Logo - Full (Color)
 

Conformidade com o GDPR

O GDPR entrará em vigor em maio de 2018. Você está pronto?

A boa notícia: estamos aprimorando a plataforma da HubSpot para facilitar a conformidade com o GDPR

Confira nossa nova página de preparação do produto para obter informações completas.

Clique aqui para saber mais

Afinal, o que é o GDPR?

O GDPR (Regulamento Geral sobre Proteção de Dados) é um novo regulamento da UE que substituirá a Diretiva de Proteção de Dados (DPD) da UE de 1995, com o objetivo de melhorar significativamente a proteção dos dados pessoais dos cidadãos da UE e aumentar as obrigações das organizações que coletam ou processam dados pessoais. O GDPR entrou em vigor em 25 de maio de 2018. O regulamento baseia-se em muitos dos requisitos da Diretiva de 1995 para privacidade e segurança de dados, mas inclui várias novas disposições para reforçar os direitos dos titulares dos dados e adicionar penalidades mais severas para as violações.

Veja o texto do GDPR na íntegra aqui e um glossário de todos os termos jurídicos que você precisará saber aqui.

Como era antes do GDPR?

Provavelmente você está ouvindo falar muito sobre o GDPR, mas sabia que já faz algum tempo que temos uma legislação de proteção de dados na UE? Embora a Diretiva de Proteção de Dados da UE de 1995 seja substituída pelo GPDR em maio próximo, a Diretiva estabelece os oito princípios de proteção de dados que regem o tratamento de dados pessoais pelas organizações há mais de duas décadas! Como o GDPR baseia-se nesses princípios e os aprimora, recomendamos que você se familiarize com as leis atuais antes de conhecer os detalhes das alterações que virão com o GDPR.

Se quiser ler mais sobre a Diretiva de 1995 e os oito princípios originais de proteção de dados, role a tela até a nossa seção de perguntas frequentes para saber mais.

O GDPR aplica-se a mim?

Embora a atual legislação da UE (a Diretiva de Proteção de Dados da UE de 1995) aplique-se a entidades dentro da UE, o escopo territorial do GDPR é muito mais amplo, pois também se aplicará a empresas não pertencentes à UE que a) comercializem seus produtos para pessoas na UE ou que b) monitorem o comportamento de pessoas na UE. Em outras palavras, mesmo se você estiver fora da UE, mas controlar ou processar dados dos cidadãos da UE, o GDPR se aplicará a você.

Descubra se você está pronto para o GDPR com a nossa lista de verificação!

As alterações mais importantes com o GDPR

  • Direitos do indivíduo
  • Procedimentos internos
  • Autoridades supervisoras
  • Escopo, prestação de contas e penalidades

Direitos do indivíduo

Consentimento

Sempre que um titular de dados estiver prestes a enviar suas informações pessoais, o responsável pelos dados (normalmente uma empresa) tem de verificar se o titular dos dados deu seu consentimento. O GDPR eleva o padrão para as divulgações ao obter o consentimento, pois ele precisa ser "dado livremente, específico, informado e não ambíguo", com os responsáveis usando uma linguagem jurídica "clara e simples" que "claramente se distingue de outros assuntos". Os responsáveis também deverão fornecer provas de que seus processos estejam em conformidade e sejam seguidos em cada caso. Anteriormente, sob a DPD, o consentimento podia ser inferido de uma ação ou inação em circunstâncias em que a ação ou inação claramente significava consentimento. Assim, a Diretiva deixava em aberto a possibilidade de mecanismo de "recusa". No entanto, isso será alterado sob o GDPR, que exige que o titular dos dados sinalize o acordo por "uma declaração ou uma ação afirmativa clara".

Essencialmente, seu cliente não pode ser forçado a consentir ou não estar ciente de que está consentindo com o processamento de seus respectivos dados pessoais. Ele também deve saber exatamente com o que está consentindo e deve ser informado com antecedência de seu direito de retirar esse consentimento. A obtenção de consentimento requer uma indicação positiva de concordância, não podendo ser inferida a partir de silêncio, caixas pré-marcadas ou inatividade. Isso significa que informar o usuário durante a aceitação passará a ser mais importante no futuro.

Novos direitos para indivíduos

O regulamento também cria dois novos direitos para os titulares de dados: um "direito de ser esquecido", que exige que os responsáveis alertem os destinatários posteriores sobre solicitações de exclusão, e um "direito de portabilidade dos dados", que permite que os titulares dos dados exijam uma cópia de seus dados em um formato comum. Esses dois direitos tornarão mais fácil para os usuários solicitar que qualquer informação armazenada seja excluída ou que as informações coletadas sejam compartilhadas com eles.

Solicitações de acesso

Os titulares dos dados sempre tiveram o direito de solicitar acesso a seus dados. Entretanto, o GDPR aumenta esses direitos. Na maioria dos casos, você não poderá cobrar pelo processamento de uma solicitação de acesso, a menos que possa demonstrar que o custo será excessivo. O prazo para o processamento de uma solicitação de acesso também cairá para 30 dias. Em certos casos, as organizações podem se recusar a conceder uma solicitação de acesso, por exemplo, quando a solicitação for considerada manifestamente infundada ou excessiva. No entanto, as organizações precisarão ter políticas e procedimentos de recusa definidos e demonstrar por que a solicitação se enquadra nesses critérios.

Procedimentos internos

Privacidade por design e DPIA

Há vários princípios novos para as entidades que lidam com dados pessoais, inclusive um requisito para incluir privacidade de dados "por design" ao desenvolver novos sistemas e uma obrigação de realizar uma Avaliação de Impacto sobre a Privacidade de Dados (DPIA, pelas iniciais em inglês) ao processar usando "novas tecnologias" ou de maneira arriscada. DPIA é o processo de avaliar sistematicamente o impacto potencial que um projeto ou iniciativa pode ter sobre a privacidade dos indivíduos, para que possíveis problemas de privacidade sejam identificados antes que surjam, dando à organização tempo para encontrar uma forma de mitigá-los antes que o projeto esteja em andamento.

Diretor de Privacidade dos Dados

Quanto à segurança, o GDPR exigirá que muitas empresas tenham um diretor de Privacidade dos Dados (DPO) para ajudar a supervisionar seus esforços de conformidade. Entre as organizações que precisarão de DPOs estão autoridades públicas, organizações cujas atividades envolvam o monitoramento regular e sistemático de titulares de dados em larga escala ou organizações que processem o que atualmente é conhecido como dados pessoais sensíveis em larga escala.  Embora o GDPR preserve atualmente os métodos aprovados da DPD para garantir a "adequação" ao transferir dados pessoais para países terceiros (incluindo o Escudo de Proteção da Privacidade e as Cláusulas de Modelo), os DPOs também serão úteis na supervisão das relações do responsável com fornecedores que processam e armazenam dados pessoais, ajudando a analisar as práticas de segurança dos fornecedores e informando os fornecedores sobre solicitações de titulares de dados.

Contratos e documentação de privacidade

Como o GDPR trata sobre transparência e justiça, os Responsáveis e Processadores precisarão revisar seus avisos de privacidade, declarações de privacidade e quaisquer políticas internas de dados para garantir que atendam aos requisitos do GDPR. Se um Responsável contratar fornecedores terceirizados para processar os dados pessoais sob seu controle, eles precisarão garantir que seus contratos com esses Processadores sejam atualizados para incluir as novas e obrigatórias disposições do Processador estabelecidas no Artigo 28 do Regulamento. Da mesma forma, os Processadores devem considerar as alterações que precisarão fazer em seus contratos de clientes para estarem prontos para o GDPR até maio de 2018.

Autoridades supervisoras

Ponto central

Um item específico do GDPR deve facilitar a vida dos DPOs: a nova disposição de "ponto central" do GDPR, segundo a qual as organizações com escritórios em vários países da UE terão uma "autoridade supervisora líder" para agir como um ponto central de fiscalização, para que elas não tenham problemas com instruções inconsistentes de várias autoridades supervisoras.

Relatar violações

Segundo um novo requisito do GDPR, os responsáveis devem notificar a autoridade supervisora de seu país sobre uma violação de dados pessoais dentro de 72 horas após tomarem conhecimento, a menos que os dados tenham sido anonimizados ou criptografados. Na prática, isso significa que a maioria das violações de dados deve ser relatada ao DPC.  Violações que possam causar danos a um indivíduo, como roubo de identidade ou quebra de sigilo, também devem ser relatadas aos indivíduos envolvidos.

Escopo, prestação de contas e penalidades

Escopo

Embora a atual legislação, a Diretiva de Proteção de Dados da UE de 1995, aplique-se a entidades dentro da UE, o escopo territorial do GDPR é muito mais amplo, pois também se aplicará a empresas não pertencentes à UE que comercializem seus produtos para pessoas na UE ou que monitorem o comportamento de pessoas na UE. Em outras palavras, mesmo se você estiver fora da UE, mas controlar ou processar dados dos cidadãos da UE, o GDPR se aplicará a você.

Prestação de contas

Esse novo conceito exigirá que os Responsáveis e Processadores sejam capazes de demonstrar sua conformidade com o GDPR à autoridade supervisora local. Os processos devem ser registrados, implementados e revisados regularmente. A equipe deve ser treinada, e medidas técnicas e organizacionais apropriadas devem ser tomadas para garantir e demonstrar conformidade.

Penalidades severas

A importância das novas disposições do GDPR é ressaltada pelas novas penalidades impostas às violações. Dependendo do tipo de violação em questão, os responsáveis e processadores que trabalharem incorretamente com os dados pessoais ou violarem os direitos dos titulares dos dados poderão incorrer em multas de até € 20 milhões ou 4% de sua receita anual global (o que for maior).

Saiba mais sobre a conformidade com o GDPR

  • Embora a DPD seja substituída pelo GPDR, ela estabelece os oito princípios de proteção de dados nos quais o GDPR se baseia. Essas regras determinam como as organizações devem tratar os dados pessoais e são as seguintes:

    1. Obter e processar os dados pessoais de forma justa
    2. Mantê-los apenas para um ou mais fins específicos e legais
    3. Processá-los apenas de maneiras compatíveis com as finalidades para as quais eles lhe foram dados inicialmente
    4. Mantê-los seguros e protegidos
    5. Mantê-los exatos e atualizados
    6. Garantir que sejam adequados, relevantes e não excessivos
    7. Não retê-los mais do que o necessário para as finalidades especificadas
    8. Dar uma cópia dos dados pessoais a qualquer indivíduo, mediante solicitação deste.

    A DPD é uma diretiva, que é um ato legislativo que estabelece uma meta que todos os países da UE devem atingir. No entanto, cabe a cada país elaborar suas próprias leis sobre como atingir essas metas. Na Irlanda, por exemplo, as metas da DPD foram implementadas por meio do Irish Data Protection Act, de 1998.

    Por outro lado, um regulamento, como o GDPR, é um ato legislativo vinculativo que se aplica integralmente em toda a UE.

  • Para aqueles que não estão familiarizados com esse termo, "duplo opt-in" é um mecanismo de duas etapas em que uma pessoa deve confirmar seu endereço de e-mail depois de se inscrever inicialmente. O GDPR não exige duplo opt-in (embora determinados países possam torná-lo obrigatório).

    Vale notar que os assinantes do serviço da HubSpot já podem escolher ativar a funcionalidade de duplo opt-in em seus portais como medida de proteção adicional para comprovar que obtiveram o consentimento necessário.
  • Em junho de 2016, a maioria dos eleitores no Reino Unido votou a favor da saída da UE no referendo "Brexit". Em março de 2017, Theresa May emitiu um comunicado que o Reino Unido deixaria a UE nos termos do art. 50, que desencadeou o início das negociações do Brexit e significou que o Reino Unido deixará a UE no prazo mais curto entre os termos de retirada acordados e a expiração do prazo de dois anos do aviso prévio, até o final de março de 2019. Portanto, é muito provável que o Reino Unido ainda faça parte da UE até o prazo de maio de 2018 do GDPR. Isso significa que, se você estiver no Reino Unido, precisará trabalhar em sua conformidade como se o Brexit nunca tivesse ocorrido.

    O Reino Unido elaborou uma legislação para atualizar a atual Lei de Proteção de Dados (DPD), de acordo com o GDPR. Atualmente, o projeto está tramitando no Parlamento do Reino Unido.

    Se você está fora do Reino Unido, mas tem fornecedores ou afiliados no Reino Unido com quem compartilha dados pessoais, também precisará ficar atento aos acontecimentos nessa área. Quando o Reino Unido sair, os fluxos de dados transfronteiriços podem não ter automaticamente salvaguardas adequadas e, portanto, projeções adicionais podem ser necessárias para proteger os dados transferidos para o Reino Unido.

  • Os indivíduos já têm muitos direitos que protegem seus dados pessoais de acordo com a Diretiva de Proteção de Dados de 1995, mas o GDPR fortalece significativamente esses direitos de forma que os titulares dos dados possam agora:

    • obter detalhes sobre como seus dados são processados por uma organização ou empresa;
    • obter cópias dos dados pessoais que uma organização mantém sobre eles;
    • ter dados incorretos ou incompletos corrigidos;
    • ter seus dados apagados por uma organização, quando, por exemplo, a organização não tiver uma razão legítima para reter os dados;
    • obter seus dados de uma organização e ter esses dados transmitidos para outra organização (portabilidade de dados);
    • opor-se ao processamento de seus dados por uma organização em determinadas circunstâncias;
    • não estar sujeito a (com algumas exceções) tomadas de decisão automáticas, incluindo a criação de perfis.
  • Não. Segundo o GDPR, não existe a obrigação de que os dados sejam armazenados na UE, e as regras relativas à transferência de dados pessoais fora da UE não serão alteradas. Isso significa que, contanto que os dados pessoais sejam "adequadamente protegidos", eles poderão ser transferidos para o exterior. Por exemplo, a UE preparou uma lista de países que eles consideram fornecer um padrão de proteção adequado (conhecidos como "países da lista branca"), por isso, é permitido transferir dados para esses países. Se o país não constar nessa lista da UE (por exemplo, os EUA), o responsável deve basear-se na utilização de disposições contratuais aprovadas (por exemplo, as Cláusulas de Modelo ou as Regras de Vinculação Corporativa) ou em uma das outras medidas alternativas previstas na lei, como a certificação Escudo de Proteção da Privacidade.

  • Compilamos uma lista de sites adicionais para mais informações sobre o novo regulamento abaixo. Consulte-os à vontade.

    • O site do GDPR do Comissário Irlandês para Proteção de Dados

    • Orientação do Comissário Federal Alemão para Proteção de Dados sobre o GDPR aqui

    • A página de recursos de privacidade de dados da HubSpot

    • Supervisor de Proteção de Dados da UE aqui

    • A página do HubSpot Security Program

    • Encontre sua autoridade supervisora aqui

    • Texto do GDPR na íntegra aqui

    • Texto do GDPR em alemão na íntegra aqui

    • site do GDPR da UE

  1. Our GDPR Research

    How prepared are others for the GDPR? What do consumers think about the changes? Find out more in our research!

    Read Now
  2. A glossary with all legal definitions around the GDPR

    Our GDPR Glossary

    The GPDR was written by lawyers, so it should come as no surprise that it’s got a good bit of legal jargon sprinkled in there. But don't worry, our glossary will hep you understand the most important definitions.

    Read Now
  3. Our GDPR Compliance Checklist

    Our Free GDPR Compliance Checklist

    For our customers and partners, HubSpot created a free GDPR compliance checklist to determine your next steps!

    Read Now
  4. GDPR Research On Marketers and Consumers

    How Prepared Are Marketers for the GDPR?

    Find out how consumers and marketers view the GDPR. We've surveyed over 3,000 consumers to give you the best insights.

    Read Now
  5. HubSpot GDPR Update

    HubSpot's Update on planned Product Changes

    Learn more about how HubSpot specifically is getting ready for the GDPR.

    Read Now
  1. Create a GDPR Strategy

    Create a GDPR Strategy

    In this lesson, you will learn what the GDPR is, the changes that will help protect personal data and the impact GDPR has on the world of inbound marketing and sales. You will explore the changes you may need to make for you and your business and how to best prepare for GDPR.

    Take this Lesson