Faz agora um ano que o GDPR entrou em vigor — uma norma regulatória que visa padronizar as leis de proteção de dados em toda a União Europeia, aumentar a privacidade e proteção de dados pessoais e ampliar os direitos dos sujeitos dos dados. O que aconteceu desde que o GDPR passou a valer e o que aprendemos?
De acordo com uma pesquisa da IAPP – International Association of Privacy Professionals, desde sua entrada em operação, mais de 500 mil organizações possuem um diretor de proteção de dados designado — um novo cargo obrigatório segundo o regulamento para que as organizações cumpram determinados critérios que supervisionam as obrigações de conformidade e proteção de dados.
O novo regulamento resultou em mais de 200 mil casos criados por autoridades de proteção de dados e mais de 94 mil denúncias recebidas, variando desde direito de eliminação até processamento indevido.
O GDPR verificou e detalhou novos requisitos para notificações de violação de dados, que observaram um grande aumento em violações de dados relatadas — estimadas em mais de 64 mil e, em alguns países, mais do que o dobro em comparação ao ano anterior.
O tópico mais relevante em relação ao GDPR consiste em como as infrações são equiparadas às multas para as organizações responsabilizadas. Até o momento, mais de € 56 milhões em multas como ações de imposição do GDPR. No entanto, a maior multa individual foi emitida à empresa Google — mais de € 50 milhões — e contribui para a maior parte do total global.
GDPR no restante do mundo, incluindo o Brasil
É importante lembrar que o GDPR não é aplicável apenas aos países da União Europeia, mas também a qualquer país que detenha dados de cidadãos europeus. E embora isso represente apenas uma pequena proporção do número total, foram verificados mais de 300 casos transfronteiriços no último ano.
Embora seja descrito como uma evolução (e não uma revolução), o GDPR deu início a propostas semelhantes de regulação da proteção de dados em todo o mundo, inclusive no Brasil, que tem agora a sua Lei Geral de Proteção de Dados, conhecida por LGPD ou simplesmente LGPD. A sua vigência esta marcada para 2020.
Nos Estados Unidos, a Lei de Privacidade dos Consumidores da Califórnia (CCPA) foi assinada com prazos adicionais para a concordância e adoção da legislação. E embora ela se aplique apenas dentro do Estado da Califórnia, é provável que os EUA adotem um regulamento nacional ao estilo do GDPR no futuro breve.
A Austrália solidificou os requisitos de notificação de violação de dados desde 2018, com a emenda da Lei de Privacidade Australiana.
O que aprendemos?
Com as novas regras houve uma grande mudança nas tendências de proteção de dados pessoais, com a punição para as empresas que não cumprem o que determina a legislação. Ainda assim, o primeiro ano foi de transição e devemos observar muito mais movimento nos próximos anos.
A boa notícia é que, além das organizações, outros países também estão agora despertando para a necessidade de proteger dados pessoais e adotando abordagens semelhantes para os dados pessoais de seus próprios cidadãos.
Nós aprendemos que, desde que o GDPR entrou em vigor, a maioria das empresas precisou empregar um volume enorme de recursos e investimentos para oferecer o nível de proteção dos dados pessoais, algo que poderia surpreender o cidadão comum por não ter sido ainda estabelecido.
O consenso é de que ainda há um longo caminho a ser percorrido até que as abordagens de proteção de dados semelhantes ao GDPR e LGPD sejam adotadas globalmente.
Classificação de dados e conformidade com GDPR e LGPD
Se quiser saber mais sobre como a classificação de dados apoia a conformidade com GDPR e LGPD por meio de rótulos visuais, conscientização aprimorada da força de trabalho quanto ao valor dos dados usados e rótulos de metadados, que facilitam a segurança e o gerenciamento dos dados e as políticas de retenção, baixo nosso recurso: Solicite hoje uma demonstração da classificação de dados.