O que é o Regulamento Geral de Proteção de Dados (GDPR)?
O Regulamento Geral de Proteção de Dados (GDPR) é uma estrutura legal que define diretrizes para a coleta e o processamento de informações pessoais de indivíduos que vivem na União Europeia (UE). Como o regulamento se aplica independentemente da localização dos sites, ele deve ser atendido por todos os sites que atraem visitantes europeus, mesmo que não comercializem especificamente bens ou serviços para residentes da UE.
O GDPR exige que os visitantes da UE recebam várias divulgações de dados. O site também deve tomar medidas para facilitar os direitos dos consumidores da UE, como uma notificação oportuna no caso de violação de dados pessoais. Adotado em abril de 2016, o regulamento entrou em vigor em maio de 2018, após um período de transição de dois anos.
Requisitos de atendimento ao cliente do GDPR
De acordo com as regras, os visitantes devem ser notificados dos dados coletados pelo site e consentir explicitamente na coleta de informações, clicando em um botão Concordo ou em outra ação. (Esse requisito explica amplamente a presença onipresente de divulgações de que os sites coletam "cookies" - pequenos arquivos que contêm informações pessoais, como preferências e configurações do site.)
Os sites também devem notificar os visitantes em tempo hábil se algum de seus dados pessoais mantidos pelo site for violado. Esses requisitos da UE podem ser mais rigorosos do que os exigidos na jurisdição em que o site está localizado.
Também é exigida uma avaliação da segurança dos dados do site e se um DPO (oficial de proteção de dados) precisa ser contratado ou se um funcionário existente pode executar essa função.
As informações sobre como entrar em contato com o DPO e outros funcionários relevantes devem estar acessíveis para que os visitantes possam exercer seus direitos de dados na UE, o que também inclui a capacidade de ter sua presença no site apagada, entre outras medidas. (Naturalmente, o site também deve incluir equipe e outros recursos para poder executar essas solicitações.)
Outras regras e mandatos do Regulamento Geral de Proteção de Dados (RGPD)
Como proteção adicional para os consumidores, o GDPR também solicita que todas as informações de identificação pessoal (IPI) coletadas sejam anonimizadas (tornadas anônimas, conforme o termo implica) ou pseudonimizadas (com a identidade do consumidor substituída por um pseudônimo). A pseudonimização de dados permite que as empresas façam uma análise de dados mais extensa, como avaliar os índices médios de dívida de seus clientes em uma determinada região - um cálculo que poderia estar além dos propósitos originais dos dados coletados para avaliar a credibilidade de um empréstimo.
O GDPR afeta dados além daqueles coletados dos clientes. Mais notavelmente, talvez, o regulamento se aplique aos registros de funcionários de recursos humanos.
Controvérsias associadas ao RGPD
O GDPR atraiu críticas em alguns setores. A exigência de nomear DPOs, ou simplesmente avaliar a necessidade deles, dizem alguns, impõe uma carga administrativa indevida a algumas empresas. Alguns também reclamam que as diretrizes são vagas demais sobre a melhor forma de lidar com os dados dos funcionários.
Além disso, os dados não podem ser transferidos para outro país fora da UE, a menos que a empresa receptora garanta o mesmo grau de proteção exigido pela UE. Isso levou a reclamações sobre dispendiosas interrupções nas práticas comerciais.
Há uma preocupação adicional de que os custos associados ao GDPR aumentarão com o tempo, em parte devido à crescente necessidade de educar clientes e funcionários sobre ameaças e soluções de proteção de dados. Também há ceticismo quanto à viabilidade de as agências de proteção de dados em toda a UE e além poderem alinhar sua aplicação e interpretação dos regulamentos, e assim garantir condições equitativas à medida que o GDPR entra em vigor.
