Em Outubro de 2015, as disposições da União Europeia e dos Estados Unidos em matéria de acordo de transferência de dados (Safe Harbor) que muitas empresas invocaram para a transferência de informação digital entre os Estados Unidos e a União Europeia foram consideradas inválidas pelo Tribunal de Justiça Europeu. O Regulamento Geral da Proteção de Dados (GDPR) da União Europeia foi sumariamente posto em prática. A União Europeia começou a aplicar estes regulamentos a partir de 25 de Maio de 2018. 

Este artigo detalha como a SharpSpring protege as informações e os dados dos clientes da União Europeia e da Área Econômica Europeia (EU/AEE). Também, detalha como a SharpSpring está em plena conformidade com o GDPR.

Aviso Legal: este documento não é um aconselhamento jurídico. O objetivo dele é apenas fornecer informações gerais sobre os aspectos selecionados do GDPR. Embora este documento aborde alguns aspectos jurídicos do GDPR, não se destina a fornecer aconselhamento jurídico. A SharpSpring recomenda que você consulte o seu advogado sobre a melhor maneira de estar em acordo com o GDPR.

Regulamento geral da União Europeia sobre a proteção de dados

Anteriormente, a Diretiva de Proteção de Dados (Diretiva 95/46/CE) era a legislação que a SharpSpring e outras organizações seguiam. A diretiva relativa à proteção de dados incidiu sobre a proteção dos indivíduos no que diz respeito ao tratamento e à livre circulação de dados pessoais. Esta diretiva, adotada em 1995, regulamenta o tratamento de dados pessoais na União Europeia. Nos termos desta diretiva, os dados pessoais só podiam ser transferidos para países fora da União Europeia se a organização fornecesse um nível adequado de proteção.

Esta diretiva foi revogada e substituída pelo Regulamento Geral de Proteção de Dados da União Europeia (GDPR). O GDPR é uma lei que amplia o escopo sobre as leis de dados originais da União Europeia. A lei foi promulgada em 27 de abril de 2016 e implementada em 25 de maio de 2018. Como tal, a SharpSpring tem feito e continua a fazer progressos para assegurar a conformidade total.

Quando a Diretiva de Proteção de Dados era uma diretiva e não um regulamento, não tinha pleno apoio legislativo. O GDPR é um regulamento e, como tal, tem o total apoio legislativo e jurídico proporcionado pela União Europeia.

Por que o GDPR impacta a SharpSpring e seus clientes

O GDPR afeta organizações e indivíduos de maneiras semelhantes. No entanto, há várias diferenças importantes a serem consideradas.

A SharpSpring, assim como todos os provedores de automação de marketing que têm clientes da União Europeia, são impactados pelo GDPR. Esses novos regulamentos são destinados a regular o fluxo, a aquisição e o uso de dados entre os controladores e os processadores de dados. O artigo 4 do GDPR diz o seguinte:

  • Os controladores de dados são aquelas entidades que determinam os meios e o propósito de processar dados pessoais.
  • Os processadores de dados são entidades e organizações que processam dados pessoais em nome do controlador de dados.

O GDPR impacta as organizações que atendem pelo menos uma das situações a seguir:

  • A organização está sediada na União Europeia e controla ou processa dados pessoais para os indivíduos da UE/AEE.
  • A organização controla ou processa dados pessoais para indivíduos da UE/AEE.

O GDPR aplica-se não só às organizações sedidas na União Europeia, mas também aos clientes ou organizações situadas fora da União Europeia - desde que interajam com os indivíduos da UE/AEE. Essa interação inclui bens ou serviços padrão, ou o monitoramento mais moderno dos dados e do comportamento dos indivíduos. Como tal, o GDPR se aplica a todas as organizações, entidades e empresas processando e mantendo os dados pessoais de indivíduos residentes na União Europeia, independentemente de onde a organização, a entidade ou a empresa está localizada. Para obter mais informações, consulte a seção de Ações recomendadas no artigo Como o GDPR impacta a SharpSpring e você.

Como a SharpSpring respeita o GDPR

Os termos, políticas de privacidade, software e infraestrutura atualizados da SharpSpring estão em total conformidade com as novas regulamentações, a partir da entrada em vigor do GDPR (25 de maio de 2018). Para obter mais informações sobre as alterações do software e de políticas da SharpSpring, consulte o artigo Como o GDPR impacta a SharpSpring e você.

Para os clientes da União Européia, a SharpSpring transfere dados para fora da União Europeia. Os dados são armazenados, principalmente, em centros de dados nos Estados Unidos, e esses dados podem ser acessados pelos recursos dos Estados Unidos e internacionais que trabalham para a SharpSpring durante o curso do relacionamento com o cliente. Cada uma dessas subsidiárias da SharpSpring, que apóia a base global de clientes da SharpSpring, entrou em acordos Cláusula Contratual Padrão com a subsidiária UE/AEE no momento em que o GDPR entrou em vigor.

Penalidades por violar o GDPR

O não cumprimento do GDPR resultará em penalidades monetárias. Existem dois níveis de multas relacionados ao descumprimento, relacionadas à gravidade da violação:

  • Para infrações menores, como não informar uma violação de dados no tempo especificado pelo GDPR, a multa totalizará o maior montante de € 10.000.000 ou 2% do total do faturamento anual global.
  • Para violações mais flagrantes, como desconsiderar as regras de processamento de dados do GDPR, a multa totalizará o maior montante de € 20.000.000 ou 4% do total do faturamento anual global.

Além disso, se uma organização violar várias regras no GDPR, a organização será multada somente pela violação mais notória, e não por cada violação separada.

Visão geral de direitos e proteções

O GDPR foi criado com os direitos de dados e a privacidade em mente. Os princípios fundamentais do regulamento refletem isso. Estes direitos protegidos incluem, mas não estão limitados a:

  • Consentimento
  • Acesso
  • Eliminação de dados
  • Notificação de violação
  • Portabilidade de dados
  • Privacidade por design
  • Proteção de dados

Consentimento Individual

Com o GDPR, as proteções de consentimento foram consideradas primordiais. Por isso, as condições e qualificações de consentimento foram amplamente melhoradas e reforçadas. Com o GDPR, o consentimento é afetado da seguinte forma:

  • As Organizações devem falar e escrever com clareza e não podem usar termos e condições pouco claros, legalmente escritos ou de outra forma ilegíveis.
  • O consentimento solicitado deve ser fornecido claramente e deve ser totalmente acessível.
  • Todos os pedidos de consentimento devem indicar claramente o propósito da razão para solicitar o consentimento.
  • O consentimento deve poder ser retirado tão facilmente quanto foi dado.
  • O consentimento não é mais considerado sem data limite de expiração e deve ser renovado periodicamente.
  • Nos e-mails, os links de cancelamento de inscrição devem ser facilmente aparentes e visíveis.

O direito de acesso

O GDPR fornece direitos e seguranças para indivíduos em relação ao acesso. Mais especificamente:

  • O GDPR fornece aos indivíduos o direito de saber se os controladores de dados estão ou não processando suas informações pessoais, bem como o local de processamento e a finalidade.
  • O GDPR exige que os controladores de dados forneçam uma cópia eletrônica gratuita dos dados pessoais do indivíduo.

O direito de ser esquecido

A eliminação de dados, conhecida também como o direito de ser esquecido, confere aos indivíduos os seguintes direitos:

  • Os indivíduos podem solicitar que os controladores de dados apaguem permanentemente seus dados pessoais.
  • Os indivíduos podem forçar a paralisação da disseminação de seus dados pessoais.
  • Os indivíduos podem forçar terceiros a suspender o processamento de seus dados pessoais.

A eliminação de dados é condicional, no entanto. As condições incluem os dados que não são mais relevantes para propósitos originais de processamento ou indivíduos que retiraram o consentimento.

Notificação de violação de dados

De acordo com o GDPR, as notificações sobre violações de dados são obrigatórias e devem ser feitas dentro de 72 horas após a organização ter tomado conhecimento da violação. Além disso, os processadores de dados também serão obrigados a notificar os indivíduos afetados sem demora, após tomar conhecimento de uma violação de dados.

Portabilidade de dados

A portabilidade de dados é o direito de um indivíduo receber seus dados pessoais e todos os dados associados aos quais são afiliados. Esses dados devem ser fornecidos em um formato eletrônico comum e de fácil leitura. Com a portabilidade de dados, os indivíduos têm o direito de transmitir esses dados conforme necessário.

Privacidade por Design

A privacidade por design requer a proteção de dados como recurso principal ao projetar sistemas, em vez de ser uma adição posterior. Além disso, os controladores podem reter e processar apenas os dados essenciais necessários para que um sistema ou serviço funcione. A privacidade por design também define limites para quem tem acesso aos dados pessoais.

Visão geral dos administradores de proteção de dados

Os Agentes de Proteção de Dados (DPOs), também conhecidos como agentes de privacidade de dados, são funcionários de segurança. Os DPOs são um requisito fundamental para estar em conformidade com o GDPR. Embora não seja necessário para todas as organizações, com o GDPR essas funções são obrigatórias para qualquer organização que processe ou armazene grandes quantidades ou dados pessoais. Tais dados pessoais referem-se a funcionários, clientes ou fornecedores de uma organização ou quaisquer outros indivíduos cobertos pelo GDPR.

Interação entre Agente e Organização

Os DPOs auditam as organizações para garantir a conformidade e devem ser tratadas como qualquer outro auditor. Assim, de acordo com o GDPR, os DPOs exigem independência operacional. Isso significa que as organizações podem interagir com seus DPOs de maneiras muito específicas. O GDPR requer o seguinte para DPOs:

  • Os DPOs não devem receber instruções ou ser pressionados de qualquer forma por uma organização.
  • Os DPOs devem ter uma autoridade livre, imediata e total para investigar as atividades da organização, incluindo aquelas atividades em níveis mais altos de gerenciamento organizacional.
  • Dentro de uma organização, os DPOs não devem estar sujeitos a supervisão direta e devem se reportar aos níveis mais altos da administração.
  • Os DPOs devem gerenciar seus próprios orçamentos operacionais.
  • As organizações devem fornecer suporte operacional ao DPO, incluindo pessoal, recursos e instalações necessárias.
  • Os DPOs devem ser nomeados para um mandato de dois a cinco anos (e não para um contrato de curto prazo), com um prazo máximo de recondução de dez anos.

Deveres do oficial

As principais tarefas do DPO são garantir que uma organização esteja em conformidade e agindo com total confiança para com o GDPR. Os aspectos individuais desses deveres incluem:

  • Os DPOs devem ser o ponto de contato para os titulares de dados e estar disponíveis para informá-los sobre como uma organização está utilizando e protegendo seus dados pessoais, bem como sobre como os titulares de dados podem solicitar que dados sejam apagados.
  • Os DPOs devem permanecer em contato e trabalhar ao lado da EDPS.
  • Os DPOs devem auditar constantemente uma organização e apresentar à EDPS informações sobre operações organizacionais que apresentem riscos específicos ou que, de algum modo, violem as regras da GDPR.
  • Os DPOs devem alertar uma organização sobre violações das regras do GDPR.
  • Os DPOs devem responsabilizar uma organização quando a esta estiver violando as regras do GDPR.
  • Os DPOs devem educar e treinar uma organização e seus funcionários quanto à conformidade com o GDPR.
Encontrou sua resposta?