Banco de Dados

5 set, 2018

GDPR e a LGPD – Parte 01

Publicidade

Este é o primeiro artigo de uma série sobre a GDPR (General Data Protection Regulation), a Lei Geral de Proteção de Dados, e os impactos nos projetos de banco de dados.

Vamos começar com a “causadora” das mudanças, a GDPR; uma lei que foi aprovada em abril de 2016 e entrou em vigor em maio de 2018, substituindo algumas diretivas que tratavam da proteção de dados, e não se iluda; a GDPR é muito mais dura do que as diretivas.

E se você está pensando: “Eu estou no Brasil, minha empresa está no Brasil e eu não serei afetado pela lei, porque nem meus servidores estão na Europa” – eu trago más notícias! A lei aplica-se a todas as organizações da UE e estrangeiras que oferecem bens/ serviços a cidadãos europeus ou que tratam dados pessoais de residentes na Europa.

Entende porque é importante conhecermos essa lei?

Antes de começar a expor alguns aspectos da GDPR, é bom entender os seguintes conceitos:

  • Controlador: determina o objetivo do processamento de dados pessoais.
  • Processador: processa esses dados em nome do controlador.
  • Terceiro: qualquer produto / serviço fornecido por uma organização que você esteja usando em seu sistema
  • Assunto dos dados: pessoa que está usando seu produto / serviço.
  • Autoridade de supervisão: autoridade pública independente estabelecida pelo Estado-Membro da UE.
  • Dados pessoais: são todos os dados que podem ser usados para identificar uma pessoa de forma exclusiva

O objetivo do GDPR é proteger os cidadãos da UE contra a violação de privacidade e dados num mundo cada vez mais orientado para os dados; por isso ela é tão temida! (ou deveria ser)

Vamos começar falando sobre algumas novidades da GDPR que podem tirar o nosso sono.

Dentro ou fora da Europa a lei pode ser aplicável a sua empresa

Esta é uma das grandes mudanças se compararmos a GDPR com as diretivas existentes anteriormente, porque se dados dos cidadãos europeus são manipulados ou armazenados, fora da Europa eles também devem estar de acordo com a lei.

Multas muito pesadas

As empresas que violarem a lei podem ser multadas em até 4% do faturamento global anual ou 20 milhões de euros (o que for maior). Esta é a multa máxima que pode ser imposta para as infrações mais graves, como não ter o consentimento do cliente para processar dados ou violar alguns conceitos da Privacidade por Design.

Ainda penso se nos próximos anos as empresas brasileiras serão auditadas pela GDPR, como será essa auditoria, o quão soberanos somos como nação. Um belo dia de sol, poderá um europeu chegar na minha empresa e dizer “Bom dia vim auditar seu banco de dados”?. Ainda tenho dúvidas.

Consentimento não é letrinha miúda e nem texto complicado

As empresas não poderão mais usar termos e condições longos e ilegíveis cheios de termos jurídicos. O pedido de consentimento deve ser dado de forma inteligível, de fácil acesso e com o propósito de processamento de dados explicito.

Não adianta esconder! Se deu ruim vai ter que avisar, e rápido!

De acordo com o GDPR, a notificação de violação se tornará obrigatória sempre que uma violação de dados pode “resultar em um risco para os direitos e liberdades dos indivíduos”. Isso deve ser feito dentro de 72 horas após o primeiro conhecimento da violação.

Direito de Acesso: por que, quando, onde e como os meus dados serão processados?

Os cidadãos terão direito a saber quais dados pessoais estão sendo armazenados, onde estão, e com qual finalidade. Poderão também pedir gratuitamente uma cópia dos dados pessoais em formato eletrônico.

Eu imagino algumas pessoas pedindo para o Facebook, Twitter e Instagram uma cópia dos seus dados pessoais. É viável? Qual será o meio eletrônico para pessoa disponibilizar estes dados? Haverá um custo para disponibilização, ele será embutido nos produtos da empresa? E qual o será o formato padrão para acesso aos dados?

Ainda não encontrei respostas plausíveis para estas questões, e convido vocês a pensar comigo sobre elas.

Direito de ser esquecido

O direito de ser esquecido autoriza o titular dos dados a solicitar que o controlador apague seus dados pessoais, interrompa a disseminação e suspenda o processamento dos seus dados.

Lindo, né? Seria só um comando DELETE, mas sua empresa conhece todos os dados pessoais? Ela classificou os dados? Todos esses dados estão no mesmo banco de dados? E os dados históricos que precisam ser excluídos também? Você irá manipular os dados do seu DW? Cuidado: não é só deletar os dados que você conhece! Analise esse aspecto cuidadosamente, e eu desejo que você tenha governança dos seus dados (meu lado AD falando).

Portabilidade de dados

É o direito do titular escolher quem será o processador/controlador dos seus dados.

Privacidade por Design

Esta clausula faz com que os profissionais de dados tenham calafrios, mas um amigo me disse que era garantia de emprego para os ADs. Piadas toscas e sem graça à parte, esta é uma clausula muito importante para nós e precisa de cuidado e atenção!

A ideia aqui é fazer certo. Construa seus sistemas de forma correta. Sua empresa te dá tempo para isso? E por outro lado, qual o impacto nas entregas rápidas? Como faremos estregas rápidas? Sua empresa tem uma equipe de arquitetura de dados grande o suficiente para atuar intensivamente em todos os projetos? E as melhorias nos sistemas legados?

Em sua essência, a privacidade pelo design exige a inclusão da proteção de dados desde o início do projeto dos sistemas. O responsável pelo tratamento dos dados deve implementar, de forma eficaz, medidas técnicas e organizacionais adequadas, a fim de cumprir os requisitos da GDPR e proteger os direitos dos cidadãos europeus.

Na Europa a governança já é lei!

Conclusão

Desculpem, mas ainda me faltam conclusões; eu estou estudando a GDPR e a LGPD, e vou compartilhar a caminhada com vocês.

Ser a favor ou contra este tipo de lei, não muda a nossa realidade, mas estamos vivendo um período de mudanças e muitas novidades. Precisaremos ter opinião, precisaremos conhecer a lei, precisaremos conhecer os dados, precisaremos conhecer os recursos do SGBD. Todas as nossas decisões trarão consequências, e precisamos estar aptos para fazer as escolhas corretas.

Boa sorte para nós!