GDPR e Proteção à Dados Pessoais: Um Resumo

22 May 2018

Dia 25 de maio de 2018 passa a valer na União Europeia a norma de regulação de proteção de dados.

Todas as empresas estão ajustando seus termos de aceite e você provavelmente está recebendo vários e-mails deles para aceitar as novas condições.

É uma ótima notícia, pois significa que a necessidade de proteção aos nossos dados é um iniciativa global e começa a ser abordada com mais firmeza, ainda que no Brasil não tenhamos nada nem perto disso.

Mas, como incorporar estas questões nos nossos projetos e produtos?

O que é GDPR

O GDPR, ou General Data Protection Regulation, é um instrumento elaborado pela União Europeia para garantir a proteção dos indivíduos no que diz respeito ao processamento de dados pessoais e à sua livre movimentação.

Basicamente, trata-se de garantir direitos de Privacidade e Proteção aos Dados aos cidadãos ou entidades legais frente ao aumento da utilização de dados por novas tecnologias que, por se basearem em dados processados em larga escala, podem abusar ou fazer mal uso destes.

A quem se aplica?

Originada em duas diretivas de 1995 e 2008, e agora fundida em um ato regulatório, é válida como lei em toda a União Europeia. É aplicável a várias entidades dentro ou fora da Europa, como empresas, governos com estabelecimento na Europa ou qualquer entidade que processe dados pessoais de indivíduos europeus. Apenas questões relativas à segurança pública não estão sob a regulação da GDPR.

O que são considerados “Dados Pessoais”

Basicamente, qualquer dado que identifique quem você é, mesmo que isolado de outros dados. Além de dados, fotos, gravação de sua voz também permitem identificar uma pessoa.

Sendo assim, dados pessoais são qualquer informação de uma pessoa natural, como nome, idade, email, gênero, profissão, informações sobre saúde, etc… em qualquer formato, tanto físico quanto digital.

Também são considerados dados que se referem ao indivíduo, como comportamentos ou características que possam influenciar o modo como uma pessoa é avaliada ou tratada.

Assim como dados que identifiquem uma pessoa em um grupo, como o nomes, números de identificação, localização, e ainda identificadores genéticos, médicos, culturais, econômicos ou sociais.

Há ainda os dados especiais e sensíveis. Portanto, qualquer dado que revele as seguintes informações são considerados dados pessoais:

  • Raça ou origem étnica
  • Orientação política
  • Crença religiosa ou filosófica
  • Filiação sindical ou à grupos
  • Dados genéticos
  • Dados biométricos que permitam identificar unicamente um pessoa
  • Dados de saúde
  • Dados relativos à vida sexual do indivíduo
  • Orientação sexual

Princípios da proteção aos dados

Os princípios de proteção aos dados são de fundamental importância e devem ser observados sempre com relação ao propósito ao qual foram coletados.

  • Legalidade, justiça e transparência : O indivíduo deve poder saber quem controla e processa seus dados e com quais objetivos;
  • Limitação de Propósito: Os dados coletados não podem ser utilizados com propósitos incompatíveis ao propósito original;
  • Minimização dos Dados: Os dados coletados e processados devem ser os mínimos necessários ao propósito;
  • Acurácia: Os dados devem ser mantidos corretamente. Dados desatualizados ou incorretos devem ser descartados ou corrigidos;
  • Limitação de armazenamento: Os dados devem ser mantidos somente enquanto são necessários ao propósito.
  • Integridade e Confidencialidade: Deve-se garantir a segurança de acesso aos dados, com dispositivos como autenticação e criptografia.

Conclusões sobre GDPR

As organizações, arquitetos e engenheiros de solução, assim como os cientistas de dados, devem garantir que os sistemas sejam construídos considerando todos estes princípios. Portanto, os projetos de Data Science devem levar em conta a proteção à privacidade, buscando eliminar os riscos previamente. Neste sentido, são boas práticas a anonimização e minimalização dos dados, assim como aplicação de criptografia quando aplicável. Lembrando, o objetivo é não permitir a identificação de um indivíduo nem distinguí-lo do grupo.

É recomendável ainda que toda empresa possua um Data Protection Officer, ou DPO, executivo de proteção de dados, que é o responsável por monitorar, avalizar e informar os controladores e processadores de dados a respeito das questões de proteção aos dados. Ainda que a responsabilidade sobre o que fazer com os dados não seja dele, e sim dos controladores, este papel é fundamental para garantir o compliance da empresa às normas.

comments powered by Disqus