O que é GDPR?
GDPR é uma lei de proteção de dados abrangente da UE que moderniza as leis existentes a fim de reforçar a proteção de dados em função dos rápidos avanços tecnológicos, da globalização crescente e de fluxos internacionais de dados pessoais mais complexos. Ela substitui o emaranhado de leis nacionais de proteção de dados atualmente em vigor por um único conjunto de regras, aplicáveis diretamente em cada Estado-membro da UE.
O GDPR regulamenta o processamento, que inclui coleta, armazenamento, transferência ou uso, de dados pessoais de indivíduos da UE. Toda organização que processa dados pessoais de indivíduos da UE, incluindo o rastreamento de suas atividades online, estão incluídas na lei, independentemente de a organização ter presença física na UE. Vale ressaltar que, de acordo com o GDPR, o conceito de "dados pessoais" é amplo e abrange qualquer informação relacionada a um indivíduo identificado ou identificável (também chamado "sujeito de dados").
Requisitos de medidas e relatórios de segurança
As organizações devem utilizar medidas de segurança técnicas e organizacionais apropriadas para proteger dados pessoais contra processamento não autorizado e divulgação, acesso, perda, destruição ou alteração acidentais. Dependendo do caso de uso específico e dos dados pessoais processados, recomenda-se, e, em alguns casos, é obrigatório, o uso de segregação, criptografia, pseudonimização e anonimização de dados para ajudar a proteger dados pessoais.
É importante observar que, de acordo com o GDPR, os controladores de dados devem relatar qualquer violação de dados à sua autoridade de proteção de dados assim que possível, e dentro de até 72 horas após tomar conhecimento da violação, a menos que seja improvável que a violação resulte em qualquer prejuízo aos sujeitos de dados. Se houver um alto risco de prejuízo, os controladores de dados devem relatar as violações de dados aos sujeitos de dados assim que possível. Os processadores de dados também devem notificar os controladores de dados sobre violações de dados assim que possível.
Que medidas de segurança eu preciso implementar em decorrência do GDPR?
Embora não seja obrigatória, a lei recomenda a criptografia como forma eficaz de ajudar a garantir a segurança e a confidencialidade de dados pessoais.
O GDPR recomenda que as organizações usem a pseudonimização como medida baseada em riscos para proteger a segurança dos dados e os direitos dos indivíduos.
Sendo uma etapa superior à pseudonimização, anonimizar dados é a forma mais segura de proteger dados pessoais. Para que possam ser considerados verdadeiramente anônimos, não deve ser possível identificar qualquer indivíduo a partir dos dados, por meio de qualquer processamento adicional ou da combinação dos dados com outras informações.
De acordo com o GDPR, o controlador de dados é responsável por implementar medidas para garantir que os dados pessoais que ele controla sejam tratados em conformidade com os princípios do GDPR. Isso inclui designar um responsável pela proteção de dados, impor obrigações contratuais aos processadores e aplicar os princípios de "privacidade desde a concepção" e "privacidade por padrão". Além disso, o controlador de dados deve ser capaz de demonstrar conformidade, inclusive por meio do registro de atividades de processamento e da realização de avaliações de impacto de privacidade.
Faça o módulo Fundamentos da lei de privacidade da UE para aprender os principais princípios do GDP e como implementar um programa de conformidade com o GDPR.
Faça o módulo Fundamentos da lei de privacidade dos EUA e saiba mais sobre a proteção de privacidade nos EUA em saúde, finanças e legislação estadual.
Lei de privacidade do consumidor da Califórnia
A Lei de privacidade do consumidor da Califórnia ("CCPA") é uma lei de privacidade abrangente que entrou em vigor em 1º de janeiro de 2020. Apesar de acreditarmos na necessidade de uma lei federal de privacidade para que a privacidade de um indivíduo não dependa de seu código postal, apoiamos a CCPA como sendo um passo adiante no sentido de constituir os requisitos de proteção de dados nos Estados Unidos e uma oportunidade para a Salesforce continuar reforçando seu compromisso com a privacidade e a proteção de dados.
Relatar um problema de segurança
Como provedora líder de software como serviço e plataforma como serviço, a Salesforce está comprometida em definir os padrões de proteção para nosso ambiente e os dados dos clientes. Colabore conosco relatando qualquer problema de segurança.