Introdução à GDPR com Elasticsearch

No dia 23 de fevereiro, afim de responder a seguinte pergunta enviada a eles: “Temos muitos dados em nosso cluster da Elasticsearch. Alguns desses dados exigem conformidade com GDPR. Qual conselho vocês dão?” a Elastic liberou uma pequena introdução à GDPR envolvendo Elasticsearch em seu blog.

Antes de apresentarmos as dicas fornecidas pela Elastic, devemos entender um pouco mais sobre o que está por trás da cena.

Histórico

Com o objetivo de substituir o Diretiva de Proteção de Dados da UE de 1995, a GDPR foi desenvolvida devido a crescente necessidade de proteger os direitos e os dados pessoais dos residentes na UE. A GDPR está sendo cada vez mais reconhecida como uma regulamentação que será utilizada para conter o crescente número de violações de dados pessoais relatados em uma variedade de setores.

Embora as organizações possam encontrar muitas semelhanças com a Diretiva anterior, a GDPR traz algumas mudanças significativas na forma como os dados pessoais podem ser tratados, regras sobre como as violações devem ser reportadas e sanções fortes pelo não cumprimento.

A Comissão Europeia considera que, ao homogeneizar as leis de proteção de dados através de um único mercado, e ao pôr em prática um cenário jurídico mais transparente e mais simples para operar, isso economizará cerca de 2,3 bilhões de euros por ano.

 

Estabelecimentos Afetados

Estabelecimentos na UE e fora da UE podem ser afetados pela GDPR, de acordo com os seus modelos comerciais, alcance geográfico e assuntos a partir dos quais eles controlam ou processam dados. Fica mais fácil entender se consideramos as seguintes classificações:

GDPR-Afetado:

  • Estabelecimentos da UE (inclui o Reino Unido, por enquanto)
  • Estabelecimentos com presença da UE
  • Estabelecimentos sem presença na UE, mas com clientes / visitantes / assuntos da UE

Não afetado pela GDPR:

  • Estabelecimentos sem presença na UE e sem clientes / visitantes / assuntos da UE

Entidades GDPR Relevantes

A GDPR define papéis ou pessoas em termos de assuntos de dados, controladores de dados, processadores de dados, subprocessadores e autoridades. Além disso, define um papel formalizado dentro da organização denominada Data Protection Officer (DPO). As funções-chave estão listadas abaixo:

  • Assunto da informação: pessoas na UE;
  • Controlador de dados: controla o propósito e os meios de processamento. Responsabilidade direta com a pessoa em questão e autoridade de proteção de dados;
  • Processador de dados: age de acordo com o Data Controller. Responsabilidade direta com a pessoa em questão e autoridade de proteção de dados.

Dados no escopo para GDPR

Ao contrário de outros regulamentos, a GDPR não usa o termo “IPI” (Informações Pessoais Identificáveis), mas usa o termo “Dados Pessoais”, de modo que nesse artigo tal termo para se referir a dados pessoais, conforme definido pela GDPR.

Dados pessoais significa qualquer informação relacionada a uma pessoa física identificada ou identificável (“assunto de dados”).

A GDPR também define “categorias especiais” de dados pessoais, que têm restrições e requisitos adicionais (raciais, étnicas, religiosas, políticas, biométricas, etc.).

“Pessoa identificável” é uma pessoa física que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador, como um nome, um número de identificação, dados de localização, um identificador online ou a um ou mais fatores específicos do físico, fisiológico, identidade genética, mental, econômica, cultural ou social dessa pessoa.

Protegendo os direitos dos indivíduos

A GDPR procura construir alguns dos principais pilares da atual Diretiva de Proteção de Dados, aumentando significativamente as regras em torno do processamento e armazenamento de dados pessoais. A GDPR inclui os seguintes direitos para indivíduos:

  • O direito de ser informado;
  • O direito de acesso;
  • O direito à retificação;
  • O direito de apagamento;
  • O direito de restringir o processamento;
  • O direito à portabilidade de dados;
  • O direito de se opor;
  • O direito de não estar sujeito a tomada de decisão automatizada, incluindo o perfil.

Muitos desses direitos, já existiam na antiga diretiva da UE e foram fortalecidos. O que há de novo na GDPR são três direitos principais:

  1. O Direito à Remoção: o indivíduo tem o direito de serem esquecidos se seus dados não forem mais necessários; o indivíduo retira o consentimento para seu uso; há uma razão legal para removê-lo ou foi processado ilegalmente; os dados estão relacionados a uma criança / filhos. O operador é responsável por remover dados e informar a terceiros sobre a mudança.
  2. O Direito à Restrição de Processamento: projetado para tornar mais fácil contestar a precisão ou o processamento legal de dados onde há uma objeção quanto à legitimidade do processamento. Se um indivíduo afirma este direito, seus dados só podem continuar a ser processados ​​para a defesa de reivindicações legais ou com o consentimento do indivíduo ou para a proteção dos direitos de outra pessoa ou um interesse público importante.
  3. O direito à portabilidade de dados: protege os direitos dos indivíduos para acessar todos os dados de terceiros e para poder visualizá-lo em um formato comum. Sob este direito, os indivíduos podem pedir a uma empresa para compartilhar seus dados pessoais com outra.

Manipulação de Dados Pessoais

O modelo simplificado abaixo resume o processo de decisão que uma organização afetada pode considerar ao determinar como ele trata dados pessoais.

 

Para mais detalhes, leia a notícia na íntegra clicando aqui.

Inscreva-se aqui no webinar que acontecerá na próxima terça-feira, dia 13 de março, e abordará mais sobre o assunto.