Índice:
Vídeo: GDPR : Como regularizar seu site GRATUITAMENTE para esta nova lei (Outubro 2024)
Até agora você certamente já ouviu falar do GDPR, que é o Regulamento Geral de Proteção de Dados da União Europeia (UE). O GDPR foi adotado para proteger as informações pessoais de usuários europeus contra divulgação não autorizada e uso indevido. Como tal, o GDPR impõe limites muito estritos sobre onde os dados dos cidadãos da UE podem ser armazenados, como podem ser usados, quanto tempo podem ser mantidos e como estão protegidos.
O que isso significa é que é melhor você esquecer os negócios europeus por um tempo, a menos que tenha certeza de que pode cumprir as regras. A UE possui um excelente site que explica o processo. Se você planeja fazer negócios na Europa, você e seu pessoal de TI precisam ler este site.
Mas se você é uma grande empresa que já faz negócios na UE, é provável que já esteja ciente dos requisitos e provavelmente esteja no caminho de demonstrar conformidade com as regras.
Mas suponha que você não seja uma dessas organizações? Bem, é provável que o RGPD ainda o afete. Você precisará sentar e analisar sua situação para ter certeza. Aqui está uma rápida olhada nas principais coisas que você precisa considerar.
Operações e proteção de dados
Primeiro, observe suas operações. Você direciona algum tipo de esforço de marketing para os cidadãos da UE, por menor que seja? Isso pode ser algo tão simples quanto ter uma versão do seu site em um idioma europeu ou a capacidade de aceitar pagamentos em moedas europeias. Ou você coleta dados pessoais de qualquer tipo para qualquer finalidade, mesmo que não sejam para uma transação financeira?
Isso não significa que você está segmentando os europeus se eles encontrarem seu site nos EUA e comprarem algo vendido em dólares. Mas, mesmo assim, você precisa ter cuidado com o que faz com os dados e por quanto tempo os mantém. Mas se você espera vender para compradores europeus regularmente, pode ser uma boa ideia encontrar uma empresa europeia para atender suas contas lá.
Enquanto isso, se você acha que há alguma chance de acabar lidando com cidadãos da UE, seria uma boa ideia garantir que você siga as regras em relação à proteção e divulgação de dados.
As regras de proteção de dados significam que você precisa proteger os dados dos cidadãos da UE contra perda, roubo ou divulgação. Você também deve se livrar dos dados o mais rápido possível. E se algum dado de cidadãos da UE for violado, você terá 72 horas após a descoberta para denunciá-lo às autoridades europeias.
Você também precisa divulgar como planeja usar os dados e por quanto tempo planeja mantê-los. As divulgações precisam ser declaradas de maneira clara e simples e o cidadão da UE precisa concordar ou não. E há algumas coisas a ter em mente sobre a divulgação: você não pode ter as caixas pré-marcadas por padrão e não pode usar esses documentos "Termos e Condições" densos, intermináveis e legais como sua divulgação.
Um cidadão da UE pode optar por não concordar com a sua divulgação e é preciso que haja uma maneira de dizer "não". No entanto, se as informações solicitadas forem necessárias para fornecer o bem ou serviço (número do cartão de crédito ou endereço de entrega, por exemplo), você não precisará vender o produto.
Observe que as regras se aplicam a ambas as partes no final da transação, ou seja, você e a empresa do cartão de crédito. Se você planeja vender coisas para os europeus, confirme se o processador do seu cartão de crédito seguirá as regras do GDPR para clientes da UE.
O direito de ser esquecido
E, claro, há o famoso "direito de ser esquecido". Você deve poder excluir o nome e as informações pessoais de qualquer cidadão da UE, mediante solicitação. Isso significa de qualquer lugar, incluindo backups, onde essas informações possam residir. Isso exigirá que você fique ciente de onde estão seus dados e o que há nele, algo que você provavelmente não pode fazer agora.
Existem limites para o direito de ser esquecido. Por exemplo, se você precisar reter alguns dados, como atender a alguns requisitos da Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA) ou da Comissão de Valores Mobiliários (SEC), precisará atender aos requisitos legais. Além disso, você deve poder excluir esses dados pessoais mediante solicitação.
Se tudo isso parece uma dor no pescoço, então você pode estar certo. Ou você pode considerar os requisitos da UE para o GDPR como uma oportunidade de otimizar suas operações de segurança na sua totalidade. Por exemplo, se você armazenar e gerenciar todos os seus dados de uma maneira que atenda aos requisitos do GDPR, terá uma operação muito mais segura.
Da mesma forma, se você despejar esses documentos de "Termos e Condições", difíceis de ler e difíceis de ler, e substituí-los por declarações de intenções claras e pedir um acordo, seus clientes apreciarão. Além disso, se você parar de armazenar dados que você realmente não precisa, mas precisa proteger, sua vida será simplificada e seu risco de violação será reduzido, pois os hackers não podem roubar o que não existe.
Realisticamente, o GDPR codifica quais são realmente as melhores práticas para como sua organização lida com os dados de outras pessoas. Encontrar uma maneira de estar em conformidade com essas regras ajudará sua organização em geral.
