Glossário GDPR: Uma Análise para Pessoas Ocupadas

Publicados: 2018-02-16

Um princípio-chave do GDPR: apresente suas políticas de dados aos usuários sem “legalês”.

ENTÃO, POR QUE NOS DERAM 200 PÁGINAS DE JARGÃO DE DERRETIMENTO DE CÉREBROS PARA LER?

Passar pelo novo Regulamento Geral de Proteção de Dados é super importante.

Mas é tão divertido quanto assistir a um torneio de golfe em câmera lenta.

Então, aqui está um resumo do que todos esses termos legais significam – escritos em frases que você não vai adormecer no meio.

Sinta-se à vontade para CTRL+F para sair de uma dor de cabeça.

Definições

Regras corporativas vinculativas (BCRs) : Possui dados pessoais na UE? Deseja transferi-lo para pessoas em sua organização multinacional. fora da UE? BCRs são suas regras a seguir.

Dados biométricos : “Dados do corpo”. Se pode identificá-lo e tem a ver com traços físicos, fisiológicos ou comportamentais, é isso.

CONSENTIMENTO : Este é um grande problema. OBTER CONSENTIMENTO PARA USAR OS DADOS PESSOAIS DE ALGUÉM É COMPLICADO AGORA.

Tem que ser:

dado livremente
específico
afirmativo
explícito

Então… se você for enviar um e-mail para alguém, você precisa ter o consentimento dela para ser enviado por e-mail. Vai usar um cookie? Você precisa de consentimento específico para isso também.

Você pediu o consentimento das pessoas de forma independente. Você não pode agrupá-lo com a mesma caixa de seleção da sua política de privacidade.

E você não pode pré-marcar a caixa “Eu concordo com ____”. Eles têm que fazer isso sozinhos.

Você não pode escrever seu antiquado aviso “Este site usa cookies, por estar aqui, você está bem com isso” e esperar que ele voe.

As pessoas entenderam como você está usando os dados delas. Eles têm que lhe dar o OK para usá-lo dessa maneira.

Isso é muito.

Escrevemos mais sobre isso aqui.

Dados relativos à saúde : o que parece (graças a Deus).

Controlador de dados : Se você é um profissional de marketing, provavelmente é você. É a pessoa que solicita, coleta e usa dados pessoais, de qualquer forma. Se você processa, se armazena, se determina como os dados das pessoas serão usados - você é um controlador de dados. Parabéns!

Apagamento de dados: AKA: “Direito de ser esquecido”. Isso significa apenas que um titular de dados (pessoa humana) pode optar por apagar todos os dados que você possui. Eles dizem a palavra, e você precisa limpar os dados deles, parar de usá-los e parar de divulgar (bruto), de qualquer maneira.

Portabilidade de dados : se alguém vier até você e disser “Ei, quero uma cópia de todos os dados que você tem sobre mim” – você deve dizer “claro, aqui está”. E você precisa passar a eles uma cópia desses dados em um formato que eles possam facilmente passar para outra pessoa. (Mais informações sobre que mora aqui)

Processador de dados : tudo o que você (o controlador de dados) usa para coletar e processar dados. Muitas de suas ferramentas de marketing são processadores de dados (pense, ferramentas de análise, ferramentas de teste A/B, plugins e similares).

Autoridade de Proteção de Dados : As pessoas assustadoras que vão garantir que você siga as regras. Estas são autoridades nacionais encarregadas de proteger os dados e a privacidade – e monitorar a aplicação do GDPR na UE.

Data Protection Officer : Alguém que você deve nomear para lidar com toda essa loucura de regulamentação se você for uma empresa com mais de 250 pessoas (mas, para ser honesto, o GDPR não pode realmente decidir qual deve ser esse número). Este é um especialista em privacidade de dados que trabalhará com você de forma independente e o manterá alinhado com o GDPR.

Titular dos Dados : Humano—que tem dados, que você tem, vê ou usa.

Atos Delegados : Divertidas “leis de bônus” que complementam as já existentes, a fim de fornecer mais clareza ou critérios. Espere um monte deles de nações independentes da UE avançando.

Derrogação : Excepções às leis!

Diretiva : Esta é a lei que estabelece um “objetivo” para todos os países da UE. Em seguida, cada país cria suas próprias leis nacionais para atingir esse objetivo.

Dados criptografados : Mais ou menos: você protege os dados pessoais confundindo tudo. A criptografia de dados garante que apenas pessoas com acesso especificado possam acessar ou ler os dados armazenados. No que diz respeito às medidas de segurança, é uma ideia muito boa.

Empresa : Qualquer coisa envolvida em uma atividade econômica – independentemente de sua “forma legal”. Então, pessoas, organizações, associações, você escolhe. Qualquer um que faz ou mexe com dinheiro.

Sistema de arquivamento : o GDPR se aplica em dois lugares: em sistemas automatizados (armazenamento de coisas no computador e em bancos de dados) ou, para cópias impressas, em “sistemas de arquivamento relevantes”. Um sistema de arquivamento é “relevante” se puder ser pesquisado ou acessado por critérios específicos – como nome, número de identificação, número de telefone etc.)

Portanto, se você despejar todos os seus dados de RH em caixas não marcadas e desorganizadas, provavelmente não precisará se preocupar com os dados do GDPR. Você só deveria se preocupar com eles, porque você sabe, todos os outros motivos.

Dados genéticos : O site oficial da UE define isso, mas vamos lá. Você sabe o que é genética.

Grupo de Empreendimentos : Há muita jurisprudência a ser analisada para entender o que é um “empreendimento” – mas mais ou menos se resume a isso: um empreendimento é quando uma empresa tem controle sobre outra empresa. E controle, neste caso, significa a capacidade de exercer “influência decisiva”.

Exemplo: uma controladora tem participação majoritária em uma subsidiária. Supõe-se que eles possam exercer o controle. Isso é um empreendimento.

E um grupo de empresas é um grupo dessas.

Estabelecimento principal : Isso mais ou menos tem a ver com onde a supervisão é aplicada. É o local dentro do sindicato onde são tomadas as decisões em torno do processamento de dados. Ou seja, se você processa seus dados na Alemanha, mesmo se estiver em outro lugar, seu “estabelecimento principal” fica na Alemanha.

DADOS PESSOAIS : OUTRO GRANDE. Dados pessoais são quaisquer informações relacionadas a uma pessoa e que podem ser usadas para identificá-la. Isso inclui dados que podem identificá-los indiretamente ou identificá-los quando combinados com outros dados recebidos.

Isso é diferente de PII (informações de identificação pessoal) . E é uma definição mais estrita do que realmente vimos antes.

Aqui está um detalhamento completo:

Dados de identificação pessoal (PII)

Dados pessoais

Nome completo (se não for comum)
Endereço residencial
Endereço de email
Número de Identificação Nacional
Número do Passaporte
Número da placa do veículo
Número da carteira de motorista
Rosto, impressões digitais ou caligrafia
Números de cartão de crédito
Identidade digital
Data de nascimento
Local de nascimento
Informação genética
Número de telefone
Nome de login, nome de tela, apelido ou identificador

Nome completo (se não for comum)
Endereço residencial
Endereço de email
Número de Identificação Nacional
Número do Passaporte
Número da placa do veículo
Número da carteira de motorista
Rosto, impressões digitais ou caligrafia
Números de cartão de crédito
Identidade digital
Data de nascimento
Local de nascimento
Informação genética
Número de telefone
Nome de login, nome de tela, apelido ou identificador

Endereço de IP
Identificadores exclusivos, como IDs de dispositivos, UserID, TransactionID, CookieID
Dados pseudônimos (são dados irreconhecíveis + chave em local diferente para torná-lo legível novamente)

Violação de dados pessoais : um grande “oops”. É sempre que alguém pode acidentalmente ou ilegalmente acessar, destruir ou usar indevidamente os dados pessoais que você armazenou. De acordo com o GDPR, você deve informar todos os seus titulares de dados sobre um deles em 72 horas.

Privacidade por Design : Pare de procrastinar. Quando você cria um sistema que lida com dados – uma interface, um site, qualquer coisa – você deve pensar na proteção de dados ANTES de começar. Ele deve ser projetado com os direitos de dados em mente. Eles não devem ser uma edição de última hora.

Avaliação do Impacto na Privacidade : Uma coisa que você (junto com seu Encarregado de Proteção de Dados) deve fazer! Basicamente, isso é apenas uma auditoria para possíveis riscos de privacidade. Significa dar uma olhada em seus dados pessoais, como eles são processados e o que você está fazendo agora para protegê-los.

Processamento : QUALQUER COISA que você faz com dados pessoais - manual ou automaticamente. Coletando-o, gravando-o, usando-o. Os dados pessoais piscam na tela e são processados.

Criação de perfil : Se você automatizar dados pessoais e analisá-los para prever o comportamento de alguém (específico), isso conta como criação de perfil.

Pseudonimização – Você tem dados pessoais. Você os processa de uma maneira em que não pode mais atribuí-los a um titular de dados - pelo menos, não sem alguma outra informação mantida separadamente. O exemplo clássico é a substituição de dados identificáveis por um valor reversível e consistente – como uma sequência de números aleatórios – que podem ser posteriormente “desbloqueados” e reatribuídos.

Isso é diferente de dados realmente anonimizados: em que a informação identificável é totalmente destruída.

Quais técnicas “contam” como pseudonimização no GDPR ainda não foram determinadas, e há muita área cinzenta sobre que tipo de dados conta como “provável de ser identificado” ou “razoavelmente provável” de ser identificado.

Mas existem alguns incentivos extravagantes do GDPR para pseudonimizar seus dados pessoais. Pode encontrá-los no considerando 29.

Por exemplo, quando você coleta seus dados pessoais padrão e regulares, você só pode usá-los por motivos explicitamente “aprovados” pelo titular dos dados. Mas com a pseudonimização, você tem um pouco mais de margem de manobra sobre como processar os dados, mesmo que sejam para fins diferentes daqueles para os quais foram coletados originalmente.

Destinatário – Uma pessoa a quem os dados pessoais são divulgados.

Regulamento – Lei, que é vinculativa e aplicável em toda a UE.

Representante – Se as pessoas que supervisionam a conformidade com o GDPR precisarem chamar os controladores de dados (ou seja, sua empresa) para resolver as preocupações, eles abordam seus representantes. Os representantes precisam estar na União e explicitamente designados para a tarefa.

Direito de ser esquecido : Veja Apagamento de dados, acima.

Direito de Acesso / Direito de Acesso do Sujeito : Se você tiver os dados pessoais de alguém, eles podem solicitar acesso a eles. Você tem que ser capaz de dar a eles.

Autoridade Supervisora : Cada estado membro da UE nomeará uma autoridade pública para supervisionar a conformidade com o GDPR. Essa é uma autoridade supervisora (mas você também pode saber disso como DPA ou Autoridade de Proteção de Dados).

Trólogos – Depois de todos terem lido o primeiro rascunho da proposta de legislação, a Comissão Europeia, o Parlamento Europeu e o Conselho da UE reúnem-se informalmente para negociar. Essas reuniões são chamadas de trílogos e são realizadas para que um texto de compromisso possa ser adotado rapidamente.

Acrônimos:

BCRs : Regras Corporativas Vinculantes (veja acima)

CFR : A Carta dos Direitos Fundamentais da União Europeia

TJEU : o Tribunal de Justiça da União Europeia.

DPA : Autoridade de Proteção de Dados (consulte Autoridade de Supervisão)

DPO : Diretor de Proteção de Dados

CEDH : Convenção Europeia dos Direitos Humanos.

EDPB : Conselho Europeu de Proteção de Dados

DEPS : Supervisor Europeu de Proteção de Dados

EEE : Espaço Econômico Europeu (os 28 estados membros da UE, além da Islândia, Liechtenstein e Noruega)

TFUE : Tratado sobre o Funcionamento da União Europeia.

WP29 : Grupo de Trabalho Artigo 29. Era um conselho consultivo a nível da UE, composto por DPAs nacionais. Mas o EDPB o substituiu mais ou menos sob o GDPR.