De 25 de maio de 2018 o Regulamento Geral de Proteção de Dados da UE (GDPR) será aplicadoque substituirá as disposições da atual Lei de Proteção de Dados Pessoais. As disposições do GDPR, também conhecido como GDPR (Regulamento Geral de Proteção de Dados), se aplicam a todos os que processam dados pessoais relacionados com suas atividades comerciais. Elas vão principalmente empresas que coletam e processam dados sobre pessoas físicas, ou seja, grandes empresas, como seguradoras ou instituições financeiras, mas também pequenas empresas familiares, como uma loja online ou um salão de beleza.
Ainda existe confusão e caos em torno das disposições relacionadas com o RGPD, uma vez que não existem orientações detalhadas sobre como implementar as disposições previstas no regulamento da UE. Portanto, o GDPR preocupa empresários que não sabem como se preparar para isso, e os dados sobre a implementação do regulamento são preocupantes – apenas 15 por cento. empresas na região EMEA (Europa, Oriente Médio e África) declaram que estão prontas para o GDPR, e na Polônia apenas 13 por cento. os gestores sabem a data exata de entrada em vigor dos novos regulamentos.
Algumas das questões mais importantes relacionadas à introdução do GDPR Os especialistas da Gemius explicam na análise preparada para Wirtualnemedia.pl – Małgorzata Jankowska-Blank, diretor do departamento jurídico e Jacek Grabowski, representante para a segurança da informação.
GDPR é um compromisso
O GDPR é a resposta às questões colocadas pelo progresso tecnológico. Ao mesmo tempo, continua sendo um desafio. Como vencer a corrida contra o tempo de uma forma que proteja os negócios de Kowalski e não prive o empresário dos negócios? Ao contrário da opinião popular, o GDPR tenta enfrentar esse desafio.
Enquanto ato jurídico da União Europeia, o regulamento ao abrigo do Tratado sobre o Funcionamento da UE foi adotado conjuntamente pelo Parlamento Europeu e pelo Conselho da UE sob proposta da Comissão Europeia. Como resultado, ele é recebido por representantes de cidadãos da UE, ou seja, o Parlamento, incluindo representantes de cidadãos poloneses e ministros delegados, ou seja, o Conselho, que também inclui um representante polonês. Ao longo do caminho, muitas consultas públicas foram realizadas. Já para não falar do parecer do Comité Económico e Social Europeu, ou seja, representantes dos Estados-Membros, incluindo a Polónia, em representação de vários grupos sociais e profissionais, e do parecer do Comité das Regiões, ou seja, representantes dos governos locais, incluindo Governos locais poloneses. Durante os trabalhos de redação do regulamento, somente milhares de correções foram apresentadas, e as atividades foram iniciadas em 25 de dezembro de 2012. Anos de trabalho permitiram o consenso necessário, mas certamente deixa muito a desejarporque tenta equilibrar interesses freqüentemente conflitantes. A diretiva, que regulamentava a proteção de dados pessoais no território da União Europeia, estava em vigor desde 1995.
Quais são os mitos em torno do GDPR, o que é verdade?
Muitos mitos surgiram em torno do GDPR. Podemos citar quatro que são mais frequentes. O primeiro indica que para poder processar dados pessoais, você deve sempre ter o seu consentimento. Sim, o consentimento é um dos fundamentos para o tratamento de dados pessoais previsto no GDPR, mas não o único. Como parte da aplicação da nova lei as empresas podem considerar o uso de outros fundamentosuma das opções possíveis é o interesse legítimo do controlador de dados. Esta justificação legal não é fácil e deve ser devidamente considerada e documentada, devendo ser demonstrado que este método de tratamento não viola os interesses ou direitos fundamentais do titular dos dados. O paradoxo desta situação e a possível causa do mito é que é potencialmente mais fácil para as empresas demonstrar que têm consentimento válido do que documentar adequadamente esses interesses.
O segundo mito que surgiu com a regulamentação é que O GDPR não se aplica a entidades individuais, mas a grandes entidadesporque eles serão perseguidos por escritórios. Na verdade, o GDPR oferece a cada cidadão as ferramentas para gerenciar seus próprios dados. Portanto, quando alguém processa dados pessoais, está exposto às consequências se não estiver preparado para as novas regulamentações. Claro, a probabilidade de eventos desagradáveis no caso de ter uma pequena quantidade de dados pessoais é baixa. Contudo um troll de privacidade é o suficiente no grupo de pessoas cujos dados são processados para, mais cedo ou mais tarde, forçar a empresa a introduzir as alterações adequadas. E quanto mais tarde, mais doloroso.
Por vezes, existe a opinião de que, se uma entidade que é o controlador dos dados não tiver o aos mesmos e confiar os dados a terceiros, não tem de se preparar. Mas os regulamentos são muito claros para os es e impõem certas responsabilidades e obrigações a eles – também quando o processamento é confiado a outra empresa.
Outro mito é o boato de que, em face do GDPR, uma multa enorme de 20 milhões de euros pode ser imposta à empresa. Qual é a verdade? Penalidades, sim, haverá. Quando os dados são tratados irrefletidamente ou com desconsideração consciente dos princípios de sua proteção, eles devem ser severos. O propósito das punições é mobilizar aqueles que não levam as questões jurídicas suficientemente a sério, bem como proteção real de dados pessoais. Afinal, estamos falando dos dados de cada um de nós. Este é um assunto importante.
O que o GDPR significa para a Polônia e para outros mercados?
Como regulamento, o GDPR é diretamente aplicável. As suas disposições serão, portanto, aplicadas em todos os mercados europeus com a mesma formulação. O espírito de regulamentação em resposta aos desafios tecnológicos não muda. Empresários poloneses que processam dados pessoais, que operam não só no mercado interno, poderão conduzir com maior tranquilidade os seus negócios nos territórios de outros Estados-Membros. Hoje, é elevado o risco de incumprimento das disposições sobre proteção de dados pessoais devido à fragmentação jurídica do mercado.
No entanto, é importante saber que o GDPR deixa espaço para que as legislações locais especifiquem as regras geralmente formuladas. O trabalho de desenvolvimento dessas áreas na Polônia está em andamento. Um exemplo de tal área pode ser a função do Inspetor de Proteção de Dados Pessoais e as condições em que deve ser instalado nas instalações do empresário. A França e o Luxemburgo reforçaram essas condições e o fracasso em estabelecer o chamado DPO foi limitado. A Alemanha manteve os requisitos existentes e as propostas polacas até agora visam apenas alterar as regras de nomeação e notificação de nomeações. A Grã-Bretanha continua sendo uma grande incógnita para os empresários poloneses em termos de Brexit.
Para que se preparar os empreendedores?
A tarefa das empresas na preparação para a entrada em vigor do GDPR é principalmente conscientizando-se de que o assunto é sério e diz respeito a todos os assuntos. A conscientização é tanto o treinamento dos funcionários quanto as informações que chegam à gestão da empresa. No entanto, esta é uma tarefa mais para a mídia ou assessores. Que mudanças devem ocorrer dentro da empresa?
Por exemplo, você deve identificar os locais e processos onde os dados pessoais estão localizados na organização e como eles são processados. Por exemplo, de quem recebemos os dados, com quem os partilhamos, enviamos para fora da União Europeia e como os protegemos do ponto de vista técnico, organizacional ou jurídico. O próximo o será examinar os fundamentos legais para o processamento desses dados e corrigir as políticas de privacidade, avisos de privacidade e informações fornecidas aos titulares dos dados em conformidade.
O GDPR fornece a cada um de nós direitos e instrumentos para inspirar adequadamente os processadores de dados a cumprir nossos desejos. Estes incluem, por exemplo o direito de ser esquecido, o direito de ar dados ou o direito de deletar dados. Portanto, paralelamente a outras atividades, deve-se ter o cuidado de projetar e descrever os processos que irão implementar essas leis. O sistema de protecção de dados deve ser concebido de forma a ter em consideração os conhecimentos actuais no domínio da segurança, bem como o procedimento de informação sobre uma violação de dados – algumas violações exigirão, por exemplo, notificação do Gabinete para Proteção de dados pessoais em até 72 horas a partir do momento de sua detecção. A organização deve considerar a nomeação de um Diretor de Proteção de Dados, ou seja, uma pessoa com conhecimento especializado neste campo. Nem sempre é necessário, mas com a ajuda de uma pessoa competente é mais fácil istrar assuntos que antes não eram tratados. Além disso, o respeito pela privacidade e os princípios relativos aos dados pessoais devem ser refletidos em toda a forma de conduta da empresa. Portanto, verificações periódicas serão necessárias para garantir que tudo esteja funcionando corretamente.
Quais condições serão gigantes como Google e Facebook?
Empresas que não têm sede em um Estado-Membro da União Europeia e monitoram o comportamento dos cidadãos da UE ou fornecem seus bens ou serviços na UE, estão sujeitos às disposições do GDPR. Isso também se aplica a gigantes do exterior, sejam eles dos EUA ou da China. Portanto, quando falamos sobre requisitos para os quais os empresários poloneses devem se preparar, estamos falando também sobre requisitos para o Google ou o Facebook. Do ponto de vista dos usuários, é muito importante aqui o direito ao esquecimento, que se resume à obrigação de apagar os dados do usuário, quando este manifestar tal desejo. O direito de solicitar a transferência de dados é outra novidade importante do ponto de vista dos usuários de populares sites de redes sociais ou buscadores, pois poderão receber seus dados do de forma estruturada e solicitar o envio para outro .
GDPR mais suave para pequenas e médias empresas, é uma boa solução?
O GDPR se aplica a todos. Segundo proposta recente do Ministério do Desenvolvimento No entanto, algumas entidades podem ser dispensadas de algumas das obrigações impostas pelo GDPR. De acordo com esta proposta, as entidades com tarifa reduzida são aquelas que empregam menos de 250 trabalhadores, não tratam dados sensíveis e não transferem dados pessoais a terceiros. Essas empresas, por exemplo, não teriam que cumprir uma obrigação de informação ao coletar dados pessoais. Esse tipo de proposta faz algum sentido. Existem algumas empresas que recolhem dados de o dos seus clientes, por exemplo de cartões de visita, para gerir o seu próprio negócio. Parece que a expectativa de que um funcionário da empresa informe o cliente sobre a possibilidade de utilizar seus dados ao receber um cartão de visita foge ao objetivo da reforma.
Outras coisas também podem ser controversas na proposta do ministério. Em primeiro lugar, uma indicação do número de funcionários. Jogadores maiores podem se sentir em desvantagempresumindo que atendam às outras condições. Outra dúvida é que o não processamento de categorias especiais de dados, ou seja, dados sensíveis, é um dos critérios para a aplicação de tais facilidades. Ao especificar que dados confidenciais são um desses critérios, podemos perder muitas situações graves. Um exemplo pode ser que uma determinada empresa coleta ou recebe dados que não deveriam ser enviados a ela, por exemplo, porque não são necessários para a execução de nenhuma tarefa. Assim, o recebimento de informações pelo consumidor sobre esse processamento e a afirmação de direitos pode ser difícil. Talvez referir-se aos princípios de adequação e minimização de dados e não compartilhar mais dados seria uma direção melhor do que os critérios propostos até agora. A terceira e última dúvida a favor de uma melhor reflexão sobre essas isenções seria o possível desafio deste tipo de legislação por parte da Comissão Europeia.
As novas disposições sobre proteção de dados pessoais são uma evolução para alguns e uma revolução para outros. Certamente pode-se concordar que eles abrem um novo capítulo nos princípios do processamento de dados pessoais.
Małgorzata Jankowska-Blank, Jacek Grabowski
