GDPR: o que é e como funciona a lei de proteção de dados da União Europeia
GDPR é a sigla para General Data Protection Regulation, por aqui Regulamento Geral de Proteção de Dados, uma legislação de proteção de dados da União Europeia.
Na prática, GPDR é um conjunto de novas regras de controle e processamento de informações de identificação pessoal.
Você sabe o que é o GDPR e como ele pode afetar os seus negócios? Já parou para pensar que novos modelos de negócio precisam ser colocados em prática para se adequar a essa nova realidade?
Vamos ajudá-lo a refletir com profundidade sobre esse tema.
Continue lendo esse artigo para conhecer o funcionamento do GDPR, como ele influencia os negócios no Brasil e o que você pode fazer para adaptar sua empresa a ele!
O que é GDPR
Em janeiro de 2012, a Comissão Europeia estabeleceu planos para a reforma da proteção de dados em toda a União Europeia (UE). O objetivo: “tornar a Europa apta para a era digital”.
Quase seis anos depois, em 2018, chegou-se a um acordo sobre o que isso envolvia e como seria aplicado. Um dos principais componentes das reformas é a introdução do Regulamento Geral de Proteção de Dados (GDPR).
Na sua essência, o GDPR é um novo conjunto de regras destinadas a dar aos cidadãos da UE mais controle sobre seus dados pessoais; simplificar o enquadramento regulamentar, para que tanto os cidadãos como as empresas possam se beneficiar plenamente da economia digital.
Esse novo quadro da UE aplica-se às organizações em todos os estados membros e tem implicações para empresas e indivíduos não apenas na Europa; também para aqueles que têm negócios no território europeu ou que utilizem e/ou compartilhem dados daquela — e com aquela — região.
As reformas são projetadas para refletir o mundo em que estamos vivendo agora e traz leis e obrigações — incluindo as que envolvem dados pessoais, privacidade e consentimento.
Como o GDPR funciona na prática
Já notou que quase todos os aspectos da nossa vida gira em torno de dados? De empresas de mídia social a bancos, varejistas e governos.
Quase todos os serviços que usamos envolvem a coleta e a análise de nossos dados pessoais. Seu nome, endereço, número de cartão de crédito etc. são dados coletados, analisados e, talvez mais importante ainda, armazenados pelas organizações.
Violações de dados inevitavelmente acontecem. As informações são perdidas, roubadas ou liberadas nas mãos de pessoas nos mais recônditos lugares da terra — e essas pessoas geralmente têm intenções específicas.
Sob os termos do GDPR, as organizações não somente terão que garantir que os dados pessoais sejam coletados legalmente e sob condições estritas, mas que os gerenciem de maneira a protegê-los do uso indevido.
Com esse regulamento, as empresas também estão formalmente obrigadas a respeitar os direitos dos usuários — proprietários dos dados — ou vão enfrentar penalidades por não fazê-lo.
A quem o GDPR se aplica
O Regulamento Geral de Proteção de Dados aplica-se a qualquer organização que opere na UE, bem como a quaisquer organizações fora da UE que ofereçam bens ou serviços a clientes ou empresas daquele continente.
Isso significa que quase todas as grandes corporações do mundo precisam estar prontas para não infringir o GDPR. Elas precisam ter uma estratégia de conformidade com o Regulamento.
Existem dois tipos diferentes de manipuladores de dados aos quais a legislação se aplica: ‘processadores’ e ‘controllers’. As definições de cada um estão estabelecidas no artigo 4.º do RDPR. Basicamente, elas são as seguintes:
- controlador é “pessoa, autoridade pública, agência ou outro organismo que, sozinho ou em conjunto com outros, determina os fins e meios de processamento de dados pessoais”;
- processador é a “pessoa, autoridade pública, agência ou outro organismo que processa dados pessoais em nome do controlador”.
Como o GDPR afeta as empresas brasileiras
O impacto do GDPR nas empresas brasileiras é enorme. O regulamento modifica permanentemente a forma como os dados de clientes europeus são coletados, armazenados e utilizados nos negócios.
Portanto, é fundamental que os negócios brasileiros que atuam ou querem atuar na União Europeia conheçam em profundidade o GDPR.
As multas pelo não cumprimento deste novo regulamento são grandes. Elas podem chegar a 20 milhões de Euros ou, no caso de violações mais graves, até 4% da receita global total do negócio.
Por exemplo, não ter o consentimento suficiente do cliente para processar dados ou violar os princípios de privacidade é considerado uma infração grave.
Existe também uma abordagem escalonada de multas. A sanção pode ser de 2% por não ter registros em ordem e/ou não avisar a autoridade competente e o titular das informações sobre uma violação.
Vai ficar cada vez mais difícil para as empresas nacionais, que não se adequarem ao GDPR, fixarem seus negócios na Europa.
O mesmo é válido para parcerias com organizações daquela região — desde que as negociações envolvam manipulação de dados de cidadãos europeus.
Como preparar sua empresa para o GDPR e fazer negócios na União Europeia
Além de conhecer em profundidade o GDPR, também será necessário ajustar o modelo de negócio para fazer ou continuar fazendo negócios na União Europeia.
Foque seu negócio no usuário
O GDPR praticamente obriga as organizações a ter mais foco nos usuários. Isso significa criar recursos, plataformas e métodos que deem mais transparência nas transações e na utilização das informações de clientes, fornecedores e parceiros.
A experiência do usuário aliada à segurança da informação precisa ser reforçada. E isso vai além de implementar mecanismos.
Cada vez mais será preciso dar aos usuários meios de gerir quais dados querem compartilhar e quais não. Sem dúvida, a API of me é uma tendência que deve ser levada em consideração.
Use Design Thinking e estratégias de User-Centrism
No que diz respeito aos métodos empregados para adequar o modelo de negócio ao GDPR, recomendamos duas abordagens:
Design Thinking
Design Thinking é uma abordagem estruturada de inovação que tem o ser humano como foco e busca gerar soluções que alinham o desejo e as necessidades do usuário consumidor à geração de valor para o negócio.
Esse método funciona através de alguns princípios que são aplicados em projetos de inovação para as mais diversas finalidades:
- Foco nas pessoas
- Colaboração multidisciplinar
- Tangibilização das ideias e conceitos
É possível empregar o Design Thinking na fase de reformulação ou adequação do modelo de negócio para se enquadrar no GDPR, mas também para lidar com a nova mentalidade dos usuários de tecnologia na União Europeia.
→ Aprofunde-se mais com o e-book Design Thinking e Ágil no contexto da Transformação Digital!
User-Centrism
O termo User-Centrism foi cunhado por Rick Levine, Christopher Locke, Doc Searls e David Weinberger no livro The Cluetrain Manifesto (1999). Refere-se à noção de que os consumidores estão cada vez mais controlando como os serviços são entregues a eles, em vez de serem gerenciados com força pelos fornecedores.
Ao estabelecer uma Estratégia com foco no usuário, é possível centralizar nele os mecanismos de autocontrole de suas informações, bem como elevar a transparência no intercâmbio de dados.
Uma prática que entra nessa abordagem é a chamada API of Me, que nada mais é do que a ideia de dar ao consumidor total controle sobre quem pode acessar seus dados pessoais na Internet.
Com uma API com armazenamento na nuvem seria possível gerenciar permissões de dados. A questão é empoderar o cidadão para mediar as transações acerca de seus dados, podendo inclusive revertê-las em benefícios como descontos, redução de custos, entre outros.
Next steps
Como você viu ao longo desta leitura, há um certo desafio para as organizações de todo o mundo que atuam na União Europeia. E isso não é diferente com as empresas brasileiras.
É necessário agir o quanto antes para se adequar ao novo regulamento, sobretudo para obter o background necessário e estar apto para as oportunidades futuras.
O que você achou da reflexão que trouxemos neste artigo? Faça contato conosco e veja como podemos ajudá-lo em sua Estratégia de conformidade com o GDPR!
