a comunicação
nomia digital gira em torno
livremente a mesma.
dos dados pessoais, é preciso estabelecer alguns limites e melhores práticas, para proteção do consumidor e evitar inclusive concorrência desleal. Ou seja, o objetivo é coibir excessos e garantir maior transparência. Isso porque qualquer barreira à informação é algo antinatural na sociedade da informação. O progresso e a evolução tecnológica visaram justamente dar maior acesso à informação e não restringi -lo. E as relações negociais
www.informationmanagement.com.br
IIMA – Quais serão seus novos princípios e conceitos (necessidades de adaptação)? Dra. Patricia Peck – A nova regulamentação tem um caráter mais protecionista e exige o consentimento prévio e expresso para utilização dos dados. Uma das novidades é a necessidade de se criar um modelo de gestão de consentimentos ao longo do ciclo de vida dos dados pessoais na manutenção da relação entre a
dados pessoais; - Dever de reportar ocoraos Órgãos Controladores Locais sobre qualquer violação ocorrida em dados pessoais (data breach); - Direito do usuário de ser excluído – quando acionadas, as organizações deverão excluir todos os dados pessoais do solicitante; - Direito de se opor – o indivíduo pode negar o uso dos seus dados pessoais para determinadas situações, como campanhas de marketing, por exemplo; - Direito à retificação dos dados – o indivíduo poderá
2018 | INFORMATION MANAGEMENT
5
ENTREVISTA solicitar e indicar a corre-
Proteção de Dados (GDPR)
cos de dados. Uma coisa é
ção e o preenchimento dos
da UE, e 86% delas acre-
lidar com os dados como se
dados pessoais incompletos;
ditavam que isso possa ter
fossem da empresa, sua pro-
- Direito à portabilidade
impacto negativo em suas
priedade sem a necessidade
dos dados – o cidadão pode
operações. Isso porque a
de dar satisfação a ninguém
solicitar a transferência dos
GDPR vai exigir um cuida-
(como era até agora). Ou-
seus dados de uma organiza- do maior em relação a onde
tra coisa, é ser depositária
ção para outra, sem entraves
e como os dados pessoais
fiel dos dados pessoais e ter
ou burocracia;
(incluindo informações ban-
deveres de proteção e de
- Direito à transparência
cárias, de cartão de crédito
prestar contas não apenas
– o cidadão pode solicitar
e de saúde) são armazena-
para os usuários-clientes
informações sobre o proces-
dos e transferidos, e como o
mas também para regula-
samento e armazenamento
acesso a essas informações
dores, com imposição de
dos seus dados;
é vigiado e auditado pelas
multas extremamente altas.
empresas.
E isso vai afetar até o fluxo
- Privacidade dos dados das crianças – o armazenamento de dados pessoais de crianças com menos de 13 anos devem ter o consentimento dos responsáveis.
IIMA – Qual será o impacto para os cidadãos, empresas e organizações públicas e privadas? Dra. Patricia Peck – Há
IIMA – As empresas estão dois grandes impactos: um é preparadas? Dra. Patricia Peck –
forma como ele era, quando ocorria dentro de um mesmo grupo econômico e que agora terá que seguir regras. IIMA – Quais serão as sanções pelo não cumpri-
serem feitos na operação das mento do Regulamento?
Uma pesquisa global reali-
empresas que terão que in-
zada em abril de 2017 apon-
vestir para ficarem conforme envolver um aumento de
tou que quase metade das
a nova regulamentação.
empresas globais (47%) com presença na União Europeia
6
financeiro, pois há ajustes a
internacional de dados, da
E o outro é cultural. As empresas terão que mudar a
Dra. Patricia Peck – Por responsabilidade relacionado ao tratamento de dados pessoais e direito à privaci-
temia não conseguir cumprir cultura de como lidam com
dade, a GDPR prevê sanções
dentro do prazo os requisitos as informações pessoais
administrativas severas que
da Regulamentação Geral de armazenadas em seus ban-
podem atingir até 20 mi-
INFORMATION MANAGEMENT | 2018
www.informationmanagement.com.br
lhões de euros ou até 4% do volume de negócio anual
IIMA – Poderia pontuar os direitos relevantes
que os seus dados pessoais são ou não objeto de trata-
mundial do responsável pelo previstos?
mento; o direito de correção
tratamento dos dados (o que
dos dados pessoais inexatos
Dra. Patricia Peck – Por
for maior no momento da
reforçar o direito dos cida-
que lhe digam respeito; o
aplicação da penalidade). As
dãos à proteção dos seus
direito de apagamento dos
regras são complexas e as
dados, tornando os proces-
seus dados pessoais quando
multas para quem não cum-
sos em torno do uso das
deixarem de ser necessários
prir os requisitos são bastan- informações mais simples
para a finalidade que moti-
te significativas.
para as empresas (devido
vou sua coleta ou tratamen-
a uniformização das regras
to; o direito de restrição do
trole têm amplos poderes
sobre a matéria em todos
tratamento quando for ilí-
de investigação sobre os
os países integrantes da
cito e o titular se opuser ao
agentes de tratamento de
União Européia), a GDPR
apagamento dos seus dados
dados pessoais, incluindo as
estabelece aos usuários: o
pessoais; o direito de não ter
prerrogativas de requisitar
direito de pleitear e obter
seu dado armazneado fora
informações, obter acesso às
do agente a confirmação de
da União
As autoridades de con-
suas instalações, ordenar a adoção de medidas para o cumprimento dos deveres e obrigações previstos no GDPR, impor limitação temporária ou definitiva e até a proibição do tratamento de dados (que quer dizer, ao final, poder ser banido de fazer negócios na Comunidade Européia ou ter cidadãos europeus como clientes em sua base de dados). www.informationmanagement.com.br
2018 | INFORMATION MANAGEMENT
7
ENTREVISTA Européia (localização geográfica do dado), o direito de portabilidade dos dados, entre outros. IIMA – Quais serão os principais desafios? Dra. Patricia Peck – São aqueles relacionados à adequação das soluções que manuseiam dados estarem em conformidade com a GDPR, visto que há muita terceirização nas áreas de TI das empresas. O mesmo ocorre com as soluções de segurança da informação. Há uma série de controles que devem ser implementados que vão desde níveis de criptografia (para garantir padrão de proteção mínimo) até rastreabilidade da informação. Logo, os primeiros que estão na mira são os que oferecem algum tipo de serviço na nuvem (cloud), seguidos dos que realizam tratamento de dados (enriquecimento de bases de dados) com uso de Big Data
8
INFORMATION MANAGEMENT | 2018
“A lei de proteção de dados pessoais não deve ser uma lei sobre direitos humanos, é uma lei sobre modelos econômico, para estabelecer regras, limites para equilibrar a relação entre empresas, usuários e o Estado na Economia da informação.“ e daqueles que fazem ges-
ços, ainda que na condição
tão de dados relacionados a
de processadores subcontra-
biometria (considerado dado
tados pelos efetivos forne-
sensível). A GDPR exige
cedores desses produtos ou
alguns níveis de anonimi-
serviços.
zação o que faz com que empresas estejam buscando novas soluções neste sentido. Até a entrada em vigor do GDPR, não serão poucos os ajustes de procedimentos e de contratos que deverão ser implementados pelas organizações que realizam o tratamento de dados pessoais de indivíduos localizados no território da União Europeia, de forma relacionada à oferta de produtos ou servi-
IIMA – De que maneira as pessoas e as empresas podem e devem se preparar? Dra. Patricia Peck – O primeiro passo é fazer uma análise de aplicabilidade (para verificar se a empresa está sujeita ao GDPR e em que medida). Em seguida, deve ser aplicado um Risk Assessment que vai mapear e diagnosticar o quanto a empresa já www.informationmanagement.com.br
está em conformidade com o que foi previsto na nova regulamentação e quais são
IIMA – Poderia falar sobre a ISO 27001? Dra. Patricia Peck – A
pela segunda vez ao debate o novo texto de um anteprojeto de lei de proteção de
os pontos que ainda preci-
norma ISO 27001 é o padrão dados pessoais.
sam ser melhorados (Gap
e a referência Internacional
Analysis). Há muitas em-
para a gestão da Seguran-
estão tramitando, o mais
presas que desconhecem
ça da informação, assim
avançado é o PL 5276. O
quantos tratamentos de
como a ISO 9001 é a refe-
Brasil está mais atrasado do
dados realizam e tampouco
rência Internacional para a
que outros países da Amé-
sabem como está o registro
certificação de gestão em
rica Latina uma vez que já
de todo o seu processamento Qualidade. Como é inter-
possuem uma lei de Prote-
de dados. E é fundamental
nacionalmente reconhecida
ção de Dados Pessoais e que
realizar este levantamento
e implementada em todo o
estão apenas atualizando a
para que se possa ter uma
mundo, pode ser uma opção
sua legislação agora (como é
documentação mais aderen-
para facilitar a conformi-
o caso do Chile).
te. Em seguida, entra a fase
dade com a série de regras
de implementação das reco-
da GDPR que requer que as
leis, e ter o tema da priva-
mendações e do preparo de
organizações implementem
cidade tratado em diversos
uma resposta para se houver
controles para proteger da-
normativos, não possui uma
alguma solicitação do Regu-
dos pessoais.
legislação específica sobre
lador. É possível obter uma certificação da GDPR para aqueles que queiram se diferenciar dos demais e inserir um selo no seu produto, serviço, aplicativo ou site. Além disso, é importante aplicar também o Risk Assessment nos terceirizados mais críticos que estejam envolvidos no tratamento de dados. www.informationmanagement.com.br
IIMA – Quando falamos em proteção de dados, como o Brasil está comparado a outros países? Dra. Patricia Peck – Em novembro de 2010, o Ministério da Justiça iniciou a discussão ao lançar a sua primeira consulta pública sobre o tema. Em 2015,
Dos projetos de lei que
Apesar do Brasil ter muitas
o tema, o que nos coloca em desvantagem. PL 5276: http://www. camara.gov.br/proposicoesWeb/fichadetramitacao?idProposicao=2084378 http://www2.camara.leg. br/camaranoticias/noticias/ CIENCIA-E-TECNOLOGIA/512980-PROJETO-REGULAMENTA-ACESSO
retomou a pauta ao submeter -A-DADOS-PESSOAIS-NO 2018 | INFORMATION MANAGEMENT
9
ENTREVISTA -BRASIL.html
práticas de uso da infor-
é uma lei sobre modelos
PLS 330/2013: https://
mação pessoal de forma
econômico, para estabelecer
www25.senado.leg.br/web/
equilibrada mas deve-se
regras, limites para equili-
atividade/materias/-/mate-
evitar situações que atraiam
brar a relação entre empre-
ria/113947
o lado obscuro da proteção
sas, usuários e o Estado na
PL 4060/2012: http://www. exacerbada da privacidade
Economia da informação
camara.gov.br/proposico-
que acaba por contribuir
(consumo dos dados e dados
esWeb/fichadetramitacao?i-
em um aumento do risco
como moeda).
dProposicao=2084378
social, o que faz crescer o
IIMA – A construção de leis de proteção de dados em uma realidade como no Brasil é uma decisão estratégica? Dra. Patricia Peck –
custo do crédito, o aumento
foco. Temos que ter cuidado
dos juros, o crescimento da
para que regulamentações
prática do ilícito que vai do
excessivamente protecionis-
golpe na praça até a prática
tas não tenham um viés de
do terrorismo.
reserva de mercado, de difi-
IIMA – Como especialista
Certamente. Por isso, o
em Direito Digital, a Sra.
legislador nacional deve
acredita que o novo GDPR
buscar os denominadores
irá beneficiar o Brasil ao
comuns para que o país este- ampliar a confiança na ja na vanguarda da garantia
proteção de dados e, conse-
dos princípios fundamentais
quentemente, nos negócios
de proteção de dados pes-
das empresas?
soais, mas que permita que
Dra. Patricia Peck – A
ele continue a atender a um
privacidade já está protegida
contexto muito local sobre
como direito humano desde
a necessidade de se garantir
os anos 50 e entrou como
mais segurança nas relações
garantia constitucional na
para se fomentar a economia maioria dos países. nacional.
A lei de proteção de dados
A lei de proteção de dados
pessoais não deve ser uma
deve garantir as melhores
lei sobre direitos humanos,
10
INFORMATION MANAGEMENT | 2018
Não podemos perder este
cultar a livre circulação dos dados, a livre concorrência, o livre acesso à informação. No caso da GDPR, ela por certo traz um custo adiconal para as empresas e isso tem um impacto financeiro imediato, principalmente nos países em desenvolvimento. Espero que a lei brasileira, quando sair, dê um prazo razoável para as empresas se adequarem, que deveria, por analogia, não ser menor que dois anos, como foi o da Europa.
www.informationmanagement.com.br
Os Melhores eventos em 2018 para quem trabalha com
INFORMAÇÃO.
18 / OUT WTC - Events Center São Paulo
CONGRESSO
16 e 17 de Agosto WTC - Events Center São Paulo RH....................22 / FEV Jurídico............12 / ABR Indústria 4.0...09 / NOV Seguradoras...29 / NOV TRYP Paulista Hotel
21 / SET TRYP Paulista Hotel Master Data
Rio de Janeiro - Dia: 23 / MAR Hotel Pródiy Santos Dumont
Management &
& DG
Data Governance
Summit
São Paulo - Dia: 10 / MAI WTC - Events Center
05 / JUL TRYP Paulista Hotel
2018
22 / JUN TRYP Paulista Hotel
24 / MAI TRYP Paulista Hotel
Conheça as condições de participação Promoção:
Clique Aqui
Realização Conjunta: Associação Brasileira de Empresas Usuárias e Fornecedoras de Tecnologias para Gerenciamento de Informação
www.informationmanagement.com.br
www.abeinfobrasil.com.br
2017 NOV | INFORMATION MANAGEMENT
11