Como garantir a conformidade com o GDPR
Para garantir a conformidade do Regulamento Geral de Proteção de Dados (GDPR) da sua plataforma SaaS e mitigar o risco de multas pesadas, siga as diretrizes abaixo. Aderir ao GDPR é essencial para proteger a privacidade do usuário e manter a confiança do cliente.
Este guia fornece uma visão geral das etapas essenciais, incluindo a compreensão dos principais conceitos do GDPR e a implementação de medidas de proteção de dados, que podem contribuir para a construção de uma plataforma SaaS com consciência de privacidade.
Para ajudá-lo a manter o foco, estamos fornecendo uma lista de verificação abaixo para sua conveniência.
Entenda o escopo e os requisitos do GDPR
Comece do início e mergulhe no texto oficial do GDPR. Sim, pode parecer um pouco árido, mas observe os termos-chave como “dados pessoais” (informações relevantes para uma pessoa identificável), “processamento” (qualquer ação realizada em dados pessoais) e “sujeito dos dados” (o indivíduo sobre o qual os dados são).
O GDPR é construído sobre sete princípios fundamentais.
- Legalidade, justiça e transparência: Você deve ter uma razão legal para processar dados, ser claro com os clientes sobre suas práticas e evitar qualquer coisa que seja um pouco enganosa.
- Limitação de propósito: Os dados devem ser usados e coletados por razões legítimas, específicas e explícitas e não devem ser salvos para uso futuro.
- Minimização de dados: Colete apenas as informações necessárias.
- Precisão: Mantenha-se atualizado - informações erradas podem ser prejudiciais.
- Limitação de armazenamento: Não é necessário manter os dados, portanto, tenha uma política de retenção clara em vigor.
- Integridade e confidencialidade (segurança): Use criptografia e mantenha sempre os dados protegidos contra perda, danos e acesso não autorizado.
- Responsabilidade: Seja responsável pela conformidade, documente seus processos e atenda a todos os requisitos do GDPR.
Considere falar com um profissional com conhecimento em lei de proteção de dados, investigue cursos online ou webinars sobre o assunto ou navegue em nosso guia de conformidade SaaS.
Conduza uma auditoria de dados
No centro da conformidade com o GPDR está uma auditoria abrangente de dados. Portanto, tenha como objetivo entender seus dados, de onde eles vêm e para onde vão e como estão sendo usados. Use software ou ferramentas de mapeamento para entender e direcionar seus fluxos de dados. Crie uma lista de verificação de auditoria de dados:
- Quais dados pessoais estamos coletando? (Nomes, endereços de e-mail, números de telefone, endereços IP, etc.)
- Como esses dados são coletados? (Diretamente dos usuários, por meio de integrações de terceiros, etc.)
- Onde nossos dados são armazenados? (Servidores locais, armazenamento em nuvem, etc.)
- Quem tem acesso a esses dados? (Funcionários, contratados, fornecedores terceirizados, etc.)
- Como nossos dados são usados? (Marketing, análises, personalização, etc.)
- Por quanto tempo mantemos nossos dados? (Temos uma política de retenção de dados?)
- Temos uma razão legítima para processar cada tipo de dado? (Consentimento, contrato, interesse legítimo, etc.)
Categoria de dados | Exemplos | Método de coleta | Local de armazenamento | Propósito |
Período de Retenção |
Dados do Cliente | Nome, e-mail, telefone, empresa, cargo | Formulários da Web, API | Banco de dados em nuvem | Marketing, vendas, suporte | 7 anos após o término do relacionamento com o cliente |
Dados de Leads | Nome, e-mail, empresa | Formulários da Web, geração de leads | Sistema de CRM | Vendas, marketing | 2 anos após o último contato |
Atividade do site | Endereço IP, páginas visitadas, tempo no site | Cookies de rastreamento | Plataforma de análise | Otimização do site | 1 ano |
Inclua quaisquer dados pessoais sobre os quais você não tem certeza em sua auditoria para garantir uma avaliação completa e precisa. É melhor prevenir do que remediar.
Implemente Privacidade por Design e Padrão (PbD)
Faça da privacidade uma prioridade em sua plataforma. Minimize a coleta de dados, use medidas de segurança fortes e seja transparente com os usuários sobre o uso de seus dados.
Considere o seguinte:
Minimização de Dados:
- Desafie suposições: Considere tudo o que você coleta. Você pode sobreviver com menos informações? Você realmente precisa disso?
- Colete em etapas: Colete o que for necessário à medida que avança. Por exemplo, você pode exigir apenas o endereço de e-mail primeiro e, em seguida, solicitar mais detalhes posteriormente, se necessário.
- Forneça alternativas: Forneça opções aos usuários que limitem sua coleta de dados. Por exemplo, use o checkout de convidado ou permita que os clientes desativem quaisquer recursos de compartilhamento de dados.
Limitação de Propósito:
- Declarações de propósito claras: Seja claro sobre o propósito da coleta de dados em sua comunicação de privacidade e consentimento.Não use linguagem ampla ou vaga, concentre-se em usar uma linguagem clara, concisa e que vá direto ao ponto.
- Restringir acesso interno: O acesso deve ser limitado aos funcionários que absolutamente precisam dele para seu trabalho.
- Exclusão de dados: Crie um protocolo para remover quaisquer dados desnecessários após serem usados para o propósito pretendido.
Transparência:
- Consentimento granular: Possibilite que os usuários optem por participar ou não de determinados recursos e dê a eles algum controle sobre os dados que compartilham.
- Aviso de privacidade em linguagem simples: Mantenha sua política de privacidade amigável e fácil de entender, usando linguagem cotidiana em vez de jargão jurídico.
- Avisos em camadas: Seja conciso em seus resumos de todos os avisos aos usuários sobre informações importantes e forneça links para mais detalhes para aqueles que desejam ler explicações mais aprofundadas.
Pseudonimização/Anonimização: Implemente maneiras de desidentificar dados pessoais sempre que possível. Por exemplo, substitua informações de identificação por pseudônimos (por exemplo, Usuário123) para evitar vincular os dados a indivíduos. Considere remover os identificadores completamente para que os dados não possam ser vinculados a indivíduos.
Segurança:
- Controles de Acesso: Seja seletivo em quem tem acesso para visualizar, modificar ou excluir dados pessoais.
- Plano de Resposta a Violação de Dados: Coloque processos em prática para detectar, conter e responder com urgência a violações de dados.
- Auditorias Regulares: Agende auditorias e avaliações de segurança proativamente para encontrar e corrigir quaisquer possíveis problemas de segurança.
- Criptografia: Criptografe dados em repouso e em trânsito usando algoritmos fortes.
Obtenha Consentimento Válido
Use uma linguagem de consentimento simples e clara que indique como os dados do usuário serão usados. Seja transparente que o consentimento é dado, informado, específico e retirado a qualquer momento.
- As solicitações de consentimento devem ser claras e concisas para que os usuários entendam com o que estão concordando.
- O consentimento tem um propósito específico e não é um acordo geral.
- O consentimento deve ser um claro “sim.”
- O consentimento é uma opção e nunca um requisito coercitivo.
- Os usuários podem facilmente retirar o consentimento a qualquer momento.
Atender aos Direitos do Titular dos Dados
O Regulamento Geral de Proteção de Dados (GDPR) descreve certos direitos que os titulares dos dados (indivíduos) têm em relação às suas informações pessoais. O seu negócio e plataforma SaaS devem acomodar esses direitos.
- O Direito de Acesso: Saiba que você deve confirmar as solicitações dos usuários sobre se você está processando seus dados e fornecer uma cópia deles.
- O Direito à Retificação: Você deve agir quando os indivíduos solicitarem que seus dados pessoais sejam corrigidos.
- O Direito à Restrição de Processamento: Uma solicitação para limitar o processamento de seus dados em certas situações, como quando eles contestam a precisão, deve ser honrada
- O Direito de Objeção: Os indivíduos podem se opor ao uso para marketing direto, como um exemplo do tipo de processamento que podem solicitar para negar.
- O direito ao apagamento (“direito a ser esquecido”): Quando os usuários solicitam que seus dados pessoais sejam excluídos, em algumas situações, como quando os dados não são mais necessários, eles têm o direito de que isso seja concedido.
- O direito à portabilidade de dados: Os indivíduos podem solicitar uma cópia de seus dados em um formato estruturado e legível por máquina e têm o direito de transmitir esses dados a outro controlador.
DSARs (solicitações de acesso do titular dos dados) requerem procedimentos claros e documentados, incluindo quem é responsável, como as solicitações são verificadas e quais informações são fornecidas.
A equipe deve ser educada e preparada para lidar com DSARs de acordo com o GDPR e responder dentro de um mês após o recebimento. Para casos complexos, até três meses são aceitáveis. Para agilizar isso, considere usar uma ferramenta de gerenciamento de DSAR.
Cumprir os direitos dos titulares dos dados também significa criar confiança com os usuários e mostrar um compromisso com a privacidade.
Nomear um encarregado da proteção de dados (DPO)
Se sua plataforma SaaS processa grandes quantidades de dados pessoais ou se envolve em atividades consideradas de alto risco, vale a pena considerar a designação de um DPO. Embora não seja necessário, é recomendável ter um encarregado da proteção de dados.
As principais responsabilidades de um DPO:
- Informar a empresa sobre suas obrigações de proteção de dados.
- Ser o contato para a autoridade supervisora e titulares dos dados.
- Cooperar com a autoridade supervisora.
- Ser o SME (Especialista no Assunto) em Avaliações de Impacto de Proteção de Dados (DPIAs).
- Manter a conformidade com o GDPR e outras leis de proteção de dados.
Notificação de Violação de Dados
Um plano de notificação de violação de dados deve estar em vigor. No caso de ocorrer uma violação, as autoridades apropriadas devem ser notificadas dentro de 72 horas e os indivíduos afetados sem demora quando houver risco para seus direitos e liberdades.
Plano de Resposta a Violação de Dados:
- Identificação de Incidentes: Crie critérios para identificar uma violação de dados. Deixe claro quais incidentes acionarão seu plano de resposta.
- Contenção: Procedimentos para evitar mais danos e conter a violação devem ser implementados, como alterar senhas, corrigir vulnerabilidades e isolar sistemas.
- Avaliação: Avalie a gravidade da violação e determine quais dados foram comprometidos. Determine o número de indivíduos envolvidos e avalie quaisquer riscos potenciais que isso representa para seus direitos.
- Notificação: Se ocorrer uma violação de dados e isso puder colocar os direitos das pessoas em risco, informe as autoridades dentro de 72 horas.
- Informe os indivíduos afetados se a violação representar um alto risco para seus direitos e liberdades e forneça a eles informações claras e concisas sobre a violação e as medidas que podem tomar para se proteger. É sempre melhor estar seguro e mantê-los informados.
A Canva sofreu uma violação que expôs e-mails, nomes de usuário e senhas de cerca de 139 milhões de seus usuários, mas, felizmente, eles conseguiram resolver a situação rapidamente e tomar medidas para proteger sua comunidade. Eles conseguiram conter a violação e descobrir a extensão do comprometimento (ofereceram um programa gratuito de monitoramento de crédito) e notificaram os usuários e as autoridades em 72 horas.
Conclusão
A conformidade com o GDPR deve ser considerada um trabalho contínuo, não uma tarefa que se faz uma vez e pronto. Seguindo nossas etapas sugeridas, mantendo-se atualizado com os regulamentos e priorizando a proteção de dados, você pode construir confiança e mitigar riscos legais e financeiros.
Perguntas frequentes
-
O GDPR é um regulamento abrangente de proteção de dados na União Europeia. Se você coleta ou processa dados pessoais de pessoas na UE, é necessário estar em conformidade, não importa onde seu negócio de SaaS esteja localizado. A conformidade com o GDPR protege sua empresa de penalidades financeiras e danos à reputação.
-
O GDPR é baseado em sete princípios fundamentais: legalidade, justiça e transparência; limitação de propósito; minimização de dados; precisão; limitação de armazenamento; integridade e confidencialidade (segurança); e responsabilidade.
-
Embora não seja obrigatório ter um DPO, é recomendado, principalmente se você processa categorias de alto risco ou grandes quantidades de dados pessoais. Um DPO garante que a estratégia de proteção de dados da sua organização esteja alinhada com os requisitos do GDPR.
-
Caso ocorra uma violação de dados, você deve notificar os indivíduos afetados o mais rápido possível e quaisquer autoridades relevantes dentro de 72 horas. Ter um plano detalhado de resposta a violações ajudará a minimizar as consequências desses incidentes.
-
A não conformidade com o GDPR pode causar penalidades, incluindo multas de até € 20 milhões ou 4% do faturamento global anual da sua empresa (o que for maior). Também pode levar a danos à reputação e perda de clientes e sua confiança - é sempre melhor estar preparado!
-
Forneça notificações de privacidade claras descrevendo como você coleta, usa e protege os dados do usuário. Implemente mecanismos para que os usuários exerçam seus direitos de titular dos dados, como acesso, retificação e apagamento. Comunique consistentemente seu compromisso com a proteção de dados e conformidade com o GDPR.
-
Sim, existe! A parceria com um processador de pagamento terceirizado que também atua como um Merchant of Record (MoR), como o PayPro Global, pode simplificar seus esforços de conformidade. MoRs como o PayPro Global gerenciam uma ampla gama de responsabilidades de conformidade, incluindo disposições do GDPR relacionadas a dados de cobrança e pagamento de compradores, para que você possa se concentrar em suas principais operações de negócios com tranquilidade.
Pronto para começar?
Já passamos por isso. Vamos compartilhar nossos 18 anos de experiência e tornar seus sonhos globais uma realidade.