GDPR (Regulamento Geral sobre a Proteção dos Dados) e como isso afeta sua implementação RichRelevance

A intensão desta página é dar uma visão geral útil do GDPR e das principais alterações que estão sendo introduzidas, bem como das etapas necessárias para cumpri-las. Esta não é de forma alguma uma revisão completa ou detalhada do que todas as empresas devem fazer. Para obter mais informações sobre como a RichRelevance, como processador de dados, pode ajudar os clientes a cumprir o GDPR, entre em contato com seu gerente da conta.

O que é a GDPR e por que isso importa?
O Regulamento Geral de Proteção de Dados da União Européia é um conjunto de leis de proteção de dados em toda a Europa, projetado para harmonizar as práticas de privacidade de dados em toda a Europa (que anteriormente foram adotadas de forma inconsistente). Embora os regulamentos se apliquem diretamente a empresas localizadas na União Europeia, seu mandato se estende a todos os que fazem negócios na UE ou têm clientes com cidadania da UE e, portanto, potencialmente podem impactar qualquer empresa com presença on-line. A ênfase está na proteção dos cidadãos e seus dados e em fornecer aos usuários mais informações e controle sobre como eles são usados. Os novos regulamentos entraram em vigor em 25 de maio de 2018.

Por que isso é necessário?
O amplo uso da Internet, os avanços tecnológicos no armazenamento em nuvem e o advento das mídias sociais mudaram a maneira como os dados são processados ​​e transferidos. Isso significa que as regras anteriores não apenas precisavam ser atualizadas, mas também uniformes em toda a Europa e aplicadas com mais rigor.

Quem isso afeta?
Qualquer pessoa ou entidade que coleta, armazena ou processa dados pessoais localizados na UE ou que fazem negócios com um cidadão da UE precisa estar em conformidade com o GDPR. (Existe alguma dúvida no Reino Unido após o Brexit, mas é altamente provável que a legislação seja semelhante ao GDPR.) Existem duas entidades distintas que precisam cumprir os regulamentos do GDPR:

  • Controlador de dados: a entidade que determina os propósitos, condições e meios do processamento de dados pessoais
  • Processador de dados: a entidade que processa dados em nome do Controlador de dados

O que são considerados dados pessoais?
Os dados pessoais são definidos como qualquer coisa que possa ser usada para identificar direta ou indiretamente a pessoa – por exemplo, nomes, fotos, endereços de email, dados bancários, postagens sociais, informações médicas ou endereços IP.

Principais mudanças trazidas pelo GDPR

Proprietário Nomeado (Oficial de Proteção de Dados)
Um diretor dentro do controlador ou processador de dados precisa ser nomeado para ser responsável pela proteção de dados. Essa pessoa deve ser adequadamente competente para lidar com os aspectos técnicos envolvidos. Vale a pena considerar onde a responsabilidade deve recair – com TI, jurídico, marketing ou outro local.

Ativação explícita (Opt-in)
Ao coletar dados pessoais, os controladores de dados precisam garantir que cada indivíduo consente explicitamente com uma ação afirmativa (NÃO é uma opção de não participação) e que seja mantido um registro de como, quando e onde o consentimento foi consumado.

Direito de ser esquecido
Sob os novos regulamentos, um usuário tem o direito de ser esquecido. Eles podem solicitar que todos os dados contidos neles sejam permanentemente excluídos ou anonimizados se a exclusão não for possível.

Linguagem simples
O ônus das empresas em usar linguagem simples para explicar quais dados estão sendo mantidos, por quanto tempo eles estão sendo armazenados e como um usuário pode retirar seu consentimento.

Solicitações de acesso
À medida que as pessoas se tornam mais conscientes de seus direitos de privacidade de dados, é provável que haja um número crescente de consultas sobre os dados que estão sendo mantidos, às quais as empresas precisarão responder sem demora.

Transparência
Os controladores de dados precisam ser capazes de dizer a uma pessoa, quais dados são mantidos neles, para que são usados ​​(por que), como foram obtidos e por quanto tempo. O GDPR exige que as empresas notifiquem os visitantes do site sobre (entre outras coisas) o uso de tecnologias de rastreamento.

Suas responsabilidades

  • Nomeie um diretor responsável pela proteção de dados.
  • Garanta que todos os provedores de serviços usados ​​para processar dados estejam em conformidade com os padrões GDPR.
  • Garanta que clientes ou usuários do site tenham consentido explicitamente que seus dados sejam armazenados. Os registros precisam provar que os usuários concordaram com o armazenamento dos dados e não concordar com isso não é suficiente.
  • Tem a capacidade de apagar permanentemente (ou anonimizar) um usuário dos registros, mediante solicitação.
  • Verifique a terminologia da documentação de privacidade para garantir que ela esteja usando linguagem compreensível.
  • Atualize os avisos para os visitantes do site para incluir informações sobre o uso de tecnologias de rastreamento, o uso de provedores de serviços terceirizados com os quais seus dados podem ser compartilhados, como desativar esse processamento de dados e as consequências de fazê-lo.

RichRelevance, compatível com GDPR

O GDPR incentiva as empresas a usar a tecnologia de anonimização, quando possível, para evitar o processamento de dados pessoais. Ao fornecer seus serviços, RichRelevance usa um identificador anônimo que não armazena informações de identificação pessoal (PII) dos compradores. Esse identificador não está conectado aos dados pessoais de um indivíduo e, portanto, normalmente não seria considerado dados pessoais de acordo com a definição fornecida no GDPR.

RichRelevance não pode conectar esses identificadores a nenhum dado pessoal mantido por nosso cliente sobre esse comprador individual. Assim, quando nossos clientes transmitem o identificador anônimo de um visitante do site ao serviço de personalização RichRelevance, isso é feito de maneira a impedir que RichRelevance tenha a capacidade de saber quem é o usuário.

Como um Processador de dados, RichRelevance, processa dados em estrita conformidade com as instruções fornecidas pelo Data Controller, nosso cliente. Nosso uso dos dados é estritamente limitado e nosso papel é agir apenas conforme indicado pelo Controlador e fornecer assistência ao Controlador na execução de suas responsabilidades sob o GDPR, incluindo a produção de dados quando solicitado. A RichRelevance está comprometida em ajudar nossos clientes a atender solicitações de acesso e trabalhará para localizar, sempre que possível, todos os dados necessários para honrar os direitos dos titulares de dados em tempo hábil.

O GDPR exige que todas as informações pessoais sejam processadas com a segurança apropriada. Como observado acima, embora o RichRelevance normalmente não processe ou mantenha dados pessoais de nossos clientes, é claro que ainda temos instalações de data center de ponta com controles e monitoramento de acesso rigorosos, incluindo a proteção contra processamento não autorizado ou ilegal, e contra perda, destruição ou dano acidental.