O Regulamento Geral de Proteção de Dados (GDPR) é o regulamento europeu sobre a proteção dos indivíduos no que diz respeito ao processamento de seus dados pessoais e sobre a livre circulação dos mesmos.
GDPR
Embora o regulamento não seja recente (aplicável desde maio de 2018), nos últimos anos houve um volume muito significativo de reclamações de usuários contra os diferentes órgãos, o que significou que tanto o número de sanções como o montante total de sanções em termos agregados se multiplicaram. Na Espanha, por exemplo, nos últimos anos, o número de sanções impostas pela Agência Espanhola de Proteção de Dados aumentou em 380% e o valor em mais de 600% em comparação com o ano anterior, com multas de até 6.000.000 de euros.
A adaptação ao regulamento do GDPR requer ações em diferentes áreas das instituições:
- Organizacional: necessidade de estabelecer o Escritório de Privacidade, adaptando sua localização, funções e tamanho e estabelecendo o modelo de relacionamento com as demais áreas, assim como desenvolvendo a governança e as políticas de privacidade.
- Processos: assegurando o registro e a manutenção dos tratamentos da instituição e implementando processos que respondem à gestão de direitos e consentimentos dos interessados, que permitam a implementação de medidas de privacidade by design e by default e que assegurem as transferências internacionais de dados.
- Controle: é necessário implementar um modelo de controle contínuo, bem como processos periódicos de auto-avaliação.
- Ferramentas: exigindo a implementação de ferramentas de mercado ou desenvolvimentos in-house para cobrir os diferentes processos.
Este regulamento se aplica a qualquer instituição que processe dados pessoais de cidadãos da União Europeia.
As áreas responsáveis pelo cumprimento e conformidade com estes regulamentos são Compliance e Legal, CISO, CIO e CDO.