Guides Regulamento Geral de Proteção de Dados (GDPR)

Regulamento Geral de Proteção de Dados (GDPR)

Um guia da Stripe para as alterações na privacidade e proteção de dados na Europa

Introdução

Última atualização em 25 de agosto de 2020 para refletir a decisão do Tribunal de Justiça da União Europeia sobre o caso Schrems II.

Uma visão geral das novas leis de privacidade e proteção dos dados que entrarão em vigor em 25 de maio de 2018, e algumas melhores práticas em relação à conformidade com o GDPR

O GDPR é a mudança mais importante nas normas de privacidade em décadas. As empresas estão trabalhando para implementar mudanças abrangentes em seus sistemas e contratos, e aquelas que funcionam em plataformas que respeitam os regulamentos de privacidade estão em vantagem. Este guia tem como objetivo ajudar a nossos usuários a entender as consequências amplas do GDPR, a oportunidade que ele oferece de melhorar as atividades de processamento de dados e como ficar e permanecer em conformidade com o GDPR.

Adendo: este Guia para GDPR destina-se apenas a fins informativos e não constitui assistência jurídica. Entre em contato com sua assessoria jurídica para receber uma orientação personalizada de como o GDPR pode afetar sua empresa.

O que é o GDPR?

O Regulamento Geral de Proteção de Dados (“GDPR”) é uma nova lei europeia de privacidade e proteção dos dados. Ele exige proteções de privacidade mais granulares nos sistemas de uma organização, acordos de proteção de dados mais detalhados e uma divulgação mais amigável e detalhada para o consumidor sobre as práticas de privacidade e proteção dos dados de uma organização.

O GDPR substitui o regime jurídico atual europeu de proteção de dados de 1995 (conhecido como a “Diretriz de Proteção de Dados”). A Diretriz de Proteção de Dados requeria a transposição para a lei nacional de Membros da UE, que causou um cenário legal de proteção de dados fragmentado na Europa. O GDPR é um regulamento europeu que tem um efeito jurídico direto em todos os Países-Membros da UE, ou seja, não precisa ser transposto para uma lei nacional dos Países-Membros para se tornar obrigatório. Isso aumentará a consistência e a aplicação harmoniosa da lei na UE.

O GDPR pode ser aplicado a organizações fora da UE

Ao contrário da Diretriz de Proteção dos Dados, o GDPR é relevante para qualquer empresa que opera globalmente, não apenas aquelas localizadas na UE. Sob o GDPR, as organizações podem entrar no escopo se (i) a organização é sediada na UE ou (ii) a organização não é sediada na UE, mas as atividades de processamento de dados estão relacionadas a indivíduos da UE e à oferta de produtos e serviços a eles, ou ao monitoramento de seu comportamento.

O processamento de dados pessoais é um conceito amplo sob o GDPR

O GDPR rege como os dados pessoais de indivíduos da UE podem ser processados pelas organizações. “Dados pessoais” e “processamento” são termos usados com frequência na legislação, e o entendimento de seus significados específicos no GDPR ilumina o verdadeiro alcance da lei:

  • Dados pessoais são qualquer informação relacionada a um indivíduo identificado ou identificável. Este é um conceito bastante amplo, já que inclui qualquer informação que poderia ser usada sozinha ou em combinação com outras informações para identificar uma pessoa. Dados pessoais não são apenas o nome ou endereço de e-mail do indivíduo. Eles também podem englobar dados como informações financeiras ou, em alguns casos, até mesmo um endereço IP. Além disso, a certas categorias de dados pessoais é dado um nível maior de proteção de dados devido à sua natureza delicada. Estas categorias de dados são informações sobre a origem étnica e racial do indivíduo, opiniões políticas, crenças religiosas e filosóficas, filiação a sindicatos, dados genéticos, dados biométricos, dados de saúde, informações sobre a vida sexual ou orientação sexual de uma pessoa e informações da ficha criminal.

  • Processamento de dados pessoais é a atividade-chave que gera as obrigações sob o GDPR. Processamento significa qualquer operação ou conjunto de operações que é executado em dados pessoais ou conjuntos de dados pessoais, por meios automatizados ou não, como a coleta, gravação, organização, estruturamento, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou tornar disponível de outro modo, alinhamento ou combinação, restrição, exclusão ou destruição. Em termos práticos, isso significa que qualquer processo que armazena ou consulta de dados pessoais é considerado processamento.

Conceitos-chave: controladores de dados e operadores de dados

Na lei de proteção de dados da UE, há dois tipos de entidades que podem processar dados pessoais: o controlador de dados e o operador de dados.

O controlador de dados (“controlador”) é a entidade que, sozinha ou com outras, determina os propósitos e meios do processamento dos dados pessoais. O operador de dados (“operador”) é a entidade que realiza o tratamento de dados pessoais para o controlador.

É importante determinar se a entidade que processa os dados pessoais para cada atividade de processamento de dados é um controlador ou um operador. Esse exercício de mapeamento permite que uma organização entenda quais direitos e obrigações estão vinculadas a cada uma de suas operações de processamento de dados.

A Stripe tem certas atividades de processamento de dados em que ela atua como controlador de dados, e outras em que atua como operador de dados. Uma boa ilustração desse papel duplo é quando a Stripe processa transações de cartão de crédito. Facilitar uma transação requer o processamento de dados pessoais como o nome do titular do cartão, o número do cartão de crédito, a data de validade do cartão de crédito e o código CVC. Os dados do titular do cartão são enviados do usuário da Stripe para a Stripe pela API da Stripe (ou por outro método de integração, como o Stripe Elements). Em seguida, a Stripe usa os dados para concluir a transação nos sistemas das redes de cartão de crédito, uma função que a Stripe executa como operador de dados. No entanto, a Stripe também usa os dados para cumprir as suas obrigações regulamentares (como Know Your Customer [“KYC”] e Anti Money Laundering [“ALD”]), e neste papel a Stripe é um controlador de dados.

Base legal para o processamento de dados pessoais no GDPR

A próxima consideração é determinar se uma atividade de processamento específica cumpre ou não o GDPR. Sob o GDPR, cada atividade de processamento de dados, executada como controlador ou operador, precisa apoiar-se em uma base legal. O GDPR reconhece um total de seis bases legais para o processamento dos dados pessoais de indivíduos da UE (no GDPR, os indivíduos da UE são chamados de “sujeitos de dados”). Estas seis bases legais, na ordem do Art. 6 (1) (a) a (f) do GDPR, são:

  1. O sujeito de dados deu o consentimento ao processamento de seus dados pessoais para um ou mais propósitos específicos;

  2. O processamento é necessário para a execução de um contrato do qual o sujeito de dados é um participante, ou para tomar ações durante a solicitação do sujeito de dados antes de efetuar um contrato;

  3. O processamento é necessário para o cumprimento de uma obrigação legal da qual o controlador é sujeito;

  4. O processamento é necessário para proteger um interesse vital do sujeito de dados;

  5. O processamento de dados é necessário para a execução de uma tarefa efetuada no interesse público ou no interesse de uma autoridade oficial; ou

  6. O processamento é necessário devido aos interesses legítimos da entidade, exceto quando esses interesses forem anulados pelos interesses ou direitos e liberdades fundamentais do sujeito de dados, que requerem uma proteção de dados pessoais.

Há similaridades entre uma lista de processamento permitida do GDPR e a lista contida na Diretriz de Proteção dos Dados. No entanto, há também divergências significativas.

Em comparação à Diretriz de Proteção dos Dados, a alteração feita pelo GDPR discutida com maior frequência é a intensificação dos requisitos de consentimento (item 1 na lista acima). Os requisitos de consentimento do GDPR incluem elementos como (i) a exigência de que o consentimento possa ser verificável, (ii) a solicitação do consentimento deve poder ser distinguida com clareza de outros assuntos e (iii) os sujeitos de dados devem ser informados de seu direito de retirar o consentimento. Também é importante considerar que um requisito de consentimento ainda mais alto (“consentimento explícito”) é imposto em relação ao processamento de dados sensíveis.

Outro item importante a destacar é o item de interesse legítimo (item 6 na lista acima). Ao apoiar-se no “interesse legítimo” como o suporte do processamento de dados pessoais, uma organização precisa estar ciente do requerimento de teste de equilíbrio associado com esta base legal. Para satisfazer o Princípio de Responsabilização sob o GDPR, uma organização precisa documentar sua conformidade com o teste de equilíbrio, que inclui a sua abordagem e os argumentos que foram considerados antes de concluir que o teste de equilíbrio foi satisfeito.

Os direitos dos indivíduos sob o GDPR

Sob a Diretriz de Proteção dos Dados, os indivíduos recebiam certos direitos básicos relacionados aos seus dados pessoais. Os direitos dos indivíduos continuam a ser aplicados sob o GDPR e estão sujeitos a algumas emendas esclarecedoras. A tabela abaixo compara os direitos dos indivíduos sob a Diretriz de Proteção dos Dados e o GDPR.

Direitos do indivíduo Diretriz de Proteção dos Dados GDPR
Solicitação de Acesso do Sujeito de Dados Os indivíduos têm o direito de saber se seus dados pessoais estão sendo processados, quais dados e como os dados sobre eles estão sendo processados, e quais são as operações de processamento de dados. A abrangência desse direito foi ampliada sob o GDPR. Por exemplo, ao efetuar uma solicitação de acesso, os indivíduos devem receber informações adicionais, inclusive informações sobre seus direitos adicionais de proteção dos dados sob o GDPR que não existiam antes, como o direito da portabilidade dos dados.
O direito de se opor Um indivíduo pode proibir certas operações de processamento de dados quando tem motivos legítimos e convincentes. Os indivíduos também podem se opor ao processamento de seus dados pessoais para propósitos de marketing direto. O GDPR aumentou o escopo desse direito em comparação com a Diretriz de Proteção dos Dados.
O direito da retificação ou exclusão Os indivíduos podem solicitar que dados incompletos sejam completados ou que dados incorretos sejam corrigidos para garantir que o processamento dos dados pessoais esteja em conformidade com os princípios de proteção de dados aplicáveis. A posição do GDPR é substancialmente igual à da Diretriz de Proteção dos Dados, mas algumas proteções procedurais são maiores sob o GDPR.
O direito à restrição Não há nenhum direito de restringir o processamento. No entanto, a Diretriz de Proteção dos Dados fornece aos indivíduos o direito de solicitar o bloqueio de seus dados quando as operações de processamento não estão em conformidade com os princípios de proteção dos dados, por exemplo, quando os dados estão incompletos ou incorretos. O GDPR oferece aos indivíduos o direito de solicitar a restrição do processamento de seus dados pessoais sob certas circunstâncias, inclusive quando o indivíduo contesta a exatidão dos dados.
O direito à exclusão (“o direito de ser esquecido”) Os indivíduos têm o direito de buscar a exclusão de seus dados pessoais se as operações de processamento não estiveram em conformidade com os princípios de proteção dos dados. Logo, este direito é bastante limitado. O GDPR estendeu este direito substancialmente. Por exemplo, o direito à exclusão pode ser exercido quando os dados pessoais não são mais necessários em relação aos propósitos para os quais foram coletados, ou o indivíduo retira o consentimento ao processamento e nenhuma outra base legal suporta a continuação do processamento.
O direito à portabilidade dos dados A Diretriz de Proteção dos Dados não menciona a “portabilidade dos dados” explicitamente como um direito do sujeito de dados. Leis de Países-Membros da UE podem ter implementado direitos adicionais semelhantes a um direito de portabilidade dos dados em nível nacional. Os indivíduos podem solicitar que dados pessoais retidos por um controlador de dados sejam fornecidos a eles ou a outro controlador.

Transferências de dados internacionais

Os fluxos de dados internacionais têm sido um assunto importante nos últimos anos, e houve um debate considerável e uma reforma legislativa nesta área. Também é quase certo que as leis relacionadas aos fluxos de dados internacionais continuarão a evoluir nos próximos anos. Hoje, sob a lei de proteção dos dados da UE, certos requerimentos precisam ser satisfeitos antes que os dados pessoais de indivíduos da UE possam ser transferidos para fora da UE, exceto se a organização destinatária dos dados pessoais esteja localizada em uma jurisdição permitida (clique aqui para ver uma lista das jurisdições permitidas).

Sob o GDPR, transferências de dados internacionais são um assunto de gerenciamento desafiador, pois a lei continua evoluindo e há apenas poucos mecanismos de transferência de dados disponíveis. Apesar do desafio, as organizações precisam manter-se atualizadas em relação aos desenvolvimentos, já que o fluxo com conformidade dos dados pessoais é a base de qualquer empresa de tecnologia.

Não usamos mais o Privacy Shield como mecanismo de transferência de dados originadas na UE porque o Privacy Shield UE-EUA foi revogado em virtude da decisão Schrems II, promulgada pelo Tribunal de Justiça da União Europeia em 16 de julho de 2020. Mantemos o compromisso com os princípios do protocolo Privacy Shield porque ele ainda pode oferecer proteção à privacidade dos usuários. Por esse motivo, continuamos citando o Privacy Shield nas nossas políticas e acordos.

De modo mais geral, a Stripe implementou medidas de conformidade da transferência de dados internacional que regem todo o processamento dos dados pessoais de indivíduos da UE por parte das entidades globais. Essas medidas se baseiam nas Cláusulas Contratuais Padrão (CCP) da UE.

Conforme observado acima, os fluxos de dados internacionais continuam sendo uma área potencial para uma reforma legislativa futura. Por isso, seguimos os desdobramentos jurídicos relacionados às medidas de conformidade da transferência internacional de dados com muito cuidado, e tomamos todas as medidas disponíveis para nós para garantir uma transferência internacional com conformidade dos dados pessoais de sujeitos de dados da UE. Isso também significa que criamos redundâncias em nosso programa de conformidade da transferência de dados na máxima medida possível e desejamos estendê-las com as ferramentas disponíveis para a Stripe sob o GDPR.

Não cumprimento

A consequência mais citada do não cumprimento do GDPR é a multa máxima que pode ser cobrada de uma organização não conforme. A multa máxima que pode ser cobrada é de 4% da receita global ou 20 milhões de euros, o que for maior. Certos outros tipos de violação têm multa máxima de 2% da receita global ou 10 milhões de euros, o que for maior.

Uma referência menos comum são os poderes das autoridades de proteção de dados (“APDs”) sob o art. 58 do GDPR. Esses poderes incluem a capacidade das APDs de impor ações corretivas, como uma limitação temporária ou definitiva das atividades de processamento dos dados, incluindo uma proibição completa do processamento de dados ou a ordem da suspensão dos fluxos de dados para um destinatário em um terceiro país.

Stripe e o GDPR

Na Stripe, a privacidade, proteção e segurança dos dados estão no centro de tudo que fazemos. Trabalhamos continuamente para elevar os padrões para nós mesmos no ambiente de segurança e privacidade de dados, e vemos o GDPR como uma oportunidade de unir toda a indústria em relação a este tema e melhorar.

A Stripe começou seus esforços para obter a conformidade com o GDPR em 2016, e trabalhamos para garantir que nossos serviços estejam em conformidade com o GDPR a partir de 25 de maio de 2018.

A conformidade com o GDPR é composta de muitos elementos. Entre outros, estamos atualizando nossa documentação e acordos para alinhamento com os requerimentos do GDPR. Também estamos revisando nossas políticas e procedimentos internos para garantir que elas estejam de acordo com a norma GDPR.

A maior parte dos elementos de conformidade com o GDPR ocorrem “nos bastidores” de uma organização, pois estão relacionados às atualizações de como ela processa dados pessoais. Estas são algumas das medidas tomadas por plataformas como a Stripe para os seus usuários (e para si mesmas) em antecipação ao GDPR:

  • Efetuar uma análise de lacunas entre os requerimentos impostos pela Diretriz de Proteção dos Dados e o GDPR, conforme a aplicabilidade às operações de negócios da empresa.

  • Revisar e atualizar ferramentas, procedimentos e políticas internas quando necessário.

  • Revisar práticas de mapeamento e inventário de dados e atualizá-las quando necessário, de modo a entrar em conformidade com as obrigações da retenção de registros sob o GDPR.

  • Efetuar uma análise dedicada de lacunas das ferramentas de revisão da privacidade e proteção de dados, de modo cumprir os requerimentos da Avaliação do Impacto da Proteção de Dados.

  • Atualizar a abordagem das transferências de dados internacionais.

  • Atualizar os contratos de modo a atender as obrigações do Art. 28 do GDPR, pois estes estão relacionados com as partes contratantes da empresa.

  • Analisar e, quando necessário, revisar os relacionamentos com fornecedores para cumprir os requerimentos das partes contratantes, de modo a garantir que estes terceiros recebam e processem os dados pessoais de um modo legal.

  • Atualizar o Programa de Conformidade da Privacidade da empresa com um treinamento contínuo dos funcionários que reflita as alterações implementadas para o GDPR.

O Princípio da Responsabilidade

Os usuários da Stripe devem consultar sua assessoria jurídica para entender o escopo completo de suas obrigações de conformidade sob o GDPR. Como regra geral, se você for uma organização que está estabelecida na UE, ou se sua organização processar dados pessoais de indivíduos da UE, o GDPR se aplicará a você.

Um princípio GDPR a ter em mente é o Princípio da Responsabilidade. O Princípio da Responsabilidade afirma que o controlador de dados deve ser capaz de demonstrar que suas atividades de processamento estão em conformidade com os princípios de proteção de dados estabelecidos no GDPR. A maneira mais fácil de demonstrar a conformidade é documentando e comunicando a sua abordagem em relação à conformidade com o GDPR.

Na Stripe, a conformidade foi o produto de um esforço colaborativo de muitas pessoas em nossa organização, inclusive as Operações do Usuário, Vendas, Engenharia, Segurança e Jurídico. Em nossa experiência, parcerias interfuncionais e uma documentação de fácil leitura são incrivelmente úteis para o processo geral da conformidade com o GDPR.

Uma lista de controle do GDPR para sua empresa

Com poucas semanas faltando até 25 de maio de 2018, organizações pequenas e médias podem enfrentar desafios específicos para se prepararem para o GDPR. Com isso em mente, reunimos alguns dos elementos-chave de um programa de conformidade com o GDPR em uma lista de controle para os usuários.

Entrando em sintonia: converse com seus colegas técnicos, de suporte ao cliente e do departamento jurídico e informe-os sobre o que é o GDPR e seus impactos na organização.

Obtenha uma visão clara do que está acontecendo com os dados pessoais em sua organização: um exercício de mapeamento de dados pode ajudar você a descobrir como os dados pessoais são armazenados e processados por seus sistemas. As perguntas a seguir podem guiar você:

  • Quais categorias de dados pessoais você está processando? Por exemplo, informações financeiras, informações de saúde, informações de marketing etc.
  • De quais categorias de indivíduos você está processando dados pessoais? Por exemplo, titulares de cartão, crianças, pacientes etc.
  • Qual é o motivo do processamento das informações?
  • Como e por que você coletou as informações?
  • Como você está protegendo estes dados?
  • Terceiros estão recebendo as informações? Se sim, você está revelando a existência desses recebedores terceiros em sua Política de Privacidade ou em outras formas de notificação? Você sabe quem são esses terceiros? Por quanto tempo você mantém as informações sobre os indivíduos?

Mapeamento da base legal: consulte as 6 bases legais mencionadas acima. Para cada operação de processamento identificada em seu mapa de dados, vincule-a com uma base legal. Essa conexão será o mapa da base legal.

Saiba como entrar em conformidade com um indivíduo que estiver exercendo os seus direitos:

  • Tenha a capacidade de usar as informações do mapeamento de dados para responder à solicitação de acesso aos dados de um sujeito de dados.
  • A partir do mapa, saiba onde os dados pessoais residem em seu sistema (e possuem referências cruzadas com outros sistemas) para entrar em conformidade com solicitações de recusa, modificação e exclusão.
  • Saiba quais formatos de dados são usados por seus sistemas e descubra como você responderá a solicitações de portabilidade de dados.

Resposta à violação de dados e incidentes: ao falar com seus colegas no lado técnico ou de segurança da organização, familiarize-se bem com o seu plano de resposta a incidentes. Efetue alguns exercícios teóricos de modo que todos envolvidos na resposta a incidentes saibam o que fazer se acontecer um incidente de segurança. Idealmente, sua equipe de resposta a incidentes é uma máquina afinada, pronta para executar planos de resposta a incidentes quando a situação ocorrer.

Há muito mais elementos que poderiam ser adicionados a esta lista de controle, e você precisará trabalhar com seus peritos internos e consultores externos para criar uma lista personalizada para as suas necessidades. Por exemplo, você pode precisar efetuar avaliações de impacto da proteção de dados, nomear um responsável pela proteção de dados, gerenciar e revisar o marketing e outras práticas de comunicação da empresa, revisitar seus processos de gerenciamento de fornecedores e contratação etc.

Se tiver uma base sólida ao mapear as suas atividades de processamento de dados, você terá uma grande vantagem para lidar com qualquer questionamento futuro sobre a conformidade com o GDPR.

Abaixo você encontra recursos adicionais que consultamos e consideramos úteis. Esperamos que ajudem você também.

Recursos adicionais

O GDPR é mencionado em muitos lugares diferentes e é difícil acompanhar os bons recursos disponíveis online. Aqui há alguns recursos que consultamos para nos mantermos atualizados em relação aos desenvolvimentos do GDPR:

  • Tudo começa com o texto jurídico: o texto jurídico completo do GDPR está aqui e a Diretriz de Proteção dos Dados está aqui.

  • A Autoridade Supervisora: há uma Autoridade de Proteção de Dados (APD) em cada País-Membro da UE, e muitas delas publicaram diretrizes úteis sobre a implementação do GDPR. Consulte uma lista das APDs aqui.

  • Grupo de Trabalho do Artigo 29 (GT29), que em breve se tornará o Conselho Europeu de Proteção de Dados (CEPD): o GT29 é um órgão assessor composto por um representante da APD de cada País Membro da UE, do Supervisor Europeu da Proteção de Dados e da Comissão Europeia. A partir de 25 de maio de 2018, o GT29 se tornará o CEPD. O CEPD incluirá o chefe de uma APD de cada País Membro da UE e do Supervisor Europeu da Proteção de Dados.

    O GT29 publicou centenas de diretrizes e opiniões e abriu diversos tópicos para a consulta. As diretrizes e opiniões mais recentes se focam na melhor implantação dos elementos do GDPR na estrutura de conformidade de uma organização. As publicações do GT29 podem ser acessadas aqui.

    O site antigo do Grupo de Trabalho 29 tinha muitos recursos adicionais que, lamentavelmente, não podem ser acessados com facilidade pelo novo layout do site. O site arquivado com materiais adicionais está disponível aqui.

  • Algumas APDs, escritórios de advocacia, organizações de privacidade como a IAPP e muitas outras organizações, ONGs e empresas organizam eventos relacionados ao GDPR. É muito provável que outras organizações tenham dúvidas bastante similares às suas sobre a implementação do GDPR. Estas são ótimas oportunidades para entrar em contato com a comunidade do GDPR e trabalhar em parceria para solucionar dúvidas.

Voltar para os guias
You’re viewing our website for Austria, but it looks like you’re in the United States. 
Switch to the United States site