Regulamento Europeu Geral de Proteção de Dados (GDPR): para além do hype

O GDPR adotado pela Comissão Europeia no início deste ano será aplicado a partir de maio de 2018. A nova legislação irá atualizar a Diretiva Europeia de Proteção de Dados de 1995 e definir os parâmetros de proteção de dados pessoais. 

A forma como os dados pessoais são definidos é um aspeto importante da nova lei. O novo GDPR define dados pessoais como dados que permitem a identificação de um indivíduo, direta ou indiretamente. É uma definição bastante abrangente e prevemos que esta definição se vá expandir ao longo do tempo. Significa, especificamente, que os endereços IP, dados de localização ou outros fatores que possam identificar a pessoa, sejam contemplados pela nova lei.

A definição de “dados pessoais” na lei dá uma boa indicação do tom  da nova legislação, em que os dados são considerados um ativo precioso e as regulações sobre os mesmos estão a ficar mais exigentes. Não é por acaso que isto vai ao encontro das novas tendências tecnológicas como cloud computing, redes sociais, móvel e Internet of Things (Internet das Coisas - IoT) sendo que a recolha e análise adequada de dados se estão a tornar diferenciadores estratégicos. Neste sentido, o regulador Europeu está a acompanhar a realidade.

4 elementos de mudança

Se a legislação existente estabeleceu as fundações para a proteção de dados, o GDPR expande essas mesmas fundações. Nos últimos anos, verificaram-se diversos desenvolvimentos ao nível da privacidade de dados pessoais - nomeadamente a invalidação do Safe Harbour - o que criou bastante hype à volta do GDPR. Como resultado, muitas organizações têm sérias preocupações relativamente à nova legislação, mas na realidade não há motivo para tal, afirma Kalliopi Spyridaki, Chief Privacy Strategist para a Europa do SAS: “As regras são mais exigentes, mas os princípios básicos são os mesmos há vários anos. Neste sentido, o GDPR é mais sobre rever processos de conformidade, do que construir algo a partir do zero.”

Não obstante, Spyridaki destaca 4 elementos de alto nível que estão a mudar com a introdução do GDPR:

1 Mais disciplina

Com a nova regulação, a aplicação da lei é mais exigente. As Autoridades de Proteção de Dados terão mais recursos e associar-se-ão num novo organismo pan-europeu com pareceres vinculativos. Além disso, as coimas serão tão elevadas - até 4% do volume de negócios anual de uma organização - que o GDPR despertou automaticamente as organizações de todas as indústrias. “Atualmente, na Europa, só se verificam coimas ao mesmo nível na lei da concorrência. O receio de ser multado não deveria ser a razão principal para o cumprimento, mas é certamente razão para estar atento. Há 5 anos a privacidade de dados era um problema de cumprimento legal que não chegava, sequer, ao top 10. Atualmente está no topo da ordem de trabalhos”, referiu Spyridaki.

2 Maior responsabilização

O GDPR torna as organizações responsáveis pela proteção dos dados pessoais. Serão elas as detentoras do  ónus da prova, no que diz respeito à eventualidade, modo e grau de proteção dos dados pessoais.  Atualmente, está estabelecido um processo bastante formal para obter autorização para processar dados: que tipo de dados processam? Transferem-nos para terceiros? No futuro, será mais sobre o quão bem organizados estão os processos de negócio, do que obter uma autorização formal. Neste sentido, será útil ter alguém, interna ou externamente,  que perceba de privacidade de dados, que saiba fazer alterações e aplicar a lei.

3 Privacidade à medida

O primeiro passo para todas as organizações será um exercício de mapeamento de fluxo de dados em que toda a organização está envolvida, porque a privacidade à medida, necessita que todos os departamentos analisem os seus dados e saibam geri-los.  Após identificar onde estão os seus dados pessoais e o que faz com os mesmos, tem de os proteger da forma correta. “Observar os seus dados doponto de vista de privacidade de dados, do desenvolvimento do produto na cadeia de produção até ao consumidor final, é a essência da nova lei de privacidade de dados. A maioria das empresas já possuiu um sistema que lhes permite identificar dados pessoais, por terem de cumprir com a lei de proteção de dados em vigor. A nova lei força as organizações a ir mais ao pormenor mas, felizmente, existem diversas soluções que podem auxiliar neste processo de revisão. O SAS encontra-se numa posição privilegiada para apoiar os seus clientes com a identificação e gestão de fluxos de dados de forma a permitir a conformidade com o GDPR.”

A privacidade à medida pressupõe também maior transparência nos dados e na transferência dos mesmos. Provavelmente já ouviu falar da “batata quente” do novo regulamento: o direito de ser esquecido. O que nos leva ao quarto grande fator de mudança no campo da privacidade de dados: um claro enfoque no cliente.

4. Colocar o indivíduo em primeiro lugar

A nova regulação de proteção de dados dá poder ao indivíduo colocando o cliente no centro da proteção de dados. Por exemplo, o direito à portabilidade de dados prevê que quando os clientes desejem mudar de  e-mail, terão a possibilidade de mover totalidade dos seus dados para o novo operador. Atualmente, os consumidores podem solicitar que a sua informação pessoal seja apagada, mas o GDPR amplia o direito de eliminação com o já mencionado “direito de ser esquecido”. “Para além da conformidade, o maior desafio será a alteração na atitude das organizações relativamente à privacidade. A privacidade está a tornar-se um elemento muito importante  nos negócios. Será um componente chave para construir a confiança dos clientes e ganhar uma vantagem competitiva, porque os clientes valorizam a privacidade. Valorizam igualmente procedimentos fáceis e transparentes que garantam os seus direitos”, comentou Spyridaki.

Adotando a inovação

Juntamente com a renovação das regras de proteção de dados, estão a entrar no mercado players inovadores. Por exemplo a Hoxton Analytics, um contador de pessoas da próxima geração, ajuda os retalhistas a perceber os seus clientes sem registar dados pessoais. A sua solução cria um chão inteligente que captura imagens do calçado das pessoas. As imagens são combinadas com várias camadas de aprendizagem automática e inteligência artificial, meios que o sistema utiliza para contar pessoas automaticamente. O que é ainda mais surpreendente: pode inteligentemente categorizar as pessoas demograficamente com base nos sapatos que usam e nos seus padrões de deslocação.

Juntamente com a renovação das regras de proteção de dados, estão a entrar no mercado players inovadores.

Spyridaki: “Existe um poder de transformação na digitalização do mundo e estou convencido que iremos continuar a ver mais inovação em torno dos dados e da privacidade. Consequentemente, veremos também a introdução de mais regras para ajudar as pessoas a sentirem-se confortáveis com as inovações relativas aos dados. A proteção de dados e a privacidade encontram-se numa fase de transição. Se comparar a indústria de dados com um setor mais tradicional, como serviços financeiros, torna-se bastante evidente que o mercado dos dados apresenta uma regulamentação deficiente, porque é de certa forma um mercado emergente. Vai demorar alguns anos mas, no fim, a indústria dos dados será também um mercado regulado e maduro.”

A Europa encontra-se na liderança da legislação da privacidade, mas outros países do mundo também estão num nível comparável (por exemplo o Canadá ou a Austrália) ou a avançar consistentemente no campo da regulação. “É muito mais fácil transferir dados para jurisdições que possuem um nível adequado de proteção de dados. Vemos uma tendência em economias emergentes, particularmente na Ásia e América Latina, que valorizam a economia de dados refletida no novo GDPR. Mas também dentro da União Europeia, o GDPR trará mais transparência e irá conduzir a regras mais harmonizadas. Atualmente, a interpretação da Diretiva de Proteção de Dados não é consistente entre os Estados-Membro da UE. Eventualmente, a harmonização será boa para o
negócio”, concluiu Spyridaki. 

Share this article with your network:

Read more about ”Optimize Fraud Detection, Security & Risk”