No dia 23 de fevereiro, afim de responder a seguinte pergunta enviada a eles: “Temos muitos dados em nosso cluster da Elasticsearch. Alguns desses dados exigem conformidade com GDPR. Qual conselho vocês dão?” a Elastic liberou uma pequena introdução à GDPR envolvendo Elasticsearch em seu blog.
Antes de apresentarmos as dicas fornecidas pela Elastic, devemos entender um pouco mais sobre o que está por trás da cena.
Histórico
Com o objetivo de substituir o Diretiva de Proteção de Dados da UE de 1995, a GDPR foi desenvolvida devido a crescente necessidade de proteger os direitos e os dados pessoais dos residentes na UE. A GDPR está sendo cada vez mais reconhecida como uma regulamentação que será utilizada para conter o crescente número de violações de dados pessoais relatados em uma variedade de setores.
Embora as organizações possam encontrar muitas semelhanças com a Diretiva anterior, a GDPR traz algumas mudanças significativas na forma como os dados pessoais podem ser tratados, regras sobre como as violações devem ser reportadas e sanções fortes pelo não cumprimento.
A Comissão Europeia considera que, ao homogeneizar as leis de proteção de dados através de um único mercado, e ao pôr em prática um cenário jurídico mais transparente e mais simples para operar, isso economizará cerca de 2,3 bilhões de euros por ano.
Estabelecimentos Afetados
Estabelecimentos na UE e fora da UE podem ser afetados pela GDPR, de acordo com os seus modelos comerciais, alcance geográfico e assuntos a partir dos quais eles controlam ou processam dados. Fica mais fácil entender se consideramos as seguintes classificações:
GDPR-Afetado:
- Estabelecimentos da UE (inclui o Reino Unido, por enquanto)
- Estabelecimentos com presença da UE
- Estabelecimentos sem presença na UE, mas com clientes / visitantes / assuntos da UE
Não afetado pela GDPR:
- Estabelecimentos sem presença na UE e sem clientes / visitantes / assuntos da UE
Entidades GDPR Relevantes
A GDPR define papéis ou pessoas em termos de assuntos de dados, controladores de dados, processadores de dados, subprocessadores e autoridades. Além disso, define um papel formalizado dentro da organização denominada Data Protection Officer (DPO). As funções-chave estão listadas abaixo:
- Assunto da informação: pessoas na UE;
- Controlador de dados: controla o propósito e os meios de processamento. Responsabilidade direta com a pessoa em questão e autoridade de proteção de dados;
- Processador de dados: age de acordo com o Data Controller. Responsabilidade direta com a pessoa em questão e autoridade de proteção de dados.
Dados no escopo para GDPR
Ao contrário de outros regulamentos, a GDPR não usa o termo “IPI” (Informações Pessoais Identificáveis), mas usa o termo “Dados Pessoais”, de modo que nesse artigo tal termo para se referir a dados pessoais, conforme definido pela GDPR.
Dados pessoais significa qualquer informação relacionada a uma pessoa física identificada ou identificável (“assunto de dados”).
A GDPR também define “categorias especiais” de dados pessoais, que têm restrições e requisitos adicionais (raciais, étnicas, religiosas, políticas, biométricas, etc.).
“Pessoa identificável” é uma pessoa física que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador, como um nome, um número de identificação, dados de localização, um identificador online ou a um ou mais fatores específicos do físico, fisiológico, identidade genética, mental, econômica, cultural ou social dessa pessoa.
Protegendo os direitos dos indivíduos
A GDPR procura construir alguns dos principais pilares da atual Diretiva de Proteção de Dados, aumentando significativamente as regras em torno do processamento e armazenamento de dados pessoais. A GDPR inclui os seguintes direitos para indivíduos:
- O direito de ser informado;
- O direito de acesso;
- O direito à retificação;
- O direito de apagamento;
- O direito de restringir o processamento;
- O direito à portabilidade de dados;
- O direito de se opor;
- O direito de não estar sujeito a tomada de decisão automatizada, incluindo o perfil.
Muitos desses direitos, já existiam na antiga diretiva da UE e foram fortalecidos. O que há de novo na GDPR são três direitos principais:
- O Direito à Remoção: o indivíduo tem o direito de serem esquecidos se seus dados não forem mais necessários; o indivíduo retira o consentimento para seu uso; há uma razão legal para removê-lo ou foi processado ilegalmente; os dados estão relacionados a uma criança / filhos. O operador é responsável por remover dados e informar a terceiros sobre a mudança.
- O Direito à Restrição de Processamento: projetado para tornar mais fácil contestar a precisão ou o processamento legal de dados onde há uma objeção quanto à legitimidade do processamento. Se um indivíduo afirma este direito, seus dados só podem continuar a ser processados para a defesa de reivindicações legais ou com o consentimento do indivíduo ou para a proteção dos direitos de outra pessoa ou um interesse público importante.
- O direito à portabilidade de dados: protege os direitos dos indivíduos para acessar todos os dados de terceiros e para poder visualizá-lo em um formato comum. Sob este direito, os indivíduos podem pedir a uma empresa para compartilhar seus dados pessoais com outra.
Manipulação de Dados Pessoais
O modelo simplificado abaixo resume o processo de decisão que uma organização afetada pode considerar ao determinar como ele trata dados pessoais.
Para mais detalhes, leia a notícia na íntegra clicando aqui.
Inscreva-se aqui no webinar que acontecerá na próxima terça-feira, dia 13 de março, e abordará mais sobre o assunto.