Como na maioria dos regulamentos, o GDPR não é uma lista clara de regras sobre o que fazer e o que não. Portanto, as perguntas sobre isso geralmente são muito amplas para serem respondidas em um site de perguntas e respostas. Existem muitos mitos e simplificações incorretas em torno do regulamento, e toda uma indústria se baseia no medo das sanções impostas pelo regulamento.
Esta resposta tenta dar uma visão prática do assunto. Não sou advogado, mas trabalho com esse assunto quase desde que foi apresentado, primeiro com uma abordagem de espera para ver informações e, atualmente, com outra abordagem prática, prioritária e iterativa.
Ainda não sabemos como o regulamento será interpretado pelos tribunais, e muitas empresas ainda estão esperando para ver quais ações outras pessoas estão tomando. Como a falha do servidor é para profissionais de TI, não somos advogados que possam interpretar o regulamento e sua relação com outras leis. Mesmo que pudéssemos, as perguntas de estilo de Q / A seriam muito longas para ter todas as informações detalhadas necessárias para responder: a conformidade com o GDPR não é uma questão de ações individuais, mas uma estratégia inteira dentro da sua empresa. Se precisar fazer essas perguntas, pode ser necessário contratar um consultor ou mesmo um advogado. Muitos, no entanto, sobreviverão sem um.
Você deve criar (possivelmente com algum aconselhamento jurídico) sua própria estratégia e, com base nisso, decidir quais ações você está executando para cumprir com o GDPR. Ao tentar implementar essas alterações em um sistema de informações real, você pode encontrar problemas técnicos sobre como algo deve ser alcançado. É quando a questão é reduzida ao escopo de falha do servidor!
Para começar, você deve saber para que serve o regulamento. É basicamente uma estrutura legal para garantir que os dados pessoais sejam tratados com cuidado durante toda a sua vida útil, desde a coleta até a exclusão. O Artigo 5 do RGPD descreve os princípios para o processamento de dados pessoais, em resumo:
- legalidade, justiça e transparência
- limitação de propósito
- minimização de dados
- precisão
- limitação de armazenamento
- integridade e confidencialidade.
O GDPR fornece aos titulares dos dados, ou seja, os cidadãos o controle sobre seus dados pessoais e ferramentas para garantir que esses princípios sejam respeitados. Isso inclui o direito de acessar os próprios dados, corrigi-los, movê-los e apagá-los, ou seja, o direito de ser esquecido (se nenhuma outra lei exigir sua preservação). Também oferece a possibilidade de sanções, e sua empresa pode precisar designar um responsável pela proteção de dados .
A maioria dos princípios já foi implementada na legislação nacional (devido à Diretiva de Proteção de Dados 95/46 / EC), o que torna a alteração bastante limitada para empresas dentro da UE. As empresas fora da UE podem ter um pouco mais a fazer se processarem os dados pessoais dos cidadãos da UE.
Uma coisa importante que muda é a prestação de contas , que é melhor alcançada na prática, documentando seus procedimentos completamente:
- como e por que os dados pessoais são coletados
- o que torna o processamento legal (o consentimento é apenas uma condição do art. 6 )
- como os dados são armazenados e processados
- quem tem acesso aos dados e como você controla e audita este
- se é removido (automaticamente / prática padrão) quando o motivo do armazenamento expirar
- como você lida com os riscos envolvidos, ou seja, análise de risco.
Na minha opinião, se você pensou cuidadosamente sobre essas coisas, resolveu os problemas e mitigou os riscos que descobriu e depois documentou tudo isso, deve ficar longe de sanções - mesmo que sofra uma invasão. Haverá um oceano de possível comportamento negligente entre a sua situação e o tipo de comportamento que responsabiliza 20 milhões de euros / 4% das multas por volume de negócios .