O GDPR, que entrou em vigor em 2018, ainda apresenta desafios para as empresas dentro da União Européia. Não só há necessidade de uma conformidade abrangente de proteção de dados em muitas empresas, mas a implementação de regulamentos individuais também levanta muitas questões na prática.

No entanto, é uma falácia acreditar que as violações do GDPR podem ser negligenciadas. Em vez disso, as penalidades relacionadas às vendas de milhões são iminentes. Mas como pode ser implementada a proteção de dados na empresa? E que obrigações as empresas têm que cumprir? Este artigo vai lhe dizer mais.

Você precisa de apoio ou tem perguntas sobre proteção de dados? Nossa equipe é composta por especialistas das áreas de direito de proteção de dados, TI e segurança. Teremos prazer em apoiá-lo de forma não vinculativa. reunião pessoal com quaisquer perguntas abertas que você possa ter sobre proteção de dados.

Os fatos mais importantes em resumo

  • Além das exigências relativas às declarações de proteção de dados, aos responsáveis pela proteção de dados, ao tratamento dos dados dos funcionários e às obrigações de divulgação, o DSGVO também contém muitas outras regulamentações legais relativas à organização do processamento de dados.
  • Desde a introdução do GDPR em 2018, violações da proteção de dados corporativos pode custar às empresas até 20 milhões de euros em multas ou 2-4% de faturamento anual. Motivo suficiente para analisar mais de perto as obrigações do GDPR.
  • Embora o cumprimento das regras de proteção de dados exija muito esforço, devemos sempre vê-lo como um oportunidade. Afinal, além de evitar multas elevadas, uma boa proteção de dados também pode melhorar a imagem, fortalecer a confiança do cliente e influenciar positivamente as decisões de compra. As revisões de proteção de dados também levam a melhorias nos processos.

Por que a privacidade dos dados é essencial para as empresas

Não há como negar que a implementação de regulamentos de proteção de dados significa um trabalho a longo prazo. Muitas empresas, portanto, vêem as exigências do GDPR como apenas mais um fardo imposto a eles, o que significa uma coisa acima de tudo: o esforço. Entretanto, o GDPR e suas obrigações também trazem algumas vantagens.

Construir confiança e assegurar vantagem competitiva

Chegamos em uma época em que uso indevido de dados e ataques de hackers há muito deixaram de ser uma raridade. As empresas que enfatizam a segurança dos dados e assim protegem seus clientes e parceiros comerciais podem ganhar ou manter a confiança do público.

Desta forma, eles podem não apenas manter os clientes e parceiros existentes, mas também conquistar novos clientes e se diferenciar dos concorrentes. Mas funcionários também desenvolvem um melhor senso de risco em seu trabalho e lidam com os dados que lhes são confiados com mais cuidado se receberem treinamento e informações suficientes.

Aumentar a conscientização sobre as questões de proteção de dados

Além disso, a GDPR "força" as empresas a dar outra olhada de perto em seus processos e estruturas e a repensar os mesmos. Isto revela onde há riscos referentes à proteção de dados, cujas etapas de trabalho podem estar ultrapassadas e obsoletas, e onde as funções podem ser simplificado.

Se você observar de perto todos os processos de sua empresa, você pode modernize sua empresa e dar-lhe uma "limpeza" completa - em outras palavras, fazê-la apto para o futuro.

Veja a mudança atual como um oportunidade para provocar mudanças positivas em sua empresa, padronizar processos, atualizar tudo e impulsionar Digitalização para frente.

O que diz a GDPR sobre a proteção de dados nas empresas?

Em 2018, o Regulamento Geral de Proteção de Dados (GDPR) entrou em vigor, com o objetivo de introduzir regulamentos uniformes dentro da União Européia para a proteção de dados em empresas e autoridades públicas. A GDPR substituiu assim as regras legais nacionais e criou muitas inovações.

Proteção de dados significa principalmente proteção de dados pessoais que não é ou pode não ser acessível ao público. Dados pessoais são todas as informações que dizem respeito diretamente a uma pessoa física, ou seja, um ser humano, e que revelam fatos a seu respeito. Isto inclui nomes, datas de nascimento, religião, dados de saúde ou a conexão dessa pessoa com uma empresa, seja como cliente, paciente ou parceiro de negócios.

Lidando com estas informações é sempre regida pela proteção de dados. Há uma obrigação de coletar somente a quantidade mínima de dados pessoais e impedir o acesso de terceiros. Portanto, somente os dados necessários podem ser coletados em primeira instância. Além disso, estes dados devem ser protegidos para que não possam vazar.

Além disso, as pessoas interessadas têm o direito de determinar quais de seus dados desejam divulgar e se esses dados podem ser processado ou passado (a chamada autodeterminação informativa).

Em linguagem simples: qualquer pessoa que colete, armazene ou processe dados em sua empresa deve basear seu processamento de dados em uma base legal e, por exemplo, obter o consentimento dos sujeitos dos dados para o processamento. As pessoas em questão podem revogar seu consentimento uma vez dado a qualquer momento.

Proteção de dados e publicidade - como eles se encaixam?

Especialmente em publicidade, muitas empresas são incertas, já que muitas vezes se dirigem e entram em contato com seus clientes diretamente através de canais específicos. Na maioria dos casos, isto também significa o processamento de dados ao mesmo tempo.

Mesmo ou principalmente porque a GDPR não prevê nenhuma regulamentação específica sobre o tema das medidas publicitárias, acreditamos que é essencial fornecer algumas informações às empresas:

Proteção de interesses legítimos

Os dados pessoais só podem ser usados para colocar publicidade se não houver interesse superior do sujeito dos dados em contrário, como por exemplo autodeterminação informativa.

O fato de as empresas terem um interesse legítimo no processamento de dados é presumido - isto é importante para crescimento econômico. Entretanto, eles devem pesar quais dados pessoais estão sendo utilizados em cada caso e se a proteção destes deve ser mais ponderada do que a medida publicitária.

Em princípio, as empresas podem continuar a contatar clientes potenciais e clientes com publicidade direta. De acordo com o novo GDPR, isto só deve ser documentado e controlado de forma mais rigorosa. Além disso, eles devem cumprir a lei de concorrência aplicável, que exige consentimento prévio na maioria dos casos.

E-mails e ligações telefônicas

Nada mudou aqui devido à introdução da GDPR, já que a prospecção por telefone ou e-mail é regulada pela Lei contra a Concorrência Desleal, que estipula que o consentimento é e permanece necessário para boletins informativos, chamadas telefônicas ou contato por e-mail.

Boletim informativo

Para os boletins informativos, os destinatários consentimento é sempre necessário. Além disso, as empresas já devem informar no momento do registro do boletim informativo a quem e para que finalidade os dados serão transmitidos.

Na maioria dos casos, é suficiente para consultar as informações sobre proteção de dados que você (deve) fornecer em seu website. Também deve haver sempre o opção para cancelar a inscrição do boletim informativo.

Direito de objeção

Todo destinatário de publicidade tem o direito de se opor ao envio de publicidade a qualquer momento. Assim que o envolvido fornecer seus dados, além da informação de que os dados serão (também) utilizados para fins publicitários, o direito de objeção deve ser apontado.

Medidas técnicas e organizacionais

De acordo com a GDPR, as empresas devem assegurar proteção adequada de dados pessoais através de medidas técnicas e organizacionais apropriadas. Isto significa que eles devem ponderar quais procedimentos operações de processamento representam mais ou menos riscos e quão alto deve ser o nível de proteção.

Medidas técnicas referem-se a operações de processamento de dados como tal. Estas são medidas que podem ser implementadas fisicamente, tais como a instalação de um sistema de alarme ou de uma barreira de luz.

Medidas organizacionais são as regras e condições de um acordo de dados. Aqui, devem ser definidos cursos de ação e estabelecidos princípios que dizem aos funcionários como implementar a proteção de dados.

Embora a GDPR não prescreva nenhum curso de ação, ela descreve objetivos de proteção de dados que as empresas podem utilizar como um guia. Entretanto, a forma de alcançá-los fica a critério da empresa.

O fator decisivo para a escolha das medidas é o risco existente para os sujeitos dos dados e seus dados. Quanto mais arriscado for o processamento e quanto mais sensíveis os dados, maiores devem ser as medidas de proteção e segurança dos dados.

As empresas devem tomar medidas sobre os seguintes pontos:

  • Confidencialidade
  • Criptografia
  • Integridade
  • Pseudonimização
  • Disponibilidade
  • Recuperação de dados
  • Resiliência dos sistemas
  • Revisão, avaliação e avaliação
  • Instrução dos funcionários

Não é necessário implementar todas as medidas técnicas e organizacionais e tê-las sempre em mãos. Ao invés disso, é um caixa de ferramentas de onde você seleciona as medidas apropriadas e as integra em seus processos empresariais.

No entanto, faz sentido proteger o processamento de dados com várias medidas. Desta forma, sua empresa está no lado seguro e se protege de incidentes potenciais que podem significar multas em milhões e reputacional danos.

Lista de verificação: Como implementar medidas técnicas e organizacionais

    1. Verificar contratos para conformidade com a GDPR.
    2. Identificar todos os dados pessoais que você ou um provedor de serviços processa.
    3. Criar um registro da atividade de processamento no qual você documenta as medidas.
    4. Analisar os riscos do processamento individual de dados pessoais.
    5. Use uma avaliação de impacto da proteção de dados, se necessário.
    6. Analisar atentamente as medidas existentes e verificar se elas são adequadas. Use o estado da arte como guia.
    7. Atribuir as medidas existentes às novas categorias (ver acima) e acrescentar quaisquer medidas necessárias.
    8. Ofereça treinamento para seus funcionários.

 

Por que as empresas precisam da conformidade com a proteção de dados?

Conformidade significa adesão a todas as leis e diretrizes relevantes para as empresas, nacionais ou internacionais. Além das normas comerciais e empresariais aplicáveis, isto inclui leis criminais e de proteção de dados.

Nos países da UE, o GDPR é de particular relevância. Na prática, o cumprimento exige o cuidado com a conduta legal da empresa em todas as áreas de negócios. Neste contexto, se a questão é requisitos legais trabalhistas no departamento de RH, práticas de faturamento em vendas ou assuntos interdepartamentais é inicialmente irrelevante.

Em por outro lado, conformidade da proteção de dados significa a adesão às leis de proteção de dados dentro da empresa. O objetivo central é evitar riscos de responsabilidade e danos à reputação, implementando o cumprimento das leis de privacidade de dados.

Avançando Digitalização e moderna processos de negócios significa que uma estratégia de conformidade só é possível se considerarmos o GDPR. Portanto, é necessário um sistema de gerenciamento eficaz para a conformidade da proteção de dados, que deve ser continuamente monitorado e mais desenvolvido após a implementação.

Quais são as penalidades para violações de proteção de dados?

O não cumprimento pode resultar em penalidades sensíveis para as empresas - a autoridade supervisora relevante pode impor até 2-4% de vendas globais anuais por violações. Se tal penalidade é estabelecida, geralmente acontece em público. Assim, uma sanção pode muito bem impactar a imagem de uma empresa e levar clientes, funcionários e parceiros comerciais a boicotar a empresa.

Até o momento, cerca de 1.300 multas foram impostas na Alemanha, totalizando 2.099.520.477 euros (a partir de outubro de 2022). As sete maiores multas já representam mais da metade do total.

Se estas violações pelas empresas mais proeminentes da Alemanha forem consideradas, a multa média por empresa é de cerca de 400.000 euros. Além disso, os danos à imagem da empresa permanecem na mente dos consumidores por anos. Portanto, as empresas devem ser conscientes quando se trata de proteção de dados e trabalhar com especialistas em proteção de dados que pode fornecer-lhes conselhos e apoio abrangente.

Lista de verificação: Privacidade de dados para empresas

Está além do escopo deste artigo entrar em todas as obrigações das empresas. Em nosso centro de conhecimento, você encontrará artigos abrangentes sobre as exigências das obrigações individuais, que explicam em detalhes quais as medidas a serem tomadas.

A seguir, compilamos uma lista de verificação para você, que deve ilustrar claramente por onde você pode começar em sua empresa:

  1. Responsável pela proteção de dados: muitas empresas devem nomear um responsável pela proteção de dados. Os responsáveis externos e internos pela proteção de dados são responsáveis pelo cumprimento do GDPR e assumem uma função de controle. A vantagem de um oficial de proteção de dados externo é que eles já são especialmente treinados e experientes profissionalmente.
  2. Registro das atividades de processamento: Mantenha um registro de todas as atividades de processamento em sua empresa. Deve incluir, entre outras coisas, as pessoas responsáveis e a finalidade do processamento dos dados pessoais.
  3. Avisos de proteção de dados: Os sujeitos dos dados devem ser informados sobre o processamento de dados. Tais avisos de proteção de dados devem ser incluídos em todos os websites.
  4. Obrigação de confidencialidade: todos os funcionários devem ser informados por escrito sobre a confidencialidade dos dados pessoais e as obrigações de confidencialidade e se comprometerem a isso.
  5. Contratos AVV: Os prestadores de serviços que processam dados pessoais externamente devem assinar um contrato de processamento de pedidos.
  6. Medidas técnicas e organizacionais: Estabelecer um conceito com medidas técnicas e organizacionais em sua empresa - para manter o risco do processamento de dados tão baixo quanto possível.
  7. Treinamento dos funcionários: Treinar os funcionários responsáveis de forma abrangente e regular sobre as obrigações e formas de trabalhar com dados pessoais. Lembre-se de incluir os freelancers e outros prestadores de serviços.
  8. Plano de emergência: Apesar de toda a preparação e cautela, sempre pode ocorrer um contratempo de proteção de dados. Desenvolva um conceito do que fazer em um caso tão inesperado, como notificar as pessoas afetadas e quem informará a autoridade de supervisão responsável. Tudo isso deve ser feito dentro de 72 horas, razão pela qual é essencial elaborar um plano com antecedência que terá efeito automaticamente no caso de uma emergência.

Conclusão

A implementação dos regulamentos contidos no GDPR significa, de fato, muito trabalho para as empresas. Entretanto, também deve ser reconhecido que oportunidades e benefícios podem certamente ser tirados da GDPR.

Mas mesmo que você ainda esteja procurando por uma vantagem substancial ou sentido na proteção de dados, você deve prestar atenção a ela. Os riscos nunca devem ser subestimados.

Portanto, você deve tomar precauções, identificar e eliminar riscos com tato e tomar as medidas apropriadas para a melhor proteção de dados possível. Afinal, se for tarde demais, você poderá enfrentar uma multa e, no pior dos casos, danos à sua reputação. 

Você tem alguma pergunta sobre a proteção de dados? Nossa equipe legal e tecnicamente treinada terá prazer em lhe fornecer conselhos abrangentes sobre todas as questões relativas à proteção de dados. Sinta-se à vontade para entre em contato conosco a qualquer momento para uma consulta sem compromisso.

Artigos relacionados

Reserve uma demonstração

+41 44 586 97 90

hello@www.priverion.com