Contatos
Voltar para a pagina anterior
Blog
yuliyagubaydullina
5

Recolha de Dados Pessoais de Utilizadores na UE: O que precisa de saber e como se preparar

19.05.2022
Data de atualização: 11.05.2023

Qualquer empresa cujas práticas incluam a recolha, armazenamento e processamento de dados pessoais dos utilizadores na UE deve cumprir os requisitos regulamentares. Em caso de não cumprimento ou violação destes estatutos regulamentares, as empresas podem enfrentar sanções severas, multas, e sanções.


Na Europa, quaisquer actividades que envolvam a informação pessoal de pessoas singulares identificáveis (sujeitos de dados) devem cumprir o Regulamento Geral de Protecção de Dados da UE (GDPR), o quadro regulamentar geral que rege a protecção da informação pessoal pertencente aos utilizadores. As empresas têm de estar preparadas para se adaptarem, testarem, manterem, e demonstrarem o cumprimento destes requisitos da UE em constante evolução.

A Protecção de Dados Pessoais pode ser um ambiente regulador difícil de navegar, por isso deixe o ITGLOBAL.COM apoiar os seus esforços de conformidade com o GDPR. Um excelente exemplo dos serviços de conformidade da GDPR que oferecemos é a seguinte auditoria de conformidade ITGLOBAL.COM realizada para a Whoosh, uma empresa de transportes especializada em soluções de micro-mobilidade urbana para o mercado da UE.

Infra-estrutura da empresa cliente e organização do armazenamento de dados

A infra-estrutura de recolha e processamento de dados pessoais da Whoosh consistia numa plataforma de partilha baseada na nuvem ligando aplicações móveis de utilizadores e serviços, bem como módulos IoT. Este é essencialmente o “coração” de uma scooter eléctrica, recolhendo e transmitindo dados sobre o estado do dispositivo, a sua localização, estado de carregamento, e informação actualizada sobre a viagem actual. Isto para além da partilha com fornecedores externos, prestadores de serviços e parceiros, incluindo serviços de seguros e de processamento, que também podem tratar dados pessoais dos utilizadores.

A Whoosh também opera um conjunto de serviços internos, incluindo correio electrónico, ERP, e vários outros serviços empresariais clássicos. Cada um destes serviços internos envolve o tratamento de dados pessoais, tornando-os também sujeitos a avaliação por parte dos reguladores. A maior entrada de dados pessoais de utilizadores no sistema ocorre durante o registo de novos utilizadores. Neste caso, a informação sobre os utilizadores é armazenada em servidores associados ao país em que o serviço opera. Por exemplo, a informação pertencente aos utilizadores europeus da Whoosh é consolidada em servidores localizados na Irlanda. Assim que os dados são registados, podem ser transmitidos aos parceiros para processamento ou utilização pelos serviços de seguros e de análise.

Como foi conduzida a Auditoria de Infra-estruturas

Antes de iniciar operações num novo país, recomenda-se que as infra-estruturas e os processos empresariais estejam em conformidade com a legislação local com a ajuda de peritos neste campo. Estes profissionais de terceiros ajudam as empresas a identificar deficiências de conformidade associadas à entrada num novo ambiente regulamentar, para que possam ser rapidamente corrigidas.

O GDPR ou Regulamento Geral de Protecção de Dados permite às autoridades da União Europeia estabelecer requisitos uniformes para a protecção de dados pessoais. Estes requisitos são também relevantes para empresas que procuram entrar em países no mercado, uma vez que controlam a exportação de dados pessoais para fora da UE. Tal como escrito, a finalidade do GDPR é dar aos cidadãos da UE um maior controlo sobre os seus dados pessoais, unificando e reforçando a protecção de dados para todos os indivíduos que residem dentro da UE.

A Whoosh começou a oferecer o seu serviço no mercado europeu em 2022, tornando a auditoria da GDPR um passo necessário e lógico para assegurar a sua conformidade com os regulamentos europeus de privacidade. Uma auditoria de conformidade da GDPR concentra-se no seguinte:

  1. Avaliação da aplicabilidade dos requisitos da GDPR e da legislação local às actividades do cliente.
  2. Análise do estado actual das infra-estruturas e processos do cliente.
  3. Preparação de recomendações para a introdução de regulamentos tendo em conta os planos de negócios para o desenvolvimento.
  4. Consultoria sobre os processos de implementação.

A nossa experiência demonstrou que, no caso da legislação europeia, é melhor começar com uma análise granular das operações do cliente na procura de elementos de não conformidade, durante a qual o auditor avalia a segurança da informação dos processos empresariais da empresa e, se forem encontradas violações, desenvolve recomendações para a harmonização destes processos com os requisitos regulamentares. Esta avaliação também examina a forma como o cliente recolhe, armazena e processa os dados pessoais do cliente. E, na fase final, audita estes processos para o cumprimento da GDPR e das leis locais relativas aos países em que a empresa planeia expandir as operações. Por exemplo, no caso da Whoosh, o nosso cliente acabou por expandir os seus serviços para Portugal, Hungria, Polónia, e vários outros países.

Trazer a Whoosh para a Conformidade – Os Resultados Os peritos do ITGLOBAL.COM realizaram uma auditoria detalhada de documentos regulamentares relativos ao processamento e protecção de informação, e infra-estruturas de TI que consistem em serviços corporativos baseados na nuvem (incluindo correio electrónico, armazenamento de dados, sistemas internos de controlo de scooters e dispositivos IoT, etc.). Os serviços e processos empresariais da Whoosh envolvendo o tratamento de dados pessoais foram então avaliados objectivamente quanto à sua conformidade com a GDPR e a legislação local relativa aos Estados-Membros específicos da UE em que a Whoosh opera. O resultado foi então apresentado sob a forma de um relatório que:

diagramas de fluxo de dados em conformidade. Forneceram uma análise de acordo com cada parágrafo dos regulamentos e legislação relevantes relativos ao país da UE seleccionado. Ofereceu recomendações para a rectificação de processos e serviços não conformes.

Este documento forneceu um esboço detalhado das acções que a Whoosh precisava de empreender para resolver as inconsistências entre as suas actividades e os regimes regulamentares relevantes identificados no decurso da auditoria. Consequentemente, a preponderância dos comentários no relatório dizia respeito aos regulamentos que regem o tratamento de dados pessoais, em oposição à abordagem de questões técnicas.

A nossa auditoria identificou igualmente a necessidade de fornecer à Whoosh uma documentação regulamentar, organizacional e administrativa interna mais abrangente relativa ao processamento e segurança de dados pessoais, que IT.GLOBAL.COM desenvolveu e implementou subsequentemente para o nosso cliente. O trabalho proactivo da IT.GLOBAL.COM com clientes como a Whoosh demonstra claramente as vantagens da nossa abordagem colaborativa para empresas que procuram entrar em ambientes regulamentares robustos, tais como a UE.

Nas palavras de IT.GLOBAL.COM, Director de Auditoria e Segurança da Informação Alexander Zubrikov: “A Whoosh levou os seus processos empresariais e infra-estruturas em conformidade com os regulamentos GDPR (particularmente regulamentos locais estabelecidos pelos países da União Europeia nos quais a Whoosh planeou lançar serviços), antes de iniciar o processamento efectivo de dados pessoais protegidos. Assim, qualquer risco de fuga de dados pessoais e, consequentemente, possíveis violações dos direitos dos cidadãos da UE foi minimizado”.

O que devem as empresas fazer se estão agora mesmo a entrar no mercado europeu?

Vale a pena lembrar que as dicas e materiais deste artigo são relevantes apenas para empresas que trabalham com dados pessoais protegidos de utilizadores. O melhor lugar para começar é obter o lay of the land através de pesquisa, leitura da legislação relevante, consulta de especialistas, e avaliação dos requisitos existentes para o mercado em que a sua empresa procura entrar. A seguir, há duas opções principais para o armazenamento de dados:

  • Uma empresa pode incorporar na sua equipa um perito conhecedor dos regulamentos da UE que regem o armazenamento e processamento de dados pessoais para os utilizadores da UE. A empresa pode contratar um consultor com experiência em questões regulamentares relacionadas com a legislação da UE sobre segurança de dados.
  • Os requisitos estabelecidos pelas leis e regulamentos da UE em matéria de dados estão longe de ser simples. O cumprimento destes regulamentos é possível, mas se uma empresa conseguir obter uma imagem à medida do que precisa de ser tratado e em que ordem, o trabalho de pôr os seus processos e serviços em conformidade será concluído de forma muito mais rápida e eficiente. Tal processo leva tempo, mas com a ajuda certa, este obstáculo é superado por qualquer empresa.

No que respeita a qualquer mercado estrangeiro, as medidas preparatórias necessárias para lançar operações noutro país são largamente semelhantes às descritas acima. Contudo, vale a pena lembrar que as violações do GDPR podem trazer consigo multas verdadeiramente draconianas, o que significa que a expansão dos serviços para os países da UE traz consigo a necessidade de cumprimento cuidadoso dos requisitos regulamentares da UE. Os custos do incumprimento podem ser graves. De facto, as multas máximas possíveis que podem ser cobradas ao abrigo da legislação da UE podem ascender a 20 milhões de euros ou 4% das receitas anuais da empresa, dependendo do montante que for maior.

O GDPR, especificamente a Arte. 25 (1) A GDPR, é menos específica no que respeita à sua aplicação a sistemas técnicos, mas implica uma abordagem razoável de acordo com o actual nível de progresso científico e tecnológico, custos de implementação, e riscos que ocorrem durante o processamento de dados pessoais, bem como a natureza, escala, contexto e finalidade do processamento de dados pessoais protegidos dos utilizadores. Ou seja, uma organização tem a flexibilidade de determinar por si própria quais as medidas de segurança a implementar (com excepção da encriptação, recuperação de dados e inspecções regulares). Contudo, o ónus da responsabilidade pelo cumprimento por parte das empresas ao abrigo desta abordagem é maior do que quando comparado com a lista de controlo dos requisitos regulamentares estabelecidos pelas autoridades reguladoras na Rússia”. – Anastasia Gainetdinova, auditor de segurança da informação ITGLOBAL.COM Security.

O risco de cair em investigação na UE não é normalmente elevado, mas as consequências regulamentares que uma inspecção pode trazer significa que o cumprimento continua a ser uma consideração importante. Embora seja improvável que o regulador conduza uma auditoria por sua própria iniciativa, esta possibilidade não deve, no entanto, ser totalmente excluída. Em muitos casos, as inspecções são iniciadas como consequência de queixas dos utilizadores. Por exemplo, um utilizador pode queixar-se de que não pode apagar os seus dados do seu sistema. Nesse caso, podem recorrer a empresas do RPD na UE, após o que as hipóteses de uma inspecção aumentam exponencialmente.

Consequentemente, é imperativo segregar os dados dos utilizadores, porque os requisitos regulamentares que regem o seu tratamento e processamento variam de jurisdição para jurisdição, como por exemplo os regulamentos de segurança de dados na UE e nos EUA diferem significativamente. Se estes requisitos não forem cumpridos, a empresa que cometer violações enfrentará multas, causando, em última análise, prejuízos à organização “responsável”.

Em geral, as leis europeias têm como objectivo combater e prevenir fugas de dados e/ou utilização indevida. No entanto, é particularmente importante notar que, no caso da GDPR, a legislação da UE prevê a responsabilidade criminal no caso de violações significativas das leis de protecção de dados da UE.

Actividades e Responsabilidades da Empresa

Os requisitos regulamentares da UE diferem com base em categorias de dados. Como tal, a simplificação da tarefa de conformidade requer uma abordagem inteligente à recolha de dados de utilizadores protegidos. Partindo do princípio da informação mínima, em vez de uma abordagem geral à recolha de dados dos utilizadores, uma empresa trabalha apenas com os dados pessoais de que efectivamente necessita, reduzindo assim o número de categorias e, consequentemente, a complexidade da tarefa de assegurar o cumprimento no tratamento, processamento e armazenamento de dados protegidos.

Em conclusão, vale a pena afirmar que não basta esperar simplesmente que os reguladores nunca prestem atenção à sua empresa. Em vez disso, é muito melhor preparar-se robustamente para inspecções regulamentares, para que mais tarde estas não resultem em consequências regulamentares excruciantemente dolorosas para a não conformidade. É claro que o cumprimento proactivo exige que dedique recursos, incluindo tempo e dinheiro, mas no caso de um ambiente regulador robusto como o mercado da UE, o investimento vale bem a pena. A realidade sóbria de operar em conformidade com as protecções de dados dos utilizadores da GDPR significa que se for inspeccionado sem estar preparado, a sua empresa pode esperar enfrentar graves sanções por parte dos reguladores da UE.

Avalie este artigo
Artigo anterior Artigo anterior
Próximo artigo

leia também

Próxima geração de BNG para fornecedor de serviços de Internet
Solutions
28.04.2021
Próxima geração de BNG para fornecedor de serviços de Internet
5
Ameaças à segurança da informação de 2021: A lista de topo
Security
28.01.2021
Ameaças à segurança da informação de 2021: A lista de topo
8

Be the first to know about new articles!

Subscribe to our mailing
Ao clicar no botão, você concorda com os termos de Política de Privacidade
Cookies de nuestro sitio web para mejorar su experiencia