General Data Protection Regulation (GDPR): O que é? Quais os pontos de atenção no descarte de eletrônicos?

Em 25 de maio de 2018 entrou em vigor a General Data Protection Regulation (GDPR), nova lei europeia que tem por objetivo reforçar as proteções de dados dos europeus. A partir de então, todas as empresas de pequeno, médio e grande porte estão tendo que investir em cibersegurança. E não pense você que a GDPR atinge apenas as empresas europeias! Todas as organizações que, de alguma forma, negociam com a Europa terão que se adequar.

Por essa razão, elaboramos este artigo com informações básicas sobre a lei, inclusive no que diz respeito ao descarte de equipamentos eletrônicos. Acompanhe!

O que é a GDPR

A GDPR ou RGPD (Regulamento Geral de Proteção de Dados da União Europeia), é a  nova lei europeia que veio substituir a Diretiva de Proteção de Dados e que tem como objetivo “harmonizar as leis de dados privados por toda a Europa, para proteger e empoderar a privacidade de todos os cidadãos, além de reorganizar a maneira como companhias lidam com dados privados”.

Ela entrou em vigor em 25 de maio de 2018 e partir dessa data as empresas locais ou internacionais com negócios na Europa que não cumprirem as suas diretrizes poderão receber pesadas multas.

Por exemplo, no que diz respeito ao vazamento de dados de clientes, agora as empresas que se enquadrarem na GDPR serão obrigadas a informar o governo e a população, sobre o vazamento de dados e o que será feito.

No entanto, uma pesquisa realizada pela Commvault em fevereiro de 2018, mostrou que apenas 12% das empresas pesquisadas estavam prontas para serem regidas pela nova lei. É claro que, alguns meses depois, essa porcentagem deve ter aumentado. No entanto, o cenário é ainda preocupante e perigoso para a maioria das empresas.

Aqui vale ressaltar que por dados pessoais entende-se as informações relativas a uma pessoa viva, identificada ou identificável ou o conjunto de informações distintas que podem levar à identificação de uma determinada pessoa. Dados pessoais que tenham sido descaracterizados, codificados ou pseudonimizados, mas que possam ser utilizados para identificar uma pessoa, continuam a ser dados pessoais e são abrangidos pelo âmbito de aplicação do GDPR.

Os pilares da GDPR

De forma clara e objetiva a GDPR veio para obrigar as empresas a protegerem de maneira correta os dados se seus clientes contra a violação de privacidade. E para que isso ocorra foram estabelecidos três pilares: governança, gestão e transparência.

1. Governança

Com base neste pilar, as seguintes regras devem ser aplicadas:

  • Notificação de falhas: qualquer falha relativa aos dados administrados por uma empresa deve ser comunicada em 72 horas a qualquer pessoa afetada e à DPA (Comissão de Proteção de Dados).
  • Privacidade no escopo: as empresas devem considerar a privacidade de dados no escopo de qualquer projeto.
  • Gerenciamento de fornecedores: fornecedores também devem estar de acordo com as GDPR. Toda empresa que se utilize de dados pessoais de deve manter registros detalhados de todas as atividades de processamento.

2. Gestão

A gestão de dados diz respeito à maneira como devem ser tratadas as atividades de processamento.

  • Exclusão de dados: com a entrada em vigor da GDPR, os europeus passam a ter o direito de requerer a exclusão de seus dados pessoais dos registros de uma determinada empresa.
  • Processamento de dados: as empresas devem manter registros internos de todas as atividades de processamento de dados. Nesses registros devem constar: o nome e os detalhes da empresa, os fins do processamento de dados, a descrição de categorias de indivíduos e dados pessoais, os destinatários, os detalhes das transferências de dados e os cronogramas de retenção de dados.
  • Transferências de dados: empresas agora são proibidas de transferir dados para um país terceiro sem leis adequadas de proteção.
  • Administrador de proteção de dados: qualquer empresa que processe mais de 5 mil registros em um período de 12 meses precisa ter um responsável pela gestão dos dados (DPO – Data Protection Officer). O será responsável por monitorar a conformidade com as regras da GDPR e realizar avaliações de proteção de dados, bem como treinar pessoal em políticas globais.

3. Transparência

O terceiro pilar diz respeito à transparência de dados e pode ser assim resumido:

  • Consentimento: as empresas que processam dados pessoais devem comprovar que possuem autorização para usar aqueles dados. Qualquer pessoa tem o direito de suspender o seu consentimento a qualquer momento e por isso, a empresa deve facilitar o processo.
  • Portabilidade de dados: todo solicitante passa a ter o direito de obter uma cópia dos seus dados registrados por um provedor de serviços e mover, copiar ou transferir dados facilmente para um novo prestador sem nenhum tipo de obstáculo.
  • Políticas de privacidade: as empresas devem divulgar aos envolvidos informações caso seus dados sejam processados.

As penalidades previstas na GDPR

A GDPR estipula pesadas penalidades para as empresas que violarem suas regras.

As multas podem ser de até 4% sobre o valor do volume de negócios global anual ou 20 milhões de euros (cerca de R$ 81 milhões), quando as empresas não tiverem o consentimento suficiente de consumidores ao processo de dados ou por conta da violação de algum dos conceitos principais da “Privacy by Design”.

Outras multas, quando as  empresas não tiverem registros de dados em ordem, não notificarem sobre vazamentos ou não realizarem avaliação de impacto, serão de 2% sobre o valor de negócios anual.

Por isso, se sua empresa mantém negócios com os países europeus é melhor investir em  cibersegurança. Afinal, dados pessoais são como que commodities atualmente, e pode não ser um bom negócio perdê-los apenas porque não adotou as medidas corretas ou não contratou profissionais qualificados para área. Além da multa pesada, pode acontecer algo muito pior para a empresa e, talvez de forma irreversível: ter a imagem arranhada.

A GDPR e a questão do descarte de dados eletrônicos

Na hora do descarte de equipamentos eletrônicos usados da sua empresa, seja com o objetivo de reciclagem ou reuso através de doação, é imprescindível zelar pela privacidade dos dados armazenados em discos e storages, de acordo com os princípios da GDPR, apesar da lei não fazer menção direta à esses itens.

Afinal, a GDPR aplica-se ao processamento de dados pessoais e por processamento  entende-se o amplo conjunto de operações efetuadas sobre dados, incluindo o apagamento ou a destruição de dados pessoais, segundo o Art. 4º, item 2.

E destacando, um disco recuperado de uma empresa pode conter dados de milhares de pessoas que, em mãos erradas, pode gerar uma exposição muito grande na credibilidade da empresa, além de uma multa que varia de 2% do faturamento até R$ 50 milhões, por incidente.

Assim, o descarte desses equipamentos eletrônicos deve ser confiado à empresas que estejam cientes da responsabilidade e que apresentem um meio eficiente de formatação física dos discos, impossibilitando quaisquer tipos de recuperação de dados.

E nós da ITRV, no mercado desde 2006 atuando na área de compra, remanufatura e/ou descarte do ativo tecnológico de grandes companhias, estamos preparados para a correta gestão do descarte ou da remanufatura dos equipamentos da sua empresa.

A ITRV conta com técnicos capacitados para a logística reversa, para  inventariar e determinar a destinação mais adequada (remanufatura, revenda, doação ou reciclagem) ao parque tecnológico obsoleto de outras empresas.

Post anterior
Descarte de eletrônicos. Como fazer com segurança? Quais os impactos ambientais?
Próximo post
O reuso de computadores como solução para o problema de lixo eletrônico

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Preencha esse campo
Preencha esse campo
Digite um endereço de e-mail válido.

Menu