Dados

O que evoluiu nas empresas desde o início do GDPR?

Cinco meses depois de ter entrado em vigor na União Europeia, confira como as empresas estão se adaptando hoje em dia com a nova lei

A nova Lei Geral de Proteção de Dados (LGPD) entra em vigor, oficialmente, em fevereiro de 2020 no Brasil. Durante esse tempo que foi estipulado para que as empresas e órgãos se adaptem, estaremos produzindo diversos conteúdos para auxiliar as organizações nesse processo. Para não perder as novas atualizações e dicas sobre o tema, confira a página específica que criamos para a LGPD e cadastre-se para receber todos os conteúdos diretamente no seu e-mail!

Como vimos anteriormente, a nova lei brasileira é inspirada no GDPR, Regulamento Geral de Proteção de Dados que entrou em vigor na União Europeia em maio de 2018. Seu principal objetivo é garantir a segurança dos dados pessoais dos usuários na internet, e causará grandes impactos nas empresas de diversos setores, inclusive na área de marketing digital. Por isso, para que as empresas comecem a se adaptar à nova regulamentação, é possível seguir alguns passos e ter um órgão regulador responsável pela organização e controle dessa lei.

Mas, enquanto a lei brasileira não entra em vigor, quais impactos já estão sendo causados pelo GDPR na Europa e no mundo? Como as empresas se adaptaram a ela? Esse é o tema do nosso post de hoje!

 

Como está o GDPR hoje?

Durante 2017 até o final de maio de 2018, fomos inundados com comunicados de empresas que compartilhavam opiniões, previsões, inovações e muito mais sobre o GDPR da Europa, e como isso poderia afetar negócios na UE e no exterior. Logo quando o prazo de 25 de maio chegou, passamos a ouvir muito menos sobre ele. E então, cinco meses depois, nos perguntamos: o GDPR está, realmente, surtindo algum efeito?

De acordo com o Superoffice, em um estudo com mais de 800 profissionais de TI e negócios responsáveis pela privacidade de dados em empresas com clientes europeus, a Dell e  Dimension Research descobriram que 80% das empresas ainda conhecem poucos detalhes ou nada sobre a nova regulamentação.

Recentemente também, a TrustArc descobriu que apenas 20% das empresas acreditam que estão em conformidade com a lei, apesar do número estar crescendo. Além disso, mais de 1 em cada 4 empresas (27%) ainda não começaram a trabalhar para tornar a sua organização compatível com o GDPR – vários meses após o prazo final!

 

Fonte: Superoffice

 

É fácil entender porque uma loja física achou difícil de se preparar para o GDPR, mas uma pesquisa do The Ponemon Institute descobriu que 60% das empresas de tecnologia também não estavam prontas. Então, não são apenas empresas pequenas e “no-techy” que estão ficando para trás com a lei, podendo ser multadas em até 4% da receita global anual da organização.

 

Quem está se beneficiando?

No mundo rico em dados que vivemos hoje em dia, os usuários estão experimentando os frutos da transparência graças ao GDPR. O regulamento forçou grandes e pequenas empresas que tenham alguma relação com usuários europeus – estando dentro da UE ou não – a divulgarem quais dados de usuários são coletados e o que é feito com eles. Como resultado, os usuários podem escolher se estão confortáveis com esse compartilhamento e podem recusar, se quiserem. Embora a maioria das pessoas possam optar por partilhar seus dados, para que possam usar seus aplicativos de mídia social favoritos ou ler a sua publicação de notícias favorita, pelo menos agora terão um aviso e podem desistir desse compartilhamento quando desejarem.

Outro grupo que está se beneficiando é aquele que trabalha com segurança cibernética, é claro. As empresas contratadas para ajudar outras empresas a se adaptarem ao GDPR estão mais ocupadas do que nunca e já estão colhendo as recompensas. Oficiais de proteção de dados (DPOs) e Chief Information Security Officers (CISO) estão em alta demanda, já que as empresas estão lutando para permanecer em conformidade e evitarem vulnerabilidades catastróficas. Por isso, a boa notícia é que não é surpresa que a proteção de dados tenha sido citada recentemente como prioridade máxima para 82% dos tomadores de decisões, de acordo com o relatório “2018 Federal Data Protection Report”.

 

Quem está sofrendo consequências?

Embora o Parlamento Europeu e o Conselho da União Europeia tenham concedido às empresas dois anos completos para estarem em conformidade com o GDPR, muitas empresas não agiram até o prazo se aproximar. Até mesmo grandes organizações conhecidas por obterem uma quantidade enorme de dados de usuários ainda não se adaptaram completamente, e podem sofrer consequências por isso.

Reclamações já foram feitas contra o Facebook, o Whatsapp e o Google. O argumento foi de que as empresas estão forçando o consentimento dos usuários a continuarem processando dados individuais, enquanto a lei exige que os usuários tenham liberdade de escolherem – a menos que o consentimento seja estritamente necessário para a prestação do serviço. O Facebook afirma que seu principal produto é a rede social, e não coleta dados pessoais para a segmentação de anúncios. Portanto, impor o consentimento da coleta de dados é um problema.

Apesar de ter várias investigações em andamento, até o momento ainda não foi cobrada nenhuma multa por violações do GDPR. Nas últimas semanas, a Comissão Irlandesa de Proteção de Dados abriu uma investigação formal sobre uma falha na segurança de dados que afetou quase 30 milhões de contas no Facebook, o que pode resultar em uma multa de até US$1,63 bilhão graças à nova lei. A violação deu aos hackers a capacidade de invadirem a conta dos usuários por meio de tokens de acesso, e por isso o caso está sendo investigado para saber se a empresa descumpriu as regras de fortalecer a proteção da privacidade de indivíduos. O Facebook, no entanto, está fazendo esforços como o lançamento da nova função de “limpar histórico”, que permite que usuários vejam os sites e aplicativos que enviam informações do Facebook e limpar esses dados, desativando a capacidade da rede de armazenar essas informações.

Outro impacto imediato do GDPR foi visto no setor de comunicação. Jornais como o Los Angeles Times e o Chicago Tribune impediram que leitores europeus acessassem seus sites para evitarem riscos. A Tronc, empresa proprietária desses e de outros jornais, decidiu bloquear todos os leitores europeus, em vez de se arriscar a ser considerada não-compatível com o GDPR e enfrentar enormes penalidades financeiras. A Lee Enterprises também bloqueou leitores europeus de seus sites, enquanto o USA Today adotou uma abordagem diferente ao oferecer uma versão do site compatível com o GDPR. Outras publicações de notícias solicitaram que os usuários optassem pela coleta de dados, que pode ter o mesmo problema de consentimento forçado do Facebook.

 

Maiores equívocos sobre o GDPR nas empresas

Por ainda existirem muitos equívocos no entendimento da nova lei por parte das empresas, muitas delas não estão entrando em conformidade com as regras. Por isso, o Multichannel Merchant selecionou três dos principais erros cometidos hoje em dia e que podem resultar em grandes penalidades:

 

1. “Minha organização não processa dados pessoais da UE”

Um dos primeiros problemas sobre o GDPR resulta na crença das organizações de que eles não processam dados pessoais na União Europeia. No entanto, muitas pessoas não entendem a definição completa da lei, que define dados pessoais como “qualquer coisa que possa direta ou indiretamente identificar uma pessoa física”. Isso se refere a qualquer identificador como nome, dados demográficos, dados de localização ou endereço IP, por exemplo. Além disso, muitos não conseguem perceber a definição de processamento definida pelo GDPR. Na verdade, aplica-se a qualquer conjunto de operações realizadas em torno de dados. Isso inclui coletar informações sobre clientes, registrar, alterar, recuperar essas informações, consultar, usar, apagar ou destruir. Combinando o alcance da tecnologia moderna e o número de pessoas que vivem no exterior, é provável que haja informações armazenadas em algum lugar que afete os cidadãos da UE.

 

2. “A minha organização não tem presença na Europa”

O GDPR aplica-se a controladores e processadores. Um controlador determina os propósitos e meios de processar dados pessoais. Em outras palavras, é o negócio que está vendendo um serviço. Se uma organização processa qualquer tipo de dado para um controlador, eles são inclusos na lei do GDPR. Qualquer empresa que processe dados em nome de seus controladores está sujeita à lei, independentemente de ter ou não presença física na UE. Além disso, qualquer empresa que esteja localizada fora da União Europeia ainda está sujeita à lei se estiver operando uma mesa online que os clientes europeus possam acessar, interagir ou comprar produtos.

 

3. A minha organização não oferece produtos ou serviços à clientes da UE

Se uma organização oferece bens ou serviços para a UE, é classificada como um processador legal de dados. Esses processadores incluem provedores de software, como Salesforce e Microsoft, call centers, folha de pagamento, contabilidade e empresas de pesquisa de mercado, por exemplo. Todas essas funções em qualquer empresa são consideradas departamentos que armazenam ou analisam dados de alguma forma. Se um cidadão da UE for afetado, ele é protegido pelo GDPR e a empresa deve cumprir as leis que envolvem esse indivíduo.

Além disso, muitas empresas que não acreditam que o GDPR as afeta, processam de fato dados de sujeitos da UE. Mais especificamente, o GDPR criou uma onda de países e estados que decidiram atualizar ou criar novos regulamentos que espelham a lei. É mais importante do que nunca que a privacidade seja uma das principais prioridades. As organizações de hoje devem reconsiderar se são ou não regidas pelas leis do GDPR, como é provável que sejam.

 

Desafios persistentes

Embora 25 de maio de 2018 seja um passado já um pouco distante, muitas empresas ainda estão em processo de conformidade com a regulamentação. De acordo com o CSO Online, alguns desafios ainda estão sendo muito encontrados entre as empresas, como a necessidade de ter um DPO. Embora seja tentador apenas dar o título a um oficial de segurança de informações já existente, é altamente recomendável que as empresas contratem um DPO como uma nova função na organização. No entanto, contratar um especialista não é uma tarefa simples, e por isso, muitas estão terceirizando a função para uma empresa de segurança, como a Deloitte ou a PwC. O DPO ideal deve ter conhecimento aprofundado em TI, bem como experiência em lei de proteção de dados e a capacidade de dominar todas as tarefas específicas descritas na lei.

No entanto, apesar de seus desafios, outros países estão tomando maior conhecimento do GDPR. O Canadá está alinhando sua lei de dados com os padrões estabelecidos, enquanto a Califórnia acaba de aprovar a Lei de Privacidade do Consumidor, que exigirá que as empresas divulguem quais informações pessoais estão sendo coletadas caso um consumidor solicite. A lei da Califórnia entrará em vigor em 2020, assim como a Lei Geral de Proteção de Dados Pessoais brasileira, que foi inspirada no GDPR para a sua criação e também garante a maior segurança dos usuários no país.

 

 

Clique para comentar

Deixe seu comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Início