Esta é uma pergunta canônica sobre como interpretar o GDPR conforme discutido no meta.
Embora a falha do servidor possa ajudá-lo quando você tiver um problema específico na implementação de algo relacionado ao regulamento, as perguntas gerais sobre a conformidade com o GDPR são muito amplas, não somos advogados que possam interpretar as questões legais e o estilo de perguntas e respostas não permite que o discussão aprofundada necessária para conhecer todos os detalhes em sua organização para ter certeza de que você realmente cumpre.
Tenho uma pergunta sobre o Regulamento Geral de Proteção de Dados (GDPR), regulamento da UE 2016/679.
- Como cumprir o GDPR?
- Minha organização está pronta para o GDPR?
- Devo fazer X para cumprir o GDPR?
- O GDPR me proíbe de fazer Y?
- Z ainda é permitido sob o GDPR?
Tal como acontece com a maioria dos regulamentos, o GDPR não é uma lista clara de regras sobre o que fazer e o que não fazer. Portanto, as perguntas sobre isso geralmente são muito amplas para serem tratadas em um site de perguntas e respostas. Existem muitos mitos e simplificações incorretas em torno do regulamento, e toda uma indústria se baseia no medo das sanções impostas pelo regulamento.
Esta resposta tenta dar uma visão prática do assunto. Não sou advogado, mas tenho trabalhado com esse assunto quase desde que foi introduzido, primeiro com uma abordagem de coleta de informações de esperar para ver , e atualmente com outra abordagem prática, de priorização e iterativa.
Não sabemos (ainda) como o regulamento será interpretado pelos tribunais, e muitas empresas ainda estão esperando para ver quais ações outras estão tomando. Como Server Fault é para profissionais de TI, não somos advogados que possam interpretar o regulamento e sua relação com outras leis. Mesmo que pudéssemos, as perguntas do estilo Q/A seriam muito longas para ter todas as informações detalhadas necessárias para responder: a conformidade com o GDPR não é uma questão de ações individuais, mas de toda uma estratégia dentro de sua empresa. Se você precisar fazer essas perguntas, talvez seja necessário contratar um consultor ou até mesmo um advogado. Muitos, no entanto, sobreviverão sem um.
Você precisa criar (possivelmente com algum aconselhamento jurídico) sua própria estratégia e, com base nisso, decidir quais ações você está realizando para cumprir o GDPR. Quando você está tentando implementar essas mudanças em um sistema de informação real, você pode encontrar problemas técnicos sobre como algo deve ser alcançado. É quando a questão foi reduzida ao escopo da falha do servidor!
Para começar, você deve saber para que serve o regulamento. É basicamente uma estrutura legal para garantir que os dados pessoais sejam tratados com cuidado durante toda a sua vida, desde a coleta até a exclusão. O Artigo 5 do GDPR descreve os princípios para o processamento de dados pessoais, em resumo:
O GDPR oferece aos titulares dos dados, ou seja, aos cidadãos, controle sobre seus dados pessoais e ferramentas para garantir que esses princípios sejam respeitados. Isso inclui os direitos de acesso aos próprios dados, de corrigi-los e movê-los e de apagá-los, ou seja, o direito de ser esquecido (se nenhuma outra lei exigir sua preservação). Também dá a possibilidade de sanções, e sua empresa pode precisar designar um responsável pela proteção de dados .
A maioria dos princípios já foi implementada na legislação nacional (devido à Diretiva de Proteção de Dados 95/46/EC), o que torna a mudança bastante limitada para empresas dentro da UE. As empresas fora da UE podem ter um pouco mais de trabalho se processarem os dados pessoais dos cidadãos da UE.
Uma coisa principal que muda é a responsabilidade , que é melhor alcançada na prática documentando seus procedimentos minuciosamente:
Na minha opinião, se você pensou cuidadosamente sobre essas coisas, corrigiu os problemas e mitigou os riscos que descobriu e depois documentou tudo isso, deve estar longe de sanções – mesmo que sofra uma intrusão. Haverá um oceano de possível comportamento negligente entre a sua situação e o tipo de comportamento que o torna responsável por € 20 milhões / 4% das multas de rotatividade.