[Segurança] Quem tem medo da GPDR?

É hoje!!!

De repente, não se falava em outra coisa no mercado de segurança: "como as empresas devem se preparar para a GPDR". A sigla GDPR está em praticamente todas as conversas, palestras e eventos, além de ser item obrigatório no discurso de marketing de qualquer fornecedor!

E nesses últimos dias, tornou-se comum receber e-mail de vários serviços online que estão atualizando os seus termos de privacidade.

O General Data Protection Regulation (GDPR) é uma reguulamentação européia, criada pelo Parlamento Europeu, que trata sobre a coleta, manipulação e tratamento de dados pessoais dos cidadãos da Comunidade Européia. Essa norma foi promulgada em Abril de 2016, com um prazo de dois anos para as empresas estarem em acordo com os requisitos estabelecidos pelo GDPR. E o prazo acaba agora, 25 de maio deste ano.

Timeline:

• Janeiro/2012: Início da iniciativa de Reforma de Proteção de Dados ("EU Data Protection Reform");
• 15/dezembro/2015: divulgado o acordo com relação a iniciativa de reforma nas legidslações européias de proteção da dados;
• 27/Abril/2016: Promulgada a regulamentação do GPDR (2016/679)
• 25/Maio/2018: O GPDR entra em vigor.

E todo esse bafafá no mercado se deve por três motivos, na minha opinião: a proximidade do prazo para as empresas aderirem a norma (sob pena de uma multa severa), pela abrangência global da norma (sim, isso mesmo, ela é uma norma européia que pode valer para empresas em todo o mundo) e pelas altas multas que ela impõe.

Embora a GDPR seja uma norma Européia, que trata sobre dados de cidadãos europeus, ela se aplica a qualquer empresa que colete e armazene esses dados, independente de sua localização.

O GPDR diz respeito ao tratamento de informações pessoais de cidadãos da União Europeia. Ela foi criada com objetivo de exigir que os processos de negócios que lidam com dados pessoais devem ter a privacidade por design, ou seja, o tratamento dos dados pessoais deve respeitar a privacidade dos mesmos. Por exemplo os dados devem ser armazenados usando pseudonimização ou anonimato completo e usar as configurações de privacidade mais altas possíveis por padrão, para que não estejam disponíveis publicamente,. Nenhum dado pessoal pode ser processado a menos que haja o consentimento explícito do proprietário dos dados.

O GPDR trata assuntos como:

• Responsabilidade das empresas
• Proteção de dados por design e por default (Artigo 25)
• Pseudonimização: os dados devem ser armazenados de forma a não permitir a identificação do indivíduo, usando técnicas como, por exemplo, criptografia e tokenização;
• Direito de acesso (Artigo 15): os cidadãos tem o direito de acessar seus dados pessoais e exigir informações sobre como esses dados pessoais são processados;
• Direito de remoção (Artigo 17), que no GPDR representa uma variação mais ampla ao "direito ao esquecimento". Os usuários tem o direito de exigir a remoção de seus dados
• Registros das atividades de processamento 
• Data protection officer (DPO), o "Oficial de proteção de dados", responsável dentro da empresa a tratar as questões relacionadas a gestão dos dados pessoais. Será responsável pela implementação de medidas técnicas e organizacionais para assegurar e comprovar que os dados pessoais mantidos pela empresa estão em conformidade com os requisitos da GDPR;
• Violações de dados (Artigo 33): As empresas tem obrigação de notificar qualquer violação ou vazamento de dados em até 72 horas;
• Sanções: As punições podem chegar a €20 milhões, ou 4% do faturamento da empresa (o que for maior).

O texto da norma é enorme! Sua versão em PDF tem 261 páginas, ou seja: a leitura é longa, bem massante, chata e difícil. Talvez a parte mais importante começa na página 116, no Capítulo II, que define os Princípios.

O pessoal do site TechPrivacy criou um infográfico (whiteboard) que resume em uma única página as principais informações sobre o GPDR:

Uma outra iniciativa interessante na Europa é a "Second Payment Services Directive (PSD2)", que exige que bancos europeus abram os mercados de pagamentos para empresas oferencendo serviços baseado no acesso a informações de pagamento dos clientes. Ou seja, os bancos devem deixar seus dados sobre clientes acessíveis para terceiros - um paraíso para as Fintechs (startups tecnológicas do setor financeiro).

Para saber mais:

• Texto do GPDR (2016/679)
• Página da iniciativa de Proteção de Dados (Data Protection) da União Europeia
• Página do GPDR na wikipedia
• EU GDPR Readiness Study
• Como o GPDR se aplica no Brasil
• Tudo o que você deve saber sobre a lei europeia de privacidade de dados
• O que diz o novo Regulamento Europeu de Proteção aos Dados Pessoais
• Novas regras europeias de proteção de dados afetam negócios no Brasil