Logo - Full (Color)
Ir para o conteúdo principal

Conformidade com o GDPR

A boa notícia: aprimoramos a plataforma da HubSpot para facilitar a conformidade com o GDPR

Confira nossa página de preparação do produto para obter informações completas.

Clique aqui para saber mais

Afinal, o que é o GDPR?

O GDPR (Regulamento Geral sobre Proteção de Dados) é um regulamento da UE que visa melhorar significativamente a proteção dos dados pessoais dos cidadãos da UE e aumentar as obrigações das organizações que coletam ou processam dados pessoais. O regulamento baseia-se em muitos dos requisitos da Diretiva de 1995 para privacidade e segurança de dados, mas inclui várias novas disposições para reforçar os direitos dos titulares dos dados e adicionar penalidades mais severas para as violações. Ele entrou em vigor em 25 de maio de 2018.

Como era antes do GDPR?

Provavelmente você está ouvindo falar muito sobre o GDPR, mas sabia que já faz algum tempo que temos uma legislação de proteção de dados na UE? Embora a Diretiva de Proteção de Dados da UE de 1995 tenha sido substituída pelo GDPR em maio de 2018, a Diretiva estabelece os oito princípios de proteção de dados que regem o tratamento de dados pessoais pelas organizações há mais de duas décadas!

O GDPR aplica-se a mim?

O GDPR aplica-se a empresas que a) vendem produtos na UE ou b) monitoram o comportamento de pessoas na UE. Em outras palavras, mesmo se você estiver fora da UE, mas controlar ou processar dados dos cidadãos da UE, o GDPR se aplicará a você.

Aspectos principais da GDPR

Consentimento

O GDPR eleva o padrão para as divulgações ao obter o consentimento, pois ele precisa ser "dado livremente, específico, informado e não ambíguo", com os responsáveis usando uma linguagem jurídica "clara e simples" que "claramente se distingue de outros assuntos". Os responsáveis também deverão fornecer provas de que seus processos estejam em conformidade e sejam seguidos em cada caso.

Essencialmente, seu cliente não pode ser forçado a consentir ou não estar ciente de que está consentindo com o processamento de seus respectivos dados pessoais. Ele também deve saber exatamente com o que está consentindo e deve ser informado com antecedência de seu direito de retirar esse consentimento. A obtenção de consentimento requer uma indicação positiva de concordância, não podendo ser inferida a partir de silêncio, caixas pré-marcadas ou inatividade. Isso significa que informar o usuário durante a aceitação passará a ser mais importante.

Novos direitos para indivíduos

O regulamento também cria dois novos direitos para os titulares de dados: um "direito de ser esquecido", que exige que os responsáveis alertem os destinatários posteriores sobre solicitações de exclusão, e um "direito de portabilidade dos dados", que permite que os titulares dos dados exijam uma cópia de seus dados em um formato comum. Esses dois direitos tornam mais fácil para os usuários solicitar que qualquer informação armazenada seja excluída ou que as informações coletadas sejam compartilhadas com eles.

Solicitações de acesso

Os titulares dos dados sempre tiveram o direito de solicitar acesso a seus dados. Entretanto, o GDPR aumenta esses direitos. Na maioria dos casos, você não poderá cobrar pelo processamento de uma solicitação de acesso, a menos que possa demonstrar que o custo será excessivo. O prazo para o processamento de uma solicitação de acesso também cairá para um mês (que poderá ser ampliado para dois meses em algumas circunstâncias). Em certos casos, as organizações podem se recusar a conceder uma solicitação de acesso, por exemplo, quando a solicitação for considerada manifestamente infundada ou excessiva. No entanto, as organizações precisarão ter políticas e procedimentos de recusa definidos e demonstrar por que a solicitação se enquadra nesses critérios.

Privacidade por design e DPIA

Há vários princípios novos para as entidades que lidam com dados pessoais, inclusive um requisito para incluir privacidade de dados "por design" ao desenvolver novos sistemas e uma obrigação de realizar uma Avaliação de Impacto sobre a Privacidade de Dados (DPIA, pelas iniciais em inglês) ao processar usando "novas tecnologias" ou de maneira arriscada. DPIA é o processo de avaliar sistematicamente o impacto potencial que um projeto ou iniciativa pode ter sobre a privacidade dos indivíduos, para que possíveis problemas de privacidade sejam identificados antes que surjam, dando à organização tempo para encontrar uma forma de mitigá-los antes que o projeto esteja em andamento.

Diretor de Privacidade dos Dados

Quanto à segurança, o GDPR exige que muitas empresas tenham um diretor de Privacidade dos Dados (DPO) para ajudar a supervisionar seus esforços de conformidade. Entre as organizações que precisarão de DPOs estão autoridades públicas, organizações cujas atividades envolvam o monitoramento regular e sistemático de titulares de dados em larga escala ou organizações que processem dados pessoais sensíveis em larga escala.

Contratos e documentação de privacidade

Como o GDPR trata sobre transparência e justiça, os Responsáveis e Processadores precisam revisar seus avisos de privacidade, declarações de privacidade e quaisquer políticas internas de dados para garantir que atendam aos requisitos do GDPR. Se um Responsável contratar fornecedores terceirizados para processar os dados pessoais sob seu controle, eles precisam garantir que seus contratos com esses Processadores sejam atualizados para incluir as novas e obrigatórias disposições do Processador estabelecidas no Artigo 28 do Regulamento. Da mesma forma, os Processadores devem considerar as alterações que precisarão fazer em seus contratos de clientes para estarem prontos para o GDPR.

Ponto central

Um item específico do GDPR deve facilitar a vida dos DPOs: a nova disposição de "ponto central" do GDPR, segundo a qual as organizações com escritórios em vários países da UE terão uma "autoridade supervisora líder" para agir como um ponto central de fiscalização, para que elas não tenham problemas com instruções inconsistentes de várias autoridades supervisoras.

Relatar violações

Segundo um requisito do GDPR, os responsáveis devem notificar a autoridade supervisora de seu país sobre uma violação de dados pessoais dentro de 72 horas após tomarem conhecimento, a menos que os dados tenham sido anonimizados ou criptografados. Na prática, isso significa que a maioria das violações de dados deve ser relatada ao DPC.  Violações que possam causar danos a um indivíduo, como roubo de identidade ou quebra de sigilo, também devem ser relatadas aos indivíduos envolvidos.

Escopo

O GDPR aplica-se a empresas de fora da UE que a) vendem produtos na UE ou b) monitoram o comportamento de pessoas na UE. Em outras palavras, mesmo se você estiver fora da UE, mas controlar ou processar dados dos cidadãos da UE, o GDPR se aplicará a você.

Prestação de contas

Esse conceito exige que os Responsáveis e Processadores sejam capazes de demonstrar sua conformidade com o GDPR à autoridade supervisora local. Os processos devem ser registrados, implementados e revisados regularmente. A equipe deve ser treinada, e medidas técnicas e organizacionais apropriadas devem ser tomadas para garantir e demonstrar conformidade.

Penalidades severas

A importância das novas disposições do GDPR é ressaltada pelas novas penalidades impostas às violações. Dependendo do tipo de violação em questão, os responsáveis e processadores que trabalharem incorretamente com os dados pessoais ou violarem os direitos dos titulares dos dados poderão incorrer em multas de até € 20 milhões ou 4% de sua receita anual global (o que for maior).

Saiba mais sobre a conformidade com o GDPR

  • Embora a DPD tenha sido substituída pelo GPDR, ela estabelece os oito princípios de proteção de dados nos quais o GDPR se baseia. Essas regras determinam como as organizações devem tratar os dados pessoais e são as seguintes:

    1. Obter e processar os dados pessoais de forma justa
    2. Mantê-los apenas para um ou mais fins específicos e legais
    3. Processá-los apenas de maneiras compatíveis com as finalidades para as quais eles lhe foram dados inicialmente
    4. Mantê-los seguros e protegidos
    5. Mantê-los exatos e atualizados
    6. Garantir que sejam adequados, relevantes e não excessivos
    7. Não retê-los mais do que o necessário para as finalidades especificadas
    8. Dar uma cópia dos dados pessoais a qualquer indivíduo, mediante solicitação deste.

    A DPD é uma diretiva, que é um ato legislativo que estabelece uma meta que todos os países da UE devem atingir. No entanto, cabe a cada país elaborar suas próprias leis sobre como atingir essas metas. Na Irlanda, por exemplo, as metas da DPD foram implementadas por meio do Irish Data Protection Act, de 1998.

    Por outro lado, um regulamento, como o GDPR, é um ato legislativo vinculativo que se aplica integralmente em toda a UE.

  • Para aqueles que não estão familiarizados com esse termo, "duplo opt-in" é um mecanismo de duas etapas em que uma pessoa deve confirmar seu endereço de e-mail depois de se inscrever inicialmente. O GDPR não exige duplo opt-in (embora determinados países possam torná-lo obrigatório).

    Vale notar que os assinantes do serviço da HubSpot já podem escolher ativar a funcionalidade de duplo opt-in em seus portais como medida de proteção adicional para comprovar que obtiveram o consentimento necessário.
  • Em junho de 2016, a maioria dos eleitores no Reino Unido votou a favor da saída da UE no referendo "Brexit". Em março de 2017, Theresa May emitiu um comunicado que o Reino Unido deixaria a UE nos termos do art. 50, que desencadeou o início das negociações do Brexit. Este recurso poderá ser útil durante as mudanças dos termos do Brexit: https://ico.org.uk/for-organisations/data-protection-and-brexit/

    Se você está fora do Reino Unido, mas tem fornecedores ou afiliados no Reino Unido com quem compartilha dados pessoais, também precisará ficar atento aos acontecimentos nessa área. Quando o Reino Unido sair, os fluxos de dados transfronteiriços podem não ter automaticamente salvaguardas adequadas e, portanto, projeções adicionais poderão ser necessárias para proteger os dados transferidos para o Reino Unido.

  • Os indivíduos já tiveram muitos direitos que protegem seus dados pessoais de acordo com a Diretiva de Proteção de Dados de 1995, mas o GDPR fortaleceu significativamente esses direitos de forma que os titulares dos dados possam agora:

    • obter detalhes sobre como seus dados são processados por uma organização ou empresa;
    • obter cópias dos dados pessoais que uma organização mantém sobre eles;
    • ter dados incorretos ou incompletos corrigidos;
    • ter seus dados apagados por uma organização, quando, por exemplo, a organização não tiver uma razão legítima para reter os dados;
    • obter seus dados de uma organização e ter esses dados transmitidos para outra organização (portabilidade de dados);
    • opor-se ao processamento de seus dados por uma organização em determinadas circunstâncias;
    • não estar sujeito a (com algumas exceções) tomadas de decisão automáticas, incluindo a criação de perfis.
  • Não. Segundo o GDPR, não existe a obrigação de que os dados sejam armazenados na UE, e as regras relativas à transferência de dados pessoais fora da UE não serão alteradas. Isso significa que, contanto que os dados pessoais sejam "adequadamente protegidos", eles poderão ser transferidos para o exterior. Por exemplo, a UE preparou uma lista de países que eles consideram fornecer um padrão de proteção adequado (conhecidos como "países da lista branca"), por isso, é permitido transferir dados para esses países. Se o país não constar nessa lista da UE (por exemplo, os EUA), o responsável deve basear-se na utilização de disposições contratuais aprovadas (por exemplo, as Cláusulas de Modelo ou as Regras de Vinculação Corporativa) ou em uma das outras medidas alternativas previstas na lei, como a certificação Escudo de Proteção da Privacidade.

  • Compilamos uma lista de sites adicionais para mais informações sobre o novo regulamento abaixo. Consulte-os à vontade.

    • O site do GDPR do Comissário Irlandês para Proteção de Dados

    • Orientação do Comissário Federal Alemão para Proteção de Dados sobre o GDPR

    • Recurso de conformidade com a GDPR da HubSpot aqui

    • Supervisor de Proteção de Dados da UE aqui

    • A página do HubSpot Security Program

    • Encontre sua autoridade supervisora

    • Texto do GDPR na íntegra aqui

    • Texto do GDPR em alemão na íntegra

    • site do GDPR da UE

    • Site do UK Information Commissioner's Office 
  1. Nossa pesquisa sobre GDPR

    Qual é o nível de preparo dos demais para o GDPR? O que os consumidores acham das mudanças? Saiba mais em nossa pesquisa!

    Ler agora
  2. ae969371bcd555276888f36106284a26fd80093c

    Criar uma estratégia para o GDPR

    Nesta lição, você aprenderá o que é o GDPR, as mudanças que ajudarão a projeter os dados pessoais e o impacto do GDPR no marketing e nas vendas inbound. Você conhecerá as mudanças que precisa fazer para preparar a sua empresa para o GDPR.

    Começar agora
  3. Checklist - PT

    Nossa lista de verificação grátis sobre a conformidade com o GDPR

    Para os nossos clientes e parceiros, a HubSpot criou uma lista de verificação de conformidade gratuita para determinar seus próximos passos.

    Ler agora
  4. Pesquisa sobre o GDPR para profissionais de marketing e consumidores

    Qual é o nível de preparo dos profissionais de marketing para o GDPR?

    Descubra como os consumidores e os profissionais de marketing enxergam o GDPR. Pesquisamos mais de 3.000 consumidores para dar a você as melhores informações.

    Ler agora
  5. Um glossário com todas as definições legais sobre o GDPR

    Nosso glossário do GDPR

    O GDPR foi escrito por advogados, então não é nenhuma surpresa que contenha vários termos jurídicos. Não se preocupe: nosso glossário ajudará você a entender as definições mais importantes.

    Ler agora