O que é o Regulamento geral de proteção de dados (GDPR)?
O Regulamento Geral de Proteção de Dados (GDPR) é uma estrutura legal que define diretrizes para a coleta e processamento de informações pessoais de indivíduos que vivem na União Europeia (UE). Uma vez que o regulamento se aplica independentemente da localização dos sítios Web, deve ser respeitado por todos os sítios que atraem visitantes europeus, mesmo que não comercializem especificamente bens ou serviços para residentes na UE.
O GDPR exige que os visitantes da UE recebam uma série de divulgações de dados. O site deve também tomar medidas para facilitar os direitos dos consumidores da UE, como uma notificação atempada em caso de violação de dados pessoais. Adotado em abril de 2016, o Regulamento entrou em vigor em maio de 2018, após um período de transição de dois anos.
Requisitos de atendimento ao cliente do GDPR
De acordo com as regras, os visitantes devem ser notificados sobre os dados que o site coleta deles e consentir explicitamente com essa coleta de informações, clicando no botão Concordar ou em outra ação. (Este requisito explica em grande parte a presença onipresente de divulgações de que os sites coletam “cookies “- pequenos arquivos que contêm informações pessoais, como configurações e preferências do site.)
Os sites também devem notificar os visitantes em tempo hábil se algum dos seus dados pessoais mantidos pelo site for violado. Esses requisitos da UE podem ser mais rigorosos do que os exigidos na jurisdição em que o site está localizado.
Também é obrigatória uma avaliação da segurança de dados do local e se um oficial de proteção de dados (DPO) dedicado precisa ser contratado ou um funcionário existente pode realizar essa função.
As informações sobre como contactar o RPD e outros funcionários relevantes devem estar acessíveis para que os visitantes possam exercer os seus direitos de dados da UE, que incluem também a possibilidade de ter a sua presença no site apagada, entre outras medidas. (Naturalmente, o site também deve adicionar equipe e outros recursos para ser capaz de realizar tais solicitações.)
Outras regras e mandatos do Regulamento geral de proteção de dados (GDPR)
Como proteção adicional para os consumidores, o GDPR também exige que todas as informações de identificação pessoal (PII) coletadas pelos sites sejam tornadas anônimas (tornadas anônimas, conforme o termo indica) ou pseudonimizadas (com a identidade do consumidor substituída por um pseudônimo). A pseudonimização de dados permite que as empresas façam algumas análises de dados mais extensas, como avaliar os índices médios de endividamento de seus clientes em uma determinada região – um cálculo que poderia estar além dos objetivos originais dos dados coletados para avaliar a qualidade de crédito de um empréstimo.
O GDPR afeta os dados além dos coletados dos clientes. Mais notavelmente, talvez, o regulamento se aplica aos registros de recursos humanos dos funcionários.
Controvérsias associadas ao GDPR
O GDPR atraiu críticas em alguns setores. A exigência de nomear DPOs, ou simplesmente avaliar sua necessidade, dizem alguns, impõe uma carga administrativa indevida a algumas empresas. Alguns também reclamam que as diretrizes são muito vagas sobre a melhor forma de lidar com os dados dos funcionários.
Além disso, os dados não podem ser transferidos para outro país fora da UE, a menos que a empresa receptora garanta o mesmo grau de proteção que a UE exige. Isso gerou reclamações sobre dispendiosas interrupções nas práticas comerciais.
Há uma preocupação adicional de que os custos associados ao GDPR aumentem com o tempo, em parte devido à necessidade cada vez maior de educar clientes e funcionários sobre ameaças e soluções à proteção de dados. Também há ceticismo sobre a viabilidade de agências de proteção de dados em toda a UE e além podem alinhar sua aplicação e interpretação das regulamentações e, assim, garantir a igualdade de condições enquanto o GDPR entra em vigor.