A Salesforce permanece comprometida a ajudar nossos clientes a cumprir o GDPR por meio de nossas proteções de privacidade e segurança robustas. Promulgada em 25 de maio de 2018, a lei de privacidade intitulada Regulamento geral de proteção de dados (GDPR) amplia os direitos de privacidade de indivíduos da União Europeia (UE) e impõe novas obrigações a todas as organizações que comercializam, rastreiam ou tratam dados pessoais na UE.
O que é GDPR?
GDPR é uma lei de proteção de dados abrangente da UE que moderniza as leis existentes a fim de reforçar a proteção de dados em função dos rápidos avanços tecnológicos, da globalização crescente e de fluxos internacionais de dados pessoais mais complexos. Ela substitui o emaranhado de leis nacionais de proteção de dados atualmente em vigor por um único conjunto de regras, aplicáveis diretamente em cada Estado-membro da UE.
O GDPR regulamenta o processamento, que inclui coleta, armazenamento, transferência ou uso, de dados pessoais de indivíduos da UE. Toda organização que processa dados pessoais de indivíduos da UE, incluindo o rastreamento de suas atividades online, estão incluídas na lei, independentemente de a organização ter presença física na UE. Vale ressaltar que, de acordo com o GDPR, o conceito de "dados pessoais" é amplo e abrange qualquer informação relacionada a um indivíduo identificado ou identificável (também chamado "sujeito de dados").
Requisitos de medidas e relatórios de segurança
As organizações devem utilizar medidas de segurança técnicas e organizacionais apropriadas para proteger dados pessoais contra processamento não autorizado e divulgação, acesso, perda, destruição ou alteração acidentais. Dependendo do caso de uso específico e dos dados pessoais processados, recomenda-se, e, em alguns casos, é obrigatório, o uso de segregação, criptografia, pseudonimização e anonimização de dados para ajudar a proteger dados pessoais.
É importante observar que, de acordo com o GDPR, os controladores de dados devem relatar qualquer violação de dados à sua autoridade de proteção de dados assim que possível, e dentro de até 72 horas após tomar conhecimento da violação, a menos que seja improvável que a violação resulte em qualquer prejuízo aos sujeitos de dados. Se houver um alto risco de prejuízo, os controladores de dados devem relatar as violações de dados aos sujeitos de dados assim que possível. Os processadores de dados também devem notificar os controladores de dados sobre violações de dados assim que possível.
Que medidas de segurança eu preciso implementar em decorrência do GDPR?
Criptografia
Embora não seja obrigatória, a lei recomenda a criptografia como forma eficaz de ajudar a garantir a segurança e a confidencialidade de dados pessoais.
Pseudonimização
O GDPR recomenda que as organizações usem a pseudonimização como medida baseada em riscos para proteger a segurança dos dados e os direitos dos indivíduos.
Anonimização
Sendo uma etapa superior à pseudonimização, anonimizar dados é a forma mais segura de proteger dados pessoais. Para que possam ser considerados verdadeiramente anônimos, não deve ser possível identificar qualquer indivíduo a partir dos dados, por meio de qualquer processamento adicional ou da combinação dos dados com outras informações.
Responsabilidade
De acordo com o GDPR, o controlador de dados é responsável por implementar medidas para garantir que os dados pessoais que ele controla sejam tratados em conformidade com os princípios do GDPR. Isso inclui designar um responsável pela proteção de dados, impor obrigações contratuais aos processadores e aplicar os princípios de "privacidade desde a concepção" e "privacidade por padrão". Além disso, o controlador de dados deve ser capaz de demonstrar conformidade, inclusive por meio do registro de atividades de processamento e da realização de avaliações de impacto de privacidade.
Trailhead da UE: Conheça o GDPR e como cumpri-lo
Faça o módulo Fundamentos da lei de privacidade da UE para aprender os principais princípios do GDP e como implementar um programa de conformidade com o GDPR.
Trailhead da EUA: Conheça as leis de privacidade dos EUA e como cumpri-las
Faça o módulo Fundamentos da lei de privacidade dos EUA e saiba mais sobre a proteção de privacidade nos EUA em saúde, finanças e legislação estadual.
Lei de privacidade do consumidor da Califórnia
A Lei de privacidade do consumidor da Califórnia ("CCPA") é uma lei de privacidade abrangente que entrou em vigor em 1º de janeiro de 2020. Apesar de acreditarmos na necessidade de uma lei federal de privacidade para que a privacidade de um indivíduo não dependa de seu código postal, apoiamos a CCPA como sendo um passo adiante no sentido de constituir os requisitos de proteção de dados nos Estados Unidos e uma oportunidade para a Salesforce continuar reforçando seu compromisso com a privacidade e a proteção de dados.