Conformidade com o GDPR
A boa notícia: aprimoramos a plataforma da HubSpot para facilitar a conformidade com o GDPR
Confira nossa página de preparação do produto para obter informações completas.
Afinal, o que é o GDPR?
O GDPR (Regulamento Geral sobre Proteção de Dados) é um regulamento da UE que visa melhorar significativamente a proteção dos dados pessoais dos cidadãos da UE e aumentar as obrigações das organizações que coletam ou processam dados pessoais. O regulamento baseia-se em muitos dos requisitos da Diretiva de 1995 para privacidade e segurança de dados, mas inclui várias novas disposições para reforçar os direitos dos titulares dos dados e adicionar penalidades mais severas para as violações. Ele entrou em vigor em 25 de maio de 2018.
Como era antes do GDPR?
Provavelmente você está ouvindo falar muito sobre o GDPR, mas sabia que já faz algum tempo que temos uma legislação de proteção de dados na UE? Embora a Diretiva de Proteção de Dados da UE de 1995 tenha sido substituída pelo GDPR em maio de 2018, a Diretiva estabelece os oito princípios de proteção de dados que regem o tratamento de dados pessoais pelas
O GDPR aplica-se a mim?
O GDPR aplica-se a empresas que a) vendem produtos na UE ou b) monitoram o comportamento de pessoas na UE. Em outras palavras, mesmo se você estiver fora da UE, mas controlar ou processar dados dos cidadãos da UE, o GDPR se aplicará a você.
Atenção: este site não é um grande tratado sobre privacidade de dados da UE, nem aconselhamento jurídico para a sua empresa usar na conformidade com leis de privacidade de dados da UE como o GDPR. Ele fornece informações básicas para ajudá-lo a entender melhor como a HubSpot lidou com algumas importantes questões jurídicas. Essas informações não substituem o aconselhamento jurídico, no qual um advogado aplica a lei ao seu caso específico, então insistimos que você consulte um advogado se desejar aconselhamento sobre a sua interpretação destas informações ou a sua precisão. Em suma, não dependa deste artigo como aconselhamento jurídico, nem como recomendação de qualquer entendimento jurídico em particular.
Aspectos principais da GDPR
Consentimento
O GDPR eleva o padrão para as divulgações ao obter o consentimento, pois ele precisa ser "dado livremente, específico, informado e não ambíguo", com os responsáveis usando uma linguagem jurídica "clara e simples" que "claramente se distingue de outros assuntos". Os responsáveis também deverão fornecer provas de que seus processos estejam em conformidade e sejam seguidos em cada caso.
Essencialmente, seu cliente não pode ser forçado a consentir ou não estar ciente de que está consentindo com o processamento de seus respectivos dados pessoais. Ele também deve saber exatamente com o que está consentindo e deve ser informado com antecedência de seu direito de retirar esse consentimento. A obtenção de consentimento requer uma indicação positiva de concordância, não podendo ser inferida a partir de silêncio, caixas pré-marcadas ou inatividade. Isso significa que informar o usuário durante a aceitação passará a ser mais importante.
Novos direitos para indivíduos
O regulamento também cria dois novos direitos para os titulares de dados: um "direito de ser esquecido", que exige que os responsáveis alertem os destinatários posteriores sobre solicitações de exclusão, e um "direito de portabilidade dos dados", que permite que os titulares dos dados exijam uma cópia de seus dados em um formato comum. Esses dois direitos tornam mais fácil para os usuários solicitar que qualquer informação armazenada seja excluída ou que as informações coletadas sejam compartilhadas com eles.
Solicitações de acesso
Os titulares dos dados sempre tiveram o direito de solicitar acesso a seus dados. Entretanto, o GDPR aumenta esses direitos. Na maioria dos casos, você não poderá cobrar pelo processamento de uma solicitação de acesso, a menos que possa demonstrar que o custo será excessivo. O prazo para o processamento de uma solicitação de acesso também cairá para um mês (que poderá ser ampliado para dois meses em algumas circunstâncias). Em certos casos, as organizações podem se recusar a conceder uma solicitação de acesso, por exemplo, quando a solicitação for considerada manifestamente infundada ou excessiva. No entanto, as organizações precisarão ter políticas e procedimentos de recusa definidos e demonstrar por que a solicitação se enquadra nesses critérios.
Privacidade por design e DPIA
Há vários princípios novos para as entidades que lidam com dados pessoais, inclusive um requisito para incluir privacidade de dados "por design" ao desenvolver novos sistemas e uma obrigação de realizar uma Avaliação de Impacto sobre a Privacidade de Dados (DPIA, pelas iniciais em inglês) ao processar usando "novas tecnologias" ou de maneira arriscada. DPIA é o processo de avaliar sistematicamente o impacto potencial que um projeto ou iniciativa pode ter sobre a privacidade dos indivíduos, para que possíveis problemas de privacidade sejam identificados antes que surjam, dando à organização tempo para encontrar uma forma de mitigá-los antes que o projeto esteja em andamento.
Diretor de Privacidade dos Dados
Quanto à segurança, o GDPR exige que muitas empresas tenham um diretor de Privacidade dos Dados (DPO) para ajudar a supervisionar seus esforços de conformidade. Entre as organizações que precisarão de DPOs estão autoridades públicas, organizações cujas atividades envolvam o monitoramento regular e sistemático de titulares de dados em larga escala ou organizações que processem dados pessoais sensíveis em larga escala.
Contratos e documentação de privacidade
Como o GDPR trata sobre transparência e justiça, os Responsáveis e Processadores precisam revisar seus avisos de privacidade, declarações de privacidade e quaisquer políticas internas de dados para garantir que atendam aos requisitos do GDPR. Se um Responsável contratar fornecedores terceirizados para processar os dados pessoais sob seu controle, eles precisam garantir que seus contratos com esses Processadores sejam atualizados para incluir as novas e obrigatórias disposições do Processador estabelecidas no Artigo 28 do Regulamento. Da mesma forma, os Processadores devem considerar as alterações que precisarão fazer em seus contratos de clientes para estarem prontos para o GDPR.
Ponto central
Um item específico do GDPR deve facilitar a vida dos DPOs: a nova disposição de "ponto central" do GDPR, segundo a qual as organizações com escritórios em vários países da UE terão uma "autoridade supervisora líder" para agir como um ponto central de fiscalização, para que elas não tenham problemas com instruções inconsistentes de várias autoridades supervisoras.
Relatar violações
Segundo um requisito do GDPR, os responsáveis devem notificar a autoridade supervisora de seu país sobre uma violação de dados pessoais dentro de 72 horas após tomarem conhecimento, a menos que os dados tenham sido anonimizados ou criptografados. Na prática, isso significa que a maioria das violações de dados deve ser relatada ao DPC. Violações que possam causar danos a um indivíduo, como roubo de identidade ou quebra de sigilo, também devem ser relatadas aos indivíduos envolvidos.
Escopo
O GDPR aplica-se a empresas de fora da UE que a) vendem produtos na UE ou b) monitoram o comportamento de pessoas na UE. Em outras palavras, mesmo se você estiver fora da UE, mas controlar ou processar dados dos cidadãos da UE, o GDPR se aplicará a você.
Prestação de contas
Esse conceito exige que os Responsáveis e Processadores sejam capazes de demonstrar sua conformidade com o GDPR à autoridade supervisora local. Os processos devem ser registrados, implementados e revisados regularmente. A equipe deve ser treinada, e medidas técnicas e organizacionais apropriadas devem ser tomadas para garantir e demonstrar conformidade.
Penalidades severas
A importância das novas disposições do GDPR é ressaltada pelas novas penalidades impostas às violações. Dependendo do tipo de violação em questão, os responsáveis e processadores que trabalharem incorretamente com os dados pessoais ou violarem os direitos dos titulares dos dados poderão incorrer em multas de até € 20 milhões ou 4% de sua receita anual global (o que for maior).
Se você já é um cliente ou parceiro da HubSpot, entre em contato com o gerente da sua conta se tiver outras dúvidas, comentários ou sugestões.
Saiba mais sobre a conformidade com o GDPR
Embora a DPD tenha sido substituída pelo GPDR, ela estabelece os oito princípios de proteção de dados nos quais o GDPR se baseia. Essas regras determinam como as organizações devem tratar os dados pessoais e são as seguintes:
- Obter e processar os dados pessoais de forma justa
- Mantê-los apenas para um ou mais fins específicos e legais
- Processá-los apenas de maneiras compatíveis com as finalidades para as quais eles lhe foram dados inicialmente
- Mantê-los seguros e protegidos
- Mantê-los exatos e atualizados
- Garantir que sejam adequados, relevantes e não excessivos
- Não retê-los mais do que o necessário para as finalidades especificadas
- Dar uma cópia dos dados pessoais a qualquer indivíduo, mediante solicitação deste.
A DPD é uma diretiva, que é um ato legislativo que estabelece uma meta que todos os países da UE devem atingir. No entanto, cabe a cada país elaborar suas próprias leis sobre como atingir essas metas. Na Irlanda, por exemplo, as metas da DPD foram implementadas por meio do Irish Data Protection Act, de 1998.
Por outro lado, um regulamento, como o GDPR, é um ato legislativo vinculativo que se aplica integralmente em toda a UE.
Para aqueles que não estão familiarizados com esse termo, "duplo opt-in" é um mecanismo de duas etapas em que uma pessoa deve confirmar seu endereço de e-mail depois de se inscrever inicialmente. O GDPR não exige duplo opt-in (embora determinados países possam torná-lo obrigatório).
Vale notar que os assinantes do serviço da HubSpot já podem escolher ativar a funcionalidade de duplo opt-in em seus portais como medida de proteção adicional para comprovar que obtiveram o consentimento necessário.
Vale notar que os assinantes do serviço da HubSpot já podem escolher ativar a funcionalidade de duplo opt-in em seus portais como medida de proteção adicional para comprovar que obtiveram o consentimento necessário.
Em junho de 2016, a maioria dos eleitores no Reino Unido votou a favor da saída da UE no referendo "Brexit". Em março de 2017, Theresa May emitiu um comunicado que o Reino Unido deixaria a UE nos termos do art. 50, que desencadeou o início das negociações do Brexit. Este recurso poderá ser útil durante as mudanças dos termos do Brexit: https://ico.org.uk/for-organisations/data-protection-and-brexit/
Se você está fora do Reino Unido, mas tem fornecedores ou afiliados no Reino Unido com quem compartilha dados pessoais, também precisará ficar atento aos acontecimentos nessa área. Quando o Reino Unido sair, os fluxos de dados transfronteiriços podem não ter automaticamente salvaguardas adequadas e, portanto, projeções adicionais poderão ser necessárias para proteger os dados transferidos para o Reino Unido.
Os indivíduos já tiveram muitos direitos que protegem seus dados pessoais de acordo com a Diretiva de Proteção de Dados de 1995, mas o GDPR fortaleceu significativamente esses direitos de forma que os titulares dos dados possam agora:
- obter detalhes sobre como seus dados são processados por uma organização ou empresa;
- obter cópias dos dados pessoais que uma organização mantém sobre eles;
- ter dados incorretos ou incompletos corrigidos;
- ter seus dados apagados por uma organização, quando, por exemplo, a organização não tiver uma razão legítima para reter os dados;
- obter seus dados de uma organização e ter esses dados transmitidos para outra organização (portabilidade de dados);
- opor-se ao processamento de seus dados por uma organização em determinadas circunstâncias;
- não estar sujeito a (com algumas exceções) tomadas de decisão automáticas, incluindo a criação de perfis.
Não. Segundo o GDPR, não existe a obrigação de que os dados sejam armazenados na UE, e as regras relativas à transferência de dados pessoais fora da UE não serão alteradas. Isso significa que, contanto que os dados pessoais sejam "adequadamente protegidos", eles poderão ser transferidos para o exterior. Por exemplo, a UE preparou uma lista de países que eles consideram fornecer um padrão de proteção adequado (conhecidos como "países da lista branca"), por isso, é permitido transferir dados para esses países. Se o país não constar nessa lista da UE (por exemplo, os EUA), o responsável deve basear-se na utilização de disposições contratuais aprovadas (por exemplo, as Cláusulas de Modelo ou as Regras de Vinculação Corporativa) ou em uma das outras medidas alternativas previstas na lei, como a certificação Escudo de Proteção da Privacidade.
Compilamos uma lista de sites adicionais para mais informações sobre o novo regulamento abaixo. Consulte-os à vontade.
-
O site do GDPR do Comissário Irlandês para Proteção de Dados
-
Orientação do Comissário Federal Alemão para Proteção de Dados sobre o GDPR
-
Recurso de conformidade com a GDPR da HubSpot aqui
-
Supervisor de Proteção de Dados da UE aqui
-
A página do HubSpot Security Program
-
Encontre sua autoridade supervisora
-
Texto do GDPR na íntegra aqui
-
Texto do GDPR em alemão na íntegra
-
O site do GDPR da UE
- Site do UK Information Commissioner's Office
Nossa pesquisa sobre GDPR
Qual é o nível de preparo dos demais para o GDPR? O que os consumidores acham das mudanças? Saiba mais em nossa pesquisa!
Criar uma estratégia para o GDPR
Nesta lição, você aprenderá o que é o GDPR, as mudanças que ajudarão a projeter os dados pessoais e o impacto do GDPR no marketing e nas vendas inbound. Você conhecerá as mudanças que precisa fazer para preparar a sua empresa para o GDPR.
Nossa lista de verificação grátis sobre a conformidade com o GDPR
Para os nossos clientes e parceiros, a HubSpot criou uma lista de verificação de conformidade gratuita para determinar seus próximos passos.
Qual é o nível de preparo dos profissionais de marketing para o GDPR?
Descubra como os consumidores e os profissionais de marketing enxergam o GDPR. Pesquisamos mais de 3.000 consumidores para dar a você as melhores informações.
Nosso glossário do GDPR
O GDPR foi escrito por advogados, então não é nenhuma surpresa que contenha vários termos jurídicos. Não se preocupe: nosso glossário ajudará você a entender as definições mais importantes.