O que é RGPD?

A privacidade de dados diz respeito a cidadãos de todo o mundo, como violações de privacidade de dados do consumidor, como o escândalo do Facebook/Cambridge Analytica, alertou os usuários sobre padrões de privacidade de dados ruins. Confiança e privacidade de dados são aspectos essenciais da vida digital capturados em pesquisa. Por exemplo, uma pesquisa McKinsey de 2020 sobre compartilhamento de dados e comportamento do consumidor, descobriu que 87% das pessoas não fariam transações com uma empresa se estivessem preocupadas com suas práticas de segurança. A pesquisa também descobriu que 71% se afastariam de uma empresa que compartilhasse dados confidenciais sem permissão.

Para lidar com o abuso da privacidade do consumidor, a UE promulgou o RGPD (Regulamento Geral de Proteção de Dados) em 25 de maio de 2018. O RGPD da UE se tornou sinônimo de regulamentos de privacidade rigorosos e centrados no consumidor, protegendo os direitos de privacidade dos cidadãos da UE.

O direito à privacidade faz parte do direito da UE desde a Convenção Europeia dos Direitos do Homem de 1950. O RGPD foi uma atualização do 1995 Diretiva de proteção de dados 95/46/EC ou DPA.(2)e, com o RGPD adotada em 2016; os estados membros da UE tiveram dois anos para implementar a lei. Um dos fatores determinantes dessa atualização foi harmonizar as leis de privacidade em todos os estados membros da União Europeia. Desde a aplicação da lei do RGPD, as empresas abrangidas pelo regulamento trabalham para estabelecer a conformidade com o RGPD. O RGPD tem a missão de garantir que a privacidade dos dados pessoais seja protegida. Nos termos do artigo 4º do RGPD, os dados pessoais são "quaisquer informações relacionadas a uma pessoa física identificada ou identificável ('titular dos dados')." Isso inclui dados como informações pessoais, endereços de IP, biometria etc. O RGPD também fornece classes de dados, incluindo "categorias especiais" de dados que refletem os níveis de confidencialidade, com os dados mais confidenciais que exigem níveis mais robustos de proteção.

De acordo com o RGPD, uma entidade abrangida é qualquer organização que use os dados pessoais de um titular de dados da UE se oferecer bens ou serviços ou monitorar o comportamento online. As entidades abrangidas são vistas como controladoras de dados ou processadores: Um controlador de dados é o principal responsável pelo consentimento e controle do acesso; um processador de dados processa dados em nome de um controlador. O escopo jurisdicional do RGPD se estende para incluir empresas fora da Europa e da UE que vendem mercadorias para clientes na UE e coletam os dados pessoais desses clientes. O RGPD afeta empresas de todos os portes, pois a lei do RGPD está relacionada às atividades de manipulação de dados de uma empresa, e não ao seu tamanho.

A proteção de dados e a privacidade de dados são fundamentais para a conformidade com o RGPD. Soluções de segurança da Akamai fornecem inteligência e proteção completa aos dados financeiros contra violações e exposição acidental. A Akamai ajuda suas equipes de segurança a maximizar a eficácia e o ROI de seus investimentos em segurança, indo além da detecção de endpoint tradicional para fornecer uma solução Zero Trust eficiente para a segurança e a privacidade dos dados.

A Akamai oferece:

• Uma plataforma de segurança global que impõe uma segurança Zero Trust com cobertura abrangente dos seus ambientes de TI, IoT e TO
• Visibilidade profunda de ativos, acesso e fluxos de rede
• Aplicação granular de política de segurança

A privacidade dos dados é importante para os consumidores. O RGPD e leis de privacidade de dados semelhantes, incluindo o California Consumer Privacy Act (CCPA) nos Estados Unidos, trabalham para impor os princípios de privacidade de dados para consumidores e cidadãos. As empresas que não estiverem em conformidade com o RGPD estão sujeitas a multas significativas; em 13 de abril de 2023, a Autoridade de proteção de dados da Irlanda (DPA) emitiu uma multa de 1,2 bilhão de euros para a Meta Platforms Ireland Limited (Meta IE), por violações do RGPD durante a transferência de dados pessoais para os Estados Unidos com base em cláusulas contratuais padrão (SCCs). 

Além das empresas abrangidas diretamente pelo RGPD, os seguintes exemplos de organizações devem estar em conformidade:

Uma empresa norte-americana com clientes na UE

O RGPD é extraterritorial em escopo. Portanto, mesmo que sua empresa esteja fora da UE, mas tenha o potencial de fazer negócios com cidadãos da UE, é preciso estar em conformidade com o RGPD. Essas empresas devem realizar uma avaliação do RGPD para ver quais atividades de processamento de dados elas realizam. Em seguida, será preciso fornecer avisos de privacidade que cumpram os requisitos do RGPD. Além disso, será preciso fazer uma avaliação de impacto na proteção de dados e determinar quais medidas de proteção são necessárias. Isso provavelmente incluirá criptografia de dados, medidas robustas de autenticação e proteção de dados no nível organizacional, como a implementação de uma abordagem de segurança Zero Trust. Essas medidas devem se estender a fornecedores terceiros.

Uma pequena organização com menos de 250 funcionários

O RGPD não isenta as organizações menores de regulamentações. Mesmo as empresas de um único indivíduo ou com status de instituição de caridade precisarão cumprir as regras do RGPD se manusearem e processarem dados pessoais. No entanto, ele exige apenas os níveis de documentação sobre o tratamento de dados normalmente exigidos por lei, se alguém processar dados regularmente, em grandes quantidades ou que possam afetar os direitos e liberdades ou que revelem raça, etnia, dados biométricos etc. Além de cumprir os requisitos de privacidade de dados, as pequenas empresas devem procurar plataformas de segurança que possam fornecer autenticação e criptografia robustas para ajudar a proteger os dados e evitar uma violação de dados.

O RGPD estabelece uma série de sete princípios fundamentais que o sustentam como lei. Esses princípios estão relacionados à legalidade, razões para o processamento de dados e condições de consentimento. Os princípios abrangem as seguintes áreas:

1. Legalidade, justiça e transparência: deve haver um bom motivo para o processamento dos dados.
2. Limitação de finalidade: este é um conceito importante nos princípios de privacidade por design e padrão, conforme refletido no RGPD. Este foco principal é garantir que os dados sejam "coletados para fins específicos, explícitos e legítimos".
3. Minimização de dados: de acordo com o princípio dois, todos os dados legitimamente coletados devem ser feitos como um conjunto de dados mínimo.
4. Precisão: a entidade abrangida deve assegurar a exatidão dos dados recolhidos.
5. Limitação de armazenamento: a entidade abrangida deve ter uma política de limitação de armazenamento que seja aplicável.
6. Integridade e confidencialidade: os controles de segurança devem manter a integridade e a confidencialidade dos dados pessoais coletados; isso deve incluir medidas de segurança para evitar ataques de ameaças internas ou externas.
7. Responsabilidade: medidas e documentação devem demonstrar que a entidade abrangida está em conformidade com o RGPD.

Os titulares dos dados são indivíduos que podem ser identificados usando dados pessoais abrangidos pelo RGPD. O Capítulo 3 do RGPD define oito direitos de titulares de dados que devem ser seguidos para estar em conformidade com o RGPD:

1. Direito de informação (artigos 12, 13 e 14).
2. Direito de acesso (artigo 15).
3. Direito de retificação (artigo 16).
4. Direito à eliminação (artigo 17).
5. Direito à restrição de processamento (artigo 18).
6. Direito à portabilidade de dados (artigo 20).
7. Direito de objeção (artigo 21).
8. Direito de não estar sujeito à tomada de decisões automatizada, incluindo a definição de perfis (artigo 22).

Há também uma regra de notificação de violação coberta pelo Artigo 34, que exige que uma entidade abrangida informe "sem atraso indevido" um titular de dados sobre uma violação se a violação de dados "provavelmente resultar em um alto risco aos direitos e liberdades de pessoas físicas". As autoridades de supervisão devem ser notificadas sobre violações de dados; são autoridades públicas que monitoram a aplicação do regulamento.

O Rastreador de aplicação do RGPD fornece uma visão geral das multas e penalidades emitidas por não conformidade com o RGPD. Em maio de 2023, o custo cumulativo das multas foi de cerca de 2,79 bilhões de euros. Os três principais motivos para emitir multas, de acordo com o Rastreador de aplicação do RGPD, são:

1. Não conformidade com os princípios gerais de processamento de dados.
2. Base legal insuficiente para o processamento de dados.
3. Medidas técnicas e organizacionais insuficientes para garantir a segurança das informações.

Os dois níveis definidos para multas por não conformidade com o RGPD são:

Nível 1: Abrange violações de dados e não desempenho de uma avaliação de impacto da proteção de dados: 2% da receita global anual ou 10 milhões de euros, o que for maior.

Nível 2: a aplicação correta dos requisitos do RGPD, por exemplo, aplicação de direitos de consentimento e de titulares de dados: 4% da receita global anual ou 20 milhões de euros, o que for maior.

A segurança de dados está intrinsecamente vinculada à privacidade de dados robusta. O RGPD reconhece a importância de evitar violações de dados usando medidas técnicas e organizacionais apropriadas. Os controles de segurança e as medidas de privacidade mencionados no RGPD incluem criptografia e pseudonimização. Outras medidas de segurança e privacidade que devem ser usadas para evitar violações de dados incluem o gerenciamento de identidade e acesso (IAM) e autenticação e consentimento robustos, usando uma abordagem de segurança Zero Trust.

O Akamai Connected Cloud oferece controles de alto nível sobre o controle de acesso a dados e consentimento para ajudar uma organização a cumprir e demonstrar a conformidade com o RGPD. Entre esses controles estão:

• Obtenção e gerenciamento de consentimento
• Direito de acesso
• Direito de retificação
• Direito de exclusão
• Criptografia

A Akamai oferece suporte à conformidade com o RGPD fornecendo gerenciamento de riscos, relatórios e documentação, entregues por meio de uma estratégia Zero Trust