Como na maioria dos regulamentos, o GDPR não é uma lista clara de regras sobre o que fazer ou não. Portanto, as questões relacionadas a ele geralmente são muito amplas para serem tratadas em um site de Q / A. Existem muitos mitos e simplificações incorretas em torno do regulamento, e toda uma indústria é baseada no medo das sanções impostas pelo regulamento.
Esta resposta tenta dar uma visão prática do assunto. Eu não sou advogada, mas tenho trabalhado em torno deste assunto quase desde que foi introduzido, primeiro com uma abordagem de espera-e-veja de informação, e atualmente com outro tipo de priorização prática. e abordagem iterativa.
Ainda não sabemos como a regulamentação será interpretada pelos tribunais, e muitas empresas ainda estão esperando para ver quais ações as outras estão tomando. Como o Server Fault é para profissionais de TI, não somos advogados que possam interpretar o regulamento e sua relação com outras leis. Mesmo se pudéssemos, as perguntas de estilo Q / A seriam muito longas para ter todas as informações detalhadas necessárias para responder: A conformidade com o GDPR não é uma questão de ações individuais, mas de toda uma estratégia dentro de sua empresa. Se você precisar fazer essas perguntas, talvez seja necessário contratar um consultor ou até mesmo um advogado. Muitos, no entanto, sobreviverão sem um.
Você tem que criar (possivelmente com algum conselho legal) sua própria estratégia e, com base nisso, decidir quais ações você está executando para cumprir com o GDPR. Quando você está tentando implementar essas mudanças em um sistema de informações real, você pode encontrar problemas técnicos sobre como algo deve ser alcançado. Foi quando a questão foi reduzida ao escopo da falha do servidor!
Para começar, você deve saber para que serve a regulamentação. É basicamente uma estrutura legal para garantir que os dados pessoais sejam tratados com cuidado durante toda a sua vida útil, desde a coleta até a exclusão. O GDPR Artigo 5 descreve os princípios para o processamento de dados pessoais, em resumo:
- legalidade, justiça e transparência
- limitação da finalidade
- minimização de dados
- precisão
- limitação de armazenamento
- integridade e confidencialidade.
O GDPR fornece os sujeitos de dados , ou seja, os cidadãos controlam seus dados pessoais e as ferramentas para garantir que esses princípios sejam respeitados. Essas incluem o direito de acessar os próprios dados, corrigi-los, movê-los e apagá-los, ou seja, o direito de ser esquecido (se nenhuma outra lei exigir sua preservação). Também dá a possibilidade de sanções, e sua empresa pode precisar designar um oficial de proteção de dados .
A maioria dos princípios já foi implementada na legislação nacional (devido à Diretiva de Proteção de Dados 95/46 / EC), o que torna a mudança bastante limitada para empresas dentro da UE. As empresas fora da UE podem ter um pouco mais a fazer se processar os dados pessoais dos cidadãos da UE.
Uma coisa importante que muda é a responsabilidade , que é melhor alcançada na prática documentando seus procedimentos completamente:
- como e por que os dados pessoais são coletados
- o que torna o processamento legal ( consentimento sendo apenas uma condição do Art. 6 )
- como os dados são armazenados e processados
- quem tem acesso aos dados e como você controla e audita isso
- se ele é removido (automaticamente / prática padrão) quando o motivo do armazenamento expira
- como você lida com os riscos envolvidos, por exemplo, análise de risco.
Na minha opinião, se você tiver pensado cuidadosamente sobre essas coisas, resolvido os problemas e mitigado os riscos que descobriu, e documentado tudo isso, você deve estar longe de ser punido - mesmo que sofra intrusão. Haverá um oceano de comportamento negligente possível entre a sua situação e o tipo de comportamento que faz com que um indivíduo seja responsabilizado por <20 milhões de euros / 4% do volume de negócios multas.