O GDPR é amplo e complexo. O seu detalhamento está publicado na internet e já há uns 3 ou 4 livros na Amazon publicados sobre ele. Acesse http://www.eugdpr.org/ para começar a entendê-lo. A figura-01 mostra, sinteticamente, os pontos principais das mudanças trazidas pela GDPR.

figura1

Objetivo:

O objetivo, mostrado de forma simplificada, é proteger o chamado PII-Personal Identifiable Information, ou seja, as informações que permitem identificar alguém. Por exemplo, alguns campos são identificadores mais diretos como o CPF, SSN, # da carteira de identidade, endereço de email, # do telefone. Outros são identificadores indiretos, como data de nascimento, cep e sexo, etc. Esses campos, claro não permitem (diretamente) chegar a alguém, mas podem, caso combinados, aumentar a chance de se chegar ao seu PII. Há uma pesquisa que aponta que, com a combinação dos três elementos de dados (cep, sexo e data-nascimento), há 87% de chance de alguém ser identificado. A conferir… Além da proteção dos dados, o GDPR também foca nos direitos de cada cidadão com relação aos seus dados. Por exemplo, a entidade controladora (conceito explicado mais abaixo) será obrigada a, em poucos dias, notificar o cidadão cujos dados foram desviados. A não observância dessa e de outras regras definidas implicará em multas pesadíssimas (até 4% do faturamento bruto anual, ou 20 milhões de Euros, o que for maior). No exemplo citado anteriormente sobre o breach do Yahoo, já estaria caracterizada uma violação dessa natureza.

Escopo: 

O escopo das regras será para as empresas que estão localizadas na UE (União Europeia) e processam dados de residentes de lá, ou também empresas que estejam fora da UE, mas que também processam dados de cidadãos residentes naquela comunidade. Cada estado membro da UE definirá um órgão controlador-SA-Supervisory Authority, que terá a missão de receber e investigar reclamações, ofensas etc, naquele domínio e trabalhará, de forma integrada e colaborativa com as outras AS´s. A UE tem aproximadamente 350 milhões de habitantes, distribuídos por 28 estados (países) diferentes. Os membros da UE estarão subordinados a essa legislação, que prevalecerá sobre outras já, eventualmente, existentes.

Papéis importantes na GDPR:

Esses papéis são muito importantes para o entendimento do GDPR e estão representados na figura-02.

figura2

Controladores:

São pessoas, agências, autoridades públicas ou qualquer outro corpo organizacional que tenha como objetivo o uso dos dados coletados. Serão os responsáveis por garantir que os dados serão usados, de acordo com a GDPR. Deverão deixar claro: quais objetivos procuram, quais dados existem e suas categorias, os meios pelos quais serão usados, a forma de coleta, a forma de busca de consentimento (autorização) para o uso dos dados, a descrição dos destinatários (por quem os dados serão usados), os mecanismos de transferência de dados (entre unidades, países, empresas, etc), além das descrições de processos e técnicas a serem aplicados na segurança organizacional daqueles dados.

Acresce-se a isso os planos de riscos devidamente definidos para os dados, envolvendo incidência, probabilidade, impacto, mitigação e contingência. As notificações e avisos obrigatórios sobre o uso dos dados deverão incluir o período de retenção para os dados pessoais e informações de contato dos controladores de dados e do escritório ou gestores de segurança e proteção, definidos. Os dados deverão ter seu uso explicitamente consentidos pelos usuários. Os sistemas e serviços deverão ter um plano definido de privacidade e segurança. Por exemplo, um hospital que coleta os dados de pacientes, via sistema de internação e os complementa via sistemas de informações médicas, será o controlador desses dados nesse contexto, caso haja dados de cidadãos da UE.

Processadores: 

São pessoas, agências, autoridades públicas ou qualquer outro corpo organizacional que trabalha, em nome de outro (o controlador). São os contratados para realizarem serviços de dados definidos e esperados pelo controlador. Os seus processos devem estar de acordo com as definições do controlador, que por sua vez estarão coerentes com a GDPR. Um contrato entre essas duas partes deverá regular os requisitos de proteção e privacidade, segundo a GDPR. O “How” dos processos, a serem aplicados não precisam ser detalhados pelo controlador. Poderá ser definido pelos processadores, desde que estejam em “compliance” com as regras da GDPR. Dessa forma, os processadores assumirão responsabilidades (em nome dos controladores), definindo: o sistema (ferramentas-processos e tecnologia) usado, as formas de coleta, armazenamento, transferência dos dados, etc. Definem também como os dados PII serão usados e apresentarão planos de retenção, disposal (eliminação de dados), etc. O processador contratado não poderá subcontratar outro processador, sem a autorização expressa do controlador. É natural que muitos controladores sejam também os seus próprios processadores e, assim, as regras e exigências permanecem no mesmo domínio organizacional. Diversas informações serão requeridas para os processadores.

Autoridades de Supervisão-AS:

São organizações, corpos organizacionais, definido pela UE como elementos de supervisão e controle constante sobre a GDPR. Estão geograficamente distribuídas pelos vários (países) da UE e serão as responsáveis pela lupa sobre os controladores, processadores e representantes. Serão uma espécie de QA, com autoridade plenamente instituída.

Representantes:

São uma espécie de “proxy” dos processadores, que não estão na geografia da UE. Assim, os representantes respondem pelos processadores, perante as autoridades de supervisão, junto ao solo da UE. Suponha, por exemplo, uma empresa brasileira de tratamento de dados (faça projetos de qualidade de dados, dados mestres, BI, etc) que fará um serviço para a FIAT na Itália. Essa empresa, deverá ter um representante formal naquele país ou em algum lugar da UE, que será o elo com as autoridades de supervisão.

*Carlos Barbieri

*Carlos Barbieri

Atua há mais de 40 anos na área de dados, com 3 livros publicados. Foi um dos primeiros certificados DMBOK-DAMA do Brasil e dos únicos com a certificação DGS-Data Governance and Stewardship. Implementador e avaliador líder MPS.BR e coordenador executivo da área de Qualidade da Fumsoft, grupo responsável pela implementação do MPS.BR em mais de 90 empresas no estado. É professor de pós-graduação da PUC Minas.