Regulamentação da Proteção Geral de Dados

Assim, o presente trabalho traz uma análise dos fatores que levaram a essa não conformidade, bem como um curto exemplo de como deve ser implementada a adequação a GDPR, através da política de sucesso adotada pela empresa SumUP. Para isso, esse trabalho se vale de uma pesquisa exploratória, baseada em uma revisão bibliográfica do tema, com resultados qualitativos. Uma das principais considerações desse trabalho, foi o fato de não haver um guia de processos específicos para a GDPR, o que teria facilitado muito a tarefa dos gestores durante o processo de implementação. Palavras-Chave: GDPR. Compliance. Sumário 1. introdução 7 1. Visão Geral 7 1. Problema de Pesquisa 8 1. Objetivos 8 1. Carta dos Direitos Fundamentais da União Europeia de 2000 18 2. Regulamentação Geral da Proteção de Dados (General Data Protection Regulation – GDPR) da União Europeia 19 2.

Os neologismos da GDPR 20 2. As dificuldades na adequação à GDPR 22 3. Metodologia 29 4. Serviços que, até os anos 90, consumiam demasiado tempo, como o pagamento de uma conta em um caixa bancário, agora são realizados em poucos minutos pela Internet. Frente à essa realidade, os países membros da União Europeia (EU), visando a proteção dos direitos de seus cidadãos, estabeleceram a Regulamentação Geral de Proteção de Dados (General Data Protection Regulations – GDPR). Atualmente, 250 milhões de pessoas utilizam diariamente a Internet na Europa. Partilhamos cada vez mais os nossos dados pessoais — quer seja através de serviços bancários em linha, de compras na internet ou de declarações de impostos eletrônicas. É necessário salvaguardar o direito à proteção dos dados pessoais. Problema de Pesquisa Segundo Corrêa (2018), toda pesquisa precisa de um problema central, que será seu norteador, e esse problema, apresenta-se na forma de uma pergunta.

Assim, a pergunta-problema do presente trabalho é: quais são as principais razões encontradas pelas empresas para sua adequação a GDPR da União Europeia? 1. Objetivos Como objetivos específicos, esse trabalho tem a descrição dos conceitos envolvidos na GDPR, para que se possa compreender melhor essa, bem como exemplificar, através do estudo de casa da implantação das normas da GDPR na empresa SumUp, como funciona o correto desenvolvimento do processo, para que a empresa esteja em conformidade com a GDPR. Justificativa Tal trabalho se justifica pela necessidade das empresas, cuja grande maioria ainda engatinha ou nem se quer iniciou a adequação a GDPR, em possuir mais conhecimentos sobre o tema, bem como um modelo de sucesso para servir como guia nessa jornada. Embora seja uma regulamentação da União Europeia, a GDPR protege os dados de qualquer cidadão europeu, sendo indiferente a localização física da armazenagem desses, sendo assim, essencial a qualquer empresa que tenha ou pretenda ter negócios com a UE adequar-se a GDPR.

SQI, 2017) Uma das modificações sócio-políticas trazida pela Sociedade em Rede é relativização da soberania dos estados, entendida como algo a ser compartilhado, nesse modelo social, quando se tratando de questões internacionais: [. estamos em um período de transição: a sociedade conectada em nível global e os Estados organizados em nível nacional, donde vislumbra que o regramento do tema caminhará para a relativização da soberania dos Estados e para uma governança transnacional, como única forma de tratar conjuntamente os assuntos de interesse global. CASTELLS, 2000, p. Essa relativização da soberania nos negócios internacionais introduz um novo conceito, o do Estado em Rede, na qual, segundo SQI (2017): “a governação é realizada numa rede, de instituições políticas que partilham a soberania em vários graus, que se reconfigura a si própria numa geometria geopolítica variável”.

Dentro desse conceito, em alguns assunto de alcance mundial, como o combate ao terrorismo internacional e às ameaças cibernéticas exige a relativização da soberania de alguns estados, para que possa ser efetivamente realizada: [. Todo ser humano tem direito à proteção da lei contra tais interferências ou ataques. DECLARAÇÃO UNIVERSAL DOS DIREITOS HUMANOS, ART. apud VALDETARO, 2017, p. Assim, ficava disposto o primeiro tratado internacional a garantir o direito à privacidade e à proteção dos dados pessoais. Com o advento da sociedade em rede (CASTELLS e CARDOSO, 2005), passamos a ter outras formas de correspondência e de exposição dos dados pessoais. g) Princípio da segurança: Estabelece a necessidade do desenvolvimento de medidas de segurança que garantam segurança aos dados pessoais e os protejam contra acidentes e fraudes.

h) Princípio da supervisão e da sanção: Determina a designação autoridade para supervisionar a aderência dos controladores e possuidores dos bancos de dados às regras estabelecidas, bem como aplicar sanções quando do seu descumprimento. i) Princípio do fluxo de dados internacionais: Indica que se deve garantir o livre fluxo de informações entre países que possuam o mesmo nível de proteção a dados pessoais. j) Princípio do campo de aplicação: Recomenda que os princípios acima estipulados sejam aplicados a todos os bancos de dados computadorizados públicos e privados, podendo-se estender também, em certos casos, a bancos de dados manuais. VALDETARO, 2017, p. Essas definições foram atualizadas em 2013, e ainda seguem em uso, como diretrizes básicas para tratados legais mais avançados no sentido de proteger internacionalmente ou nacionalmente os dados pessoais.

Como já mencionado, em 1990 a ONU deu mais um passo importante no sentido de criar normas internacionais para a proteção de dados, com a criação do documento Guidelines for the Regulation of Computerized Personal Data Files, outro elemento base para novas regulamentações quanto a proteção de dados. VALDETARO, 2017) Vagarosamente, muito mais do que os dados “estocados” no Big Data evoluem, as regulamentações, nacionais e internacionais surgem, porém, nem todas têm sido ou podem ser cumpridas pelas organizações privadas ou governamentais. PETRY, 2013) Um grande avanço nesse sentido, é a Regulamentação Geral de Proteção de Dados (General Data Protection Regulations – GDPR) da União Europeia (UE), que traz amplas novidades no que tange aos dispositivos regulatórios e aplicabilidade da norma regulamentadora. Proteção de Dados na União Europeia Da Europa, conforme evidenciam os dados a seguir e a análise do mapa de DLA Piper (2017), vem os mais avançados conceitos referentes às regulamentações e outras disposições legais a cerca da proteção de dados.

DPA – Data Protection Act 1998 Em 1998, a criação de uma Lei pelo Parlamento Inglês, trouxe mais um avanço na proteção de dados (VALDETARO, 2017). O Data Protection Act 1998 (DPA 1998 – Lei de Proteção aos Dados) foi estabelecido com o fito de proteger os dados pessoais, fossem eles armazenados em sistemas computacionais ou em qualquer formato organizado de armazenamento, como fichas de papel, por exemplo. Essa nova Lei garantia ao indivíduo o direito sobre o total controle de seus dados, e qualquer pessoa detentora de algum tipo de arquivo de dados pessoais, que não fosse de uso doméstico, como uma caderneta telefônica, por exemplo, estava, com poucas exceções, sob as obrigações dessa lei. MALHEIRO, 2017) Ela foi substituída pelo Data Protection Act 2018 (DPA 2018), estabelecido em 23 de maio de 2018.

VALDETARO, 2017) 2. Regulamentação Geral da Proteção de Dados (General Data Protection Regulation – GDPR) da União Europeia Após uma longa trajetória de instrumentos legais, iniciada em 1981, com a Convenção 108, a União Europeia (UE), estabeleceu e colocou em vigor, em 25 de maio de 2018, a bastante avançada, quanto à proteção do objetivo central de seu texto, Regulamentação Geral da Proteção de Dados (General Data Protection Regulations – GDPR). UNIÃO EUROPÉIA, 2018) Baseada grandemente na própria Convenção 108 e no Data Protection Act inglês, de 1998, atendendo ao disposto no Artigo 8º da Carta dos Direitos Fundamentais da UE, o GDPR visa uniformizar a proteção de dados nos países membros e, colocar também sob as mesmas regras, países não membros e serviços sediados em países não membros, que tenham vínculo com a UE ou seus cidadãos.

VALDETARO, 2017) As regras aplicam-se quando os seus dados são recolhidos, utilizados e armazenados em suporte digital ou num sistema estruturado de arquivo em papel. Existe um conjunto de regras para toda a UE, que podem ser complementadas, em alguns aspetos, pela legislação nacional. Isto significa que os seus direitos são os mesmos independentemente da entidade na UE a quem fornece os seus dados. Tal inclui, por exemplo, o seu nome, endereço de residência, número de cartão de identificação, código IP (protocolo Internet) ou informações sobre a sua saúde. Alguns dados sensíveis, como dados sobre a sua saúde, origem racial ou étnica, opiniões políticas e orientação sexual, beneficiam de proteção especial. Estes dados só podem ser recolhidos e utilizados em condições específicas, por exemplo caso tenha dado o seu consentimento explícito ou caso a legislação nacional o permita.

UNIÃO EUROPÉIA, 2018, p. • Data Controller: O termo Data Controller é definido como a pessoa, individual ou coletiva, pública ou privada, responsável pelos fins e os meios do tratamento de dados pessoais. Quando insere o seu nome num motor de pesquisa na Internet, os resultados incluem ligações para um artigo de jornal antigo sobre uma dívida que já pagou há muito tempo. Se não for uma figura pública e se o seu interesse na supressão do artigo prevalecer sobre o interesse do público em geral de acesso à informação, o motor de pesquisa é obrigado a apagar essas ligações. UNIÃO EUROPÉIA, 2018) Dado o alcance global dessa regulamentação, há um gigantesco número de organizações que serão diretamente impactadas por ela.

Na prática, qualquer empresa que tenha operações de dados com clientes que sejam cidadãos europeus, ou pretenda ter, está diretamente sob as regulamentações impostas pela GDPR. UNIÃO EUROPÉIA, 2018) É importante dizer que, a não adequação das empresas às exigências da GDPR, implica em multas, que podem ser aplicadas em valores que chegam aos 20 milhões de Euros ou 4% do volume anual de negócios, funcionando como indexador da medida punitiva o item de maior valor. QI BIT, 2018) A primeira causa citada para esse fato, principalmente entre empresas cuja sede não se encontra nos países europeus é a resistência oferecida institucional ou culturalmente, pela própria organização. RODRIGUES, 2018) Muitas das organizações diretamente impactadas pela GDPR possuem culturas internas bastante rígidas e imutáveis, que tornam difícil a implementação da GDPR de forma adequada, já que essa acaba gerando mudanças culturais, derivadas dos métodos de tratamento de dados que essa obriga.

RODRIGUES, 2018) Um segundo motivo de resistência, de ordem institucional, é o uso, nem sempre lícito ou moralmente correto, que algumas organizações fazem de seus clientes, sendo esse tipo de operação um dos principais motivos da criação da GDPR. As empresas praticantes dessa modalidade de exploração dos dados tendem a ser penalizadas pelas sanções impostas pela GDPR, e em sua grande maioria, eliminadas, por essa, do mercado. QI BIT, 2018; UNIÃO EUROPEIA, 2018) Outra dificuldade encontrada pelas empresas em seu processo de conformidade com a GDPR é a questão dos dados armazenados. Comunicados de Privacidade Deverá ser revisto a polícia de notificação de privacidade das organizações além dessas necessitarem de um plano referente as mudanças de notificações de concessão dos dados do usuário a partir de qualquer mudança ocorrida tendo o usuário toda a rastreabilidade de quais são os dados e como eles estão sendo manipulados.

SANTOS, 2017, web) Novamente, a adequação da tecnologia, envolvendo os meios de software e, potencialmente, de hardware, traz dificuldade as empresas. O tempo para desenvolvimento de novas soluções em software capazes de lidar com as novas exigências da gestão de privacidade é outro fator de dificuldade para a obtenção de conformidade com a GDPR. MOORE, 2018) Direitos Individuais Deverá ser garantido pelas organizações, a cobertura de todos os direitos individuais dos usuários incluindo o direito do mesmo deletar, transferir e apagar seus dados eletronicamente e em caso de descumprimento desses direitos, o usuário terá aporte jurídico baseado na regulamentação GDPR. SANTOS, 2017, web) A garantia de direitos individuais é um dos paradigmas envolvidos na Sociedade em Rede, onde o pensamento dos meios sociais, reais ou virtuais, é cada vez mais voltado para o coletivo e globalizado.

MALHEIRO, 2017) Vazamento de dados As organizações deverão se certificar que detenham os procedimentos internos corretos para detectar, denunciar, reportar e investigar violações de dados pessoais dos usuários. SANTOS, 2017, web) Essa é uma barreira bastante complexa. Exige investimento em novos meios de controle dos dados, pesados investimentos em segurança da informação e constate adequação, para que se possa lidar com as novas ameaças que surgem, diariamente, no meio cibernético. PETRY, 2013; MOORE, 2018) Proteção por Design e Protection Impact Assessment[Pia´s] As organizações deverão estar familiarizadas com o PIA´s de forma a realiza-las nas situações de novos projetos, sistemas, equipamentos e qualquer alteração que envolvam dados pessoais tornando essa necessidade obrigatória para garantir compliance com o GDPR. SANTOS, 2017, web) Novamente, estão envoltas mudanças da tecnologia de software emprega nas empresas que armazenam dados, gerando custos cada vez mais elevados nesse setor, para que a empresa possa estar em conformidade com a GDPR.

Mattar define pesquisa exploratória como “aquela que prove o pesquisador de um maior conhecimento sobre o tema ou problema em perspectiva”. Para tanto, a pesquisa está embasada por uma revisão teórica, cujas fontes foram livros, manuais técnicos da própria União Europeia, guias de procedimentos editados por empresas diretamente ligadas ou afetadas pela regulamentação geral de dados, artigos de periódicos e páginas de sites com informações relevantes sobre o tema. A pesquisa é ainda, qualitativa. Segundo Kirk e Miller (1986), uma pesquisa qualitativa é aquela que aborda subjetivamente o tema, sem o objetivo de quantitizar, apenas que se possa comprender melhor o assunto em questão. Foi também, para exemplificar o processo de adequação às normas da GDPR, realizado um estudo de campo, utilizando o caso da empresa SumUp como referencial.

A maioria das empresas não possui, com precisão esse tipo de controle, havendo por exemplo, dados duplicados de um mesmo usuário, ou tratados de forma diferente para uma mesma operação. O levantamento preciso desse tipo de dados tem sido uma grande dificuldade na obtenção de conformidade à GDPR, pois consome enormes quantidades de tempo e requer mudanças urgentes em bases de dados operacionais, além de investimentos em hardware, que consomem grandes recursos financeiros das organizações. As questões humanas envolvidas na adequação à GDPR também são bastante complexas. Toda inovação tende a gerar resistência. Assim, em muitas empresas, cuja cultura foi estabelecida ainda nos anos 90, ou mesmo antes, as novidades trazidas pela GDPR foram mal recebidas, sendo de difícil implementação devido a rigidez e falta de adaptabilidade da cultura dessas empresas.

A SumUp criou algumas soluções próprias, como a inserção, na tela de registro do usuário, de uma caixa que permite, de uma única vez, aceitar todos os termos. Os termos ficam disponíveis em link próprio, e na página do suporte há um artigo, que esclarece, baseado no próprio texto da GDPR, todas as adequações a essa. Também passou a fazer parte das políticas e da cultura da empresa a transparência com o usuário sobre o tratamento de seus dados, podendo esse, a qualquer instante, abrir uma solicitação para pedir sua retirada da base de dados, a retificação de seus dados ou interferir sempre que uma operação de tratamento automática de seus dados estiver em andamento.

Houve também uma cuidadosa observação das regulamentações locais, produzidas por cada Estado – Membro da UE, em função da GDPR. Outra iniciativa interessante foi a extensão dos termos de privacidade e tratamento dos dados aos países onde a empresa possui operações, fora do continente europeu, facilitando assim futuras adequações as regulamentações que devem surgir nesses países, bem como adequando-se a relativização da soberania presente na GDPR. Tradução de Roneide Venâncio Majer e Klauss Brandini Gerhardt. ed. Porto: Paz e Terra, v. I, 2000. CASTELLS, M. DLA PIPER. Data protection laws of the world full handbook. DLA Piper, 2017. Disponivel em: <www. dlapiper. MILLER, M. L. Reliability an validity in qualitative research. Los Angeles - EUA: Sage University, 1986. MALHEIRO, L. The GDPR & Managing Data Risk for dummies.

Chichester, West Sussex, Inglaterra: John Wiley & Sons, Ltd. PARLAMENTO EUROPEU. Carta dos Direito Fundamentais da União Europeia. Bruxelas, Bélgica: Imprensa Oficial Europeia, 2000. Você acha que a GDPR não vai afetar sua empresa no Brasil? É bom refletir sobre o assunto. TI Inside - Segurança Online, 2018. Disponivel em: <http://tiinside. com. br/tiinside/seguranca/artigos-seguranca/23/03/2018/voce-acha-que-a-gdpr-nao-vai-afetar-sua-empresa-no-brasil-e-bom-refletir-sobre-o-assunto/>. O que é sociedade em rede. SQI no Direito, 2017. Disponivel em: <http://sqinodireito. com/o-que-e-a-sociedade-em-rede/>. Acesso em: 20 maio 2018. VALDETARO, Ú. B. F. Utilização de dados pessoais em serviços financeiros. Brasília: UnB, 2017.