A GDPR (General Data Protection Regulation) é considerada a lei mãe da regulamentação de dados globais. Considerando-se que dela vieram ass bases do entendimento sedimentado de privacidade de dados e compliance, além do fato de dados serem em sua grande parte globais, faz-se necessário o entendimento de seus fundamentos e aplicações.
Vejamos aqui, nessa nova série de publicações, um breve guia da regulamentação em questão.
Requerimentos para Controller:
O responsável pelo tratamento de dados é denominado Controller, o qual determina as finalidades e os meios pelos quais os dados pessoais são processados.
Veja um pequeno checklist de suas obrigações:
Bases legais e transparência jurídica: • Realizar uma auditoria de informações para identificar quais dados são processados e quem tem acesso a eles; • Ter uma base legal que justifique as atividades de processamento de dados (bases legais); • Fornecer informações claras sobre o processamento de dados e a justificativa legal na política de privacidade.
Segurança de dados: • Sempre levar em consideração a proteção de dados, desde o início do desenvolvimento de um produto até cada vez que processar dados; • Criptografar, pseudonimizar ou anonimizar dados pessoais sempre que possível; • Estabelecer uma política de segurança interna para os membros da equipe e os conscientizar sobre a proteção de dados; • Saber quando realizar uma avaliação de impacto na proteção de dados e ter um processo estabelecido para realizá-la; • Ter um processo em vigor para notificar as autoridades e os titulares dos dados em caso de violação de dados.
Responsabilidade e governança: • Designar uma pessoa responsável por garantir a conformidade com o GDPR em toda a organização; • Celebrar um acordo de processamento de dados entre sua organização e terceiros que processem dados pessoais em seu nome; • Se sua organização estiver fora da UE, nomear um representante em um dos estados membros da UE; • Nomear um responsável pela proteção de dados (se necessário).
Direitos de privacidade: • Seus clientes podem facilmente solicitar e receber todas as informações que você possui sobre eles; • Seus clientes podem corrigir ou atualizar informações imprecisas ou incompletas com facilidade; • Seus clientes podem solicitar a exclusão de seus dados pessoais sem dificuldade; • Seus clientes podem pedir para que você pare de processar seus dados de forma simples; • Seus clientes podem receber uma cópia de seus dados pessoais em um formato que pode ser facilmente transferido para outra empresa; • Seus clientes podem se opor ao processamento de seus dados de maneira prática; • Se você tomar decisões sobre pessoas com base em processos automatizados, terá um procedimento para proteger os direitos delas.
Em breve, parte 2!
Comments