+55.11.2366.2574
Inicial
SOBRE A WSI
PORQUE WSI? Não acreditamos em estratégias únicas de marketing digital que atendem a todos.
A HISTÓRIA DA WSI Somos a maior rede de marketing digital do mundo.
LIDERANÇA Conheça nossos Líderes. Podemos apresentá-los a eles se desejar.
PREMIOS Temos orgulho dos premios conquistados.
BR - Over 25 Years Seal (WEB)-1
Serviços
LEADS E VENDAS Gere leads de qualidade para que se tornem clientes.
DESIGN DE SITES Transforme o seu site em um gerador de leads para a sua empresa.
REPUTAÇÂO ONLINE Torne seus clientes promotores da sua marca e seus maiores fãs.
CONHECIMENTO DA MARCA Seja encontrado pelos seus clientes com uma abordagem estratégica e bem direcionada.
CONHEÇA NOSSOS SERVIÇOS DE MARKETING DIGITAL

Interessado em serviços de marketing digital?

Não procure mais, a WSI pode ajudar!

VAMOS FALAR DE MARKETING

HISTÓRIA DE CLIENTES
CASOS DE SUCESSO Conheça alguns casos de sucesso dos nossos clientes.
TESTEMUNHOS Saiba o que nossos clientes comentam sobre o nosso trabalho.
sunsweet-making-a-difference-featured

Sendo um diferencial na vida dos nossos clientes

Influenciamos, de forma positiva, a vida de nossos clientes, muito além da simples emissão de relatórios dos resultados.

SAIBA COMO

NOSSOS PROFISSIONAIS
ALAVANCANDO NOSSA EXPERIÊNCIA GLOBAL Com escritórios em mais de 80 países, estamos na frente com as novidade do marketing digital.
ENTREGAMOS RESULTADOS NO MERCADO LOCAL Nossa experiência global contribui para gerar mais resultados para nossos clientes em seus mercados locais.

Precisa de algum conselho sobre marketing digital?

Agenda uma conversa com um especialista!

MARQUE UMA CONVERSA SOBRE SUA ESTRATÉGIA DIGITAL

ENTRE EM CONTATO
Blog
Marketing Strategy

Responsabilidades de um controlador, processador e profissional de proteção de dados

| 16 Minutos Para Ler
Monpi Neog Lobo
Monpi Neog Lobo WSI, Content Marketing Specialist
Image of lock with icons behind it.
Resumo: Controlador de dados ou processador de dados: quem é o afetado e quando uma empresa precisa contratar um especialista em proteção de dados? Leia mais a seguir.

Nota do editor: este blog foi publicado, originalmente, em março de 2018 e foi atualizado com conteúdo adicional em dezembro de 2020.

As notícias sobre o novo Regulamento Geral de Proteção de Dados (GDPR) da União Europeia – no Brasil chama-se Lei Geral de Proteção de Dados (LGPD) e entrou em vigor em 2020 - estava ganhando força conforme se aproximava a data em que entrou em vigor, em 25 de maio de 2018. Um dos elementos mais discutidos dessa lei são as novas diretrizes que ela estabeleceu para controladores e processadores de dados. Embora a GDPR mantenha algumas das obrigações que a Diretiva de Proteção de Dados impõe a ambas as partes envolvidas, também introduziu algumas obrigações novas. Neste blog, discutiremos as responsabilidades do profissional responsável pelo processamento de dados e do controlador desses dados que a GDPR delegou a cada um. Também forneceremos insights sobre como uma empresa pode começar a se preparar para estar pronta para o GDPR, sejam as atividades conduzidas por um profissional um controlador de dados ou um processador dos dados. A LGPD, em vigor no Brasil, tem muita similaridade com a GDPR, então consideramos a leitura desse blog pertinente. No entanto, recomendamos também a leitura de material próprio emitido pela WSI no Brasil, como o seu ebook sobre a LGPD e um Manual sobre LGPD, que apresentamos no final desse blog.

gdpr-768x512Quem é o Controlador de Dados? Qual é a definição de um Processador de Dados?

No mundo digital atual, a coleta e o armazenamento de dados é algo que ocorre com frequência e, logo, é muito mais uma norma do que uma exceção. As empresas podem coletar dados individuais para fins publicitários, de marketing, analíticos ou de pesquisa. Cada vez que uma empresa coleta e processa os dados pessoais de um indivíduo, ela o faz como um ‘controlador’ ou um ‘processador’ desses dados. No Capítulo 1, Artigo 4 da GDPR, a definição de cada um é:

‘Controlador’ é “uma pessoa física ou jurídica, autoridade pública, agência ou outro órgão que, sozinho ou em conjunto com outros, determina os fins e os meios do tratamento de dados pessoais.”

‘Processador’ refere-se a “uma pessoa física ou jurídica, autoridade pública, agência ou outro órgão que processa dados pessoais em nome do controlador”.

Se uma empresa controla e é responsável pelos dados pessoais que mantém, ela é o controlador desses dados. Se, por outro lado, alguém detém os dados pessoais, mas alguma outra empresa decide e é responsável pelo que acontece com esses dados, então essa outra empresa é o processador desses dados.

Controlador de Dados e Processador de Dados: quem é afetado pela GDPR?

A resposta é ambas. De acordo com a Diretiva de Proteção de Dados 95/46 / EC, apenas os controladores são responsáveis pelo não cumprimento com a proteção dos dados. No entanto, o Regulamento Geral de Proteção de Dados da UE (GDPR) busca um equilíbrio entre os dois, ao atribuir obrigações diretas também aos processadores de dados.

De acordo com o artigo 83, em caso de não conformidade, as multas podem ser aplicadas tanto aos controladores quanto aos processadores. Essas multas devem ser impostas considerando o "grau de responsabilidade do controlador ou do processador, levando em consideração as responsabilidades técnicas e organizacionais implementadas por eles".

Isso representa uma mudança significativa e aumentará drasticamente o perfil de risco para as empresas que atuam como provedores de nuvem e data centers, que atuam como processadores de dados para terceiros. No entanto, o impacto também será sentido pelos controladores que contratam esses serviços, pois o aumento do custo de conformidade pode levar a um consequente aumento no custo dos serviços desses processadores de dados. Os controladores também terão que ficar bastante atentos à atuação dos processadores de dados, com os quais trabalham, para garantir que as devidas responsabilidades técnicas e operacionais necessárias, para cumprir com a GDPR, estão sendo atendidas.

Quais são as Responsabilidades do Controlador de Dados?

Agora que sabemos que ambos, tanto o controlador de dados quanto o processador de dados, compartilharão as obrigações de proteção dos dados, vamos aprofundar um pouco nas responsabilidades de cada um.

O controlador de dados é o principal responsável pela coleta de dados. Essas responsabilidades do controlador incluem: obter o consentimento do indivíduo, armazenar os respectivos dados, gerenciar a revogação do consentimento dado pelo indivíduo, permitir o direito de acesso, etc. Ele deve ser capaz de demonstrar conformidade com os princípios relativos ao processamento de dados pessoais. Esses princípios estão listados na GDPR como "legalidade, justiça e transparência, limitação de dados pessoais, precisão, limitação e integridade do armazenamento desses dados pessoais e confidencialidade de dados pessoais".

O GDPR fornece detalhes adicionais sobre como as empresas podem demonstrar que suas atividades de processamento de dados estão em conformidade com essa legislação.

Se um indivíduo revogar seu consentimento, o controlador será responsável por dar início ao processo para atender à esta solicitação. Portanto, ao receber esta solicitação do terceiro, será necessário comunicar ao processador de dados a necessidade de remover os dados solicitados de seus servidores.

Se houverem várias empresas envolvidas, que compartilham as responsabilidades de controlador do processamento de dados pessoais, a GDPR da UE reconhece a existência de um controlador conjunto. O controlador conjunto, por sua vez, é quem determina as respectivas responsabilidades de cada controlador e firma esse entendimento em contrato com as partes. Ele também é quem fornece o contrato aos titulares dos dados, definindo os meios de comunicação com os processadores e um único ponto de contato. A GDPR torna os controladores conjuntos totalmente responsáveis.

A Diretiva dessa lei, isenta os responsáveis pelos danos causados em casos de força maior ou caso fortuito que os impeçam de cumprir o seu acordo contratual. O GDPR não contém essa isenção, logo os controladores podem ser obrigados a assumir o risco em casos de força maior.

O controlador terá que registrar todas as violações de dados ocorridas. Eles são obrigados a divulgar quaisquer violações de dados às autoridades responsáveis ​​pelo cumprimento da GDPR. Uma vez que o prazo para relatar violações de dados é de 72 horas, provavelmente será extremamente desafiador para um controlador de dados atender esse prazo. Os especialistas recomendam as empresas a nomearem uma pessoa para assumir a responsabilidade de revisar e relatar as violações de dados, quando ocorridas, e essa pessoa também será responsável por implementar políticas e procedimentos claros de como essas violações de dados devem ser reportadas.

Recomenda-se que o controlador trabalhe apenas com processadores de dados que possuem capacitação técnica e organizacional adequadas para atender às diretrizes da GDPR. Em outras palavras, os controladores de dados, ou seja, os clientes de processadores de dados devem escolher apenas processadores que assegurem o cumprimento com a GDPR para evitarem risco de multas.

À medida que as autoridades apliquem penalidades aos controladores por falta de verificação adequada, os processadores de dados podem se ver obrigados a obter certificações de conformidade independentes para tranquilizar os controladores que desejam fazer uso de seus serviços. Eles podem precisar também introduzir medidas para proteger os dados, como criptografia e pseudonimização, estabilidade e tempo de atividade, backup e recuperação de desastres e testes de segurança contínuas. É provável que os processadores de dados localizados fora da UE não vão aderir à essas novas obrigações, tornando bem mais difícil para os controladores escolherem os processadores que estejam em conformidade com a legislação em vigor, e por isso resultando em negociações mais complexas de acordos de terceirização.

O que um Processador de Dados precisa fazer em Cumprimento com a GDPR?

O processador de dados está proibido de usar os dados pessoais que são lhe dado acesso para fins diferentes dos indicados pelo controlador de dados. No final do contrato de serviço, mediante solicitação, o processador de dados deve excluir ou devolver todos os dados pessoais ao controlador.

O processador de dados pode transferir dados pessoais para um terceiro país somente após receber autorização legal.

Por sua vez, antes de contratar algum subcontratado, ele deve obter permissão por escrito do controlador. Ele assumirá também total responsabilidade por eventuais falhas dos subcontratados no cumprimento da GDPR.

O processador de dados deve habilitar e colaborar com as auditorias de conformidade a serem executadas pelo controlador ou por um representante do controlador.

Se houver violação de dados, o processador desses dados deve notificar os controladores de dados sem atrasos não justificados.

Um processador de dados é ainda obrigado a manter um registro das atividades de processamento de dados caso o processador se qualifique em um ou mais dos seguintes casos:

  • Emprega 250 ou mais pessoas
  • Processa dados que “podem resultar em risco para os direitos e liberdades dos titulares dos dados”
  • Processa dados mais do que ocasionalmente
  • Processa categorias especiais de dados, conforme descrito no Artigo 9 (1)
  • Processa dados relativos a condenações criminais

Os processadores de dados também precisarão revisar os acordos de processamento de dados existentes para garantir que cumpriram suas obrigações em conformidade com a GDPR.

Quem é obrigado a nomear um Oficial de Proteção de Dados (OPD)?

A nomeação de um “Oficial de Proteção de Dados” (OPD), ou (‘Data Protection Officer’ - DPO), em empresas que processam dados pessoais, tem sido obrigatório em apenas alguns países e/ou considerada apenas como melhores práticas em outros. No entanto, a GDPR tornou a nomeação de um OPD obrigatória nas empresas, independentemente do seu tamanho ou se estão processando dados pessoais e atuando como controlador ou processador de dados em apenas determinadas circunstâncias.

De acordo com a GDPR (Artigo 37), existem três cenários principais onde a nomeação de um OPD por um controlador de dados ou um processador de dados é obrigatória:

  1. O processamento é feito por entidade pública;
  2. As atividades principais do controlador ou processador de dados consistem em operações de processamento de dados que requerem o processamento regular e sistemático dos dados em grande escala; ou
  3. As atividades principais do controlador ou processador de dados consistem no processamento em grande escala de dados sensíveis ou dados relativos a condenações / ofensas criminosas

As atividades principais mencionadas aqui se referem às principais atividades operacionais de um controlador ou processador de dados. Isso não inclui atividades de apoio, como folha de pagamento ou suporte de TI, que são funções auxiliares.

As organizações levam em consideração uma série de fatores ao determinar se seu processamento é em "grande escala". Esses incluem:

  1. o número de titulares processando os dados;
  2. o volume de dados ou gama de itens de dados;
  3. a duração do processamento; e
  4. a extensão geográfica do processo.

O monitoramento regular e sistemático inclui todas as formas de rastreamento e criação de perfil na Internet. No entanto, não está restrito ao ambiente online e também pode incluir atividades offline. O monitoramento 'regular' significa em andamento ou ocorrendo em intervalos específicos por um período específico; recorrente ou repetido em horários fixos ou ocorrendo constantemente ou periodicamente. Monitoramento 'sistemático' refere-se ao monitoramento que acontece de acordo com um sistema, pré-programado, organizado ou metódico, ocorrendo como parte de um plano geral de coleta ou acúmulo de dados, ou realizado como parte de uma estratégia.

Também é importante observar que, se uma organização não atender aos requisitos da GDPR, mas, em vez disso, decidir nomear um OPD, voluntariamente, os mesmos requisitos que se aplicam aos OPDs obrigatórios ainda serão exigidos. Se uma organização decidir não nomear um OPD, é aconselhável documentar essas razões claramente.

Qualificações de um Oficial de Proteção de Dados

Embora a GDPR não especifique as exatas credenciais de um Oficial de Proteção de Dados, entende-se que um Oficial de Proteção de Dados deva ter experiência profissional suficiente e conhecimento profundo da legislação de proteção de dados. Convém que essa experiência seja proporcional ao tipo de processamentos de dados que a empresa realiza e ao nível de proteção que os dados pessoais exigem.

Exoneração de responsabilidade: observe que neste blog fornecemos informações básicas sobre a GDPR. A WSI não é uma autoridade legal para a GDPR e só pode oferecer conselhos sobre as práticas recomendadas a serem seguidas ao realizar qualquer iniciativa de marketing digital. No entanto, para obter orientação sobre a interpretação jurídica desta lei, aplicável ao seu negócio, entre em contato com um consultor jurídico ou especialista em proteção de dados.

Quais são os 7 princípios do Regulamento geral de proteção de dados (GDPR)?

A forma como as empresas acumulam, armazenam e usam dados pessoais é regida pelas regras e regulamentações da GDPR. As diretrizes estipuladas pela GDPR incluem:

1. Legalidade, justiça e transparência

A transparência total no que diz respeito à divulgação de como os dados são usados é obrigatória para todas as organizações no Reino Unido. Caso o titular dos dados solicite mais informações sobre como seus dados são armazenados, usados e distribuídos, elas devem ser divulgadas a eles dentro de um período de tempo especificado, conforme estipulado pela GDPR.

2. Limitação de propósito

As empresas devem divulgar as razões pelas quais estão usando as informações do titular dos dados e elas só podem ser usadas, armazenadas e processadas para esse fim e apenas para esse fim, a menos que seja estipulado e acordado de outra forma pelo titular dos dados. No entanto, isso não se aplica estritamente às informações coletadas para fins científicos, estatísticos ou históricos.

3. Limitação dos Dados

Como o nome sugere, apenas os dados necessários para os fins para os quais foram coletados podem ser usados. Em outras palavras, os dados coletados não devem ser armazenados em circunstâncias onde "talvez venha a ser usado". Deve ser solicitado e usado como e quando necessário, de acordo com os requisitos da empresa. Qualquer informação adicional mantida além disso é considerada ilegal.

4. Acuracidade

A exatidão das informações é fundamental para cumprir os regulamentos estipulados pela GDPR. Os titulares dos dados também têm o direito de solicitar que as informações incorretas sejam excluídas em até 30 dias se as informações estiverem incorretas, incompletas ou desatualizadas.

5. Limitação de armazenamento dos dados

Os dados só devem ser armazenados enquanto as informações forem necessárias à empresa para o propósito para o qual foi planejado. Deve haver uma estrutura para fins de revisão para assegurar que as informações desatualizadas sejam eliminadas do sistema. Isso não se aplica a dados armazenados para fins históricos ou estatísticos.

6. Integridade e Confidencialidade

As empresas devem assegurar que as informações pessoais dos titulares dos dados sejam protegidas em todos os momentos. Isso dá segurança quanto a capacidade da empresa de manusear dados pessoais com integridade e dá aos titulares dos dados paz de espírito quanto as suas informações pessoais não serem divulgadas online ou acessadas por hackers que usam malware e métodos de phishing para obterem dados ilegalmente.

7. Responsabilidade

A responsabilidade vem antes da transparência. Isso significa que as empresas devem ser capazes de demonstrar que tomaram as medidas necessárias e seguiram as diretrizes estipuladas pela GDPR, garantindo que atendem ao princípio da transparência.

Algumas dessas diretrizes de tratamento de dados incluem a implementação e avaliação das diretrizes da GDPR, a nomeação de um supervisor responsável pela proteção de dados, bem como a garantia de que o consentimento necessário seja obtido em todos os momentos para fins de processamento de dados.

Algumas perguntas importantes sobre a gestão dos dados

Google é um Controlador de Dados?

O Google controla os dados mas não é um processador de dados. Isso significa que os dados não precisam ficar armazenados e podem ser apagados a qualquer momento, dependendo dos contratos que o Google tiver com seus parceiros terceirizados. Uma empresa está, portanto, implicitamente vinculada a essas diretrizes, se for um terceiro que coleta e armazena esses dados.

Qual é a função do processador de dados?

O processador de dados assimila e compila os dados coletados e os processa sob a orientação e autoridade do controlador de dados, com o objetivo final de obter clareza sobre a atuação da empresa no digital.

Qual é a diferença entre um controlador de dados e processador de dados?

O processador de dados fica sob a responsabilidade do controlador de dados e geralmente é um terceiro que é contratado para processar os dados em nome do controlador de dados que, por sua vez, controla para que fins as informações são utilizadas.

Qual é a função do controlador de dados?

O controlador de dados, principalmente, supervisiona como os dados são usados, controla e supervisiona as funções do processador de dados e garante que os dados sejam usados, armazenados e processados de acordo com as diretrizes da GDPR.

Eles também supervisionam o processo para obtenção do consentimento para captação dos dados e que permite o uso desses dados para os fins necessários. Eles determinam como os dados devem ser usados e quais dados específicos são necessários para cumprir a finalidade e os objetivos da organização.

Um controlador de dados controlará como os dados são coletados dos titulares desses dados, garantirá que o consentimento necessário seja obtido dos usuários e nomeará um oficial de proteção de dados para garantir que todas as informações permaneçam confidenciais, conforme a GDPR.

Quem pode ser um controlador de dados GDPR?

O controlador de dados pode ser qualquer pessoa física, empresa ou outro órgão autorizado responsável pelo modo como os dados são controlados; eles determinam para que os dados são usados e é a pessoa (geralmente o gerente ou proprietário do site) à qual o processador de dados se reporta.

Por quanto tempo uma empresa pode manter meus dados?

O período de tempo em que os dados podem ser mantidos por uma empresa é determinado pelo proprietário desses dados. Eles podem solicitar o apagamento completo de seus dados a qualquer momento, e a empresa deve cumprir.

O lugar do controlador de dados

Há uma hierarquia e um lugar em que o controlador de dados se posiciona e que, à primeira vista, pode parecer que seja no topo da estrutura de uma empresa. Normalmente e em um mundo perfeito, você teria os controladores de dados no topo da estrutura hierarquia de uma empresa, como um papel proeminente no Conselho Europeu de Proteção de Dados. Abaixo dele, estariam as autoridades de supervisão que se enquadram como as Autoridades de Proteção de Dados, e abaixo disso, os processadores de dados.

No entanto, estabelecer a posição de um controlador de dados não é tão simples, pois a função do controlador de dados tem muitos chapéus. Por exemplo, eles também podem (se necessário) processar dados. Dessa forma, nos parece mais apropriado que o topo da estrutura hierárquica pode e deve pertencer efetivamente aos titulares dos dados, uma vez que os seus direitos e a sua proteção é o que é da maior importância para a GDPR.

Conclusão

A GDPR afetará as organizações de várias maneiras, além da segurança de dados e das políticas. As empresas que são impactadas devem procurar ajuda ou aconselhamento jurídico, se necessário. No mínimo, elas precisam de um plano de ação claro que inclua treinamento na GDPR, uma análise do seu fluxo de dados e mecanismos de processamento de dados, revisão de suas práticas e políticas de privacidade, a forma como elas usam os dados de terceiros e muito mais. Para começar a conhecer os requisitos da GDPR, convidamos você a baixar nossa “Lista de verificação de 12 pontos para ajudar a preparar sua empresa para o GDPR” clicando aqui.

12-Point Checklist for GDPR - for clients - LETTER_ Portugues

Oferta especial, referente a Lei Geral de Proteção de Dados, aplicável ao Brasil:
Quero Fazer Download do eBook sobre a LGPD
Quero Fazer Download do Manual sobre a LGPD


Adaptado ao Brasil, com materiais sobre a LGPD, por:

CaioCunhaBlog

Sobre o Autor

Monpi adora ficção, cerveja e seu trabalho. Gosta de um mais que o outro, dependendo do dia. Ela é especialista em marketing de conteúdo na WSI.

As melhores idéias e conselhos de marketing digital

O Blog de Marketing Digital da WSI é o seu local ideal para obter dicas, truques e práticas recomendadas em todos os aspectos relacionados ao marketing digital. Confira nossos posts mais recentes.

Não pare o aprendizado agora!

Aqui estão algumas outras postagens de blog em que você pode estar interessado.

Ver Todos os Artigos
Serviço CMO Fracionado: Liderança Estratégica sem Dedicação em Tempo Integral.
Marketing Strategy

Serviço CMO Fracionado: Liderança Estratégica sem Dedicação em Tempo Integral.

Março 22, 2024 | 5 Minutos Para Ler

Você quer ter um melhor retorno do seu investimento em Marketing? Nesse post conhecerá um método ganha-ganha, aplicando o modelo de serviços CMO fracionados,

Leia o Artigo
Lead Scoring: Melhorando sua Estratégia de Vendas
Marketing Strategy

Lead Scoring: Melhorando sua Estratégia de Vendas

Fevereiro 28, 2024 | 9 Minutos Para Ler

Saiba como alavancar a força do Lead Scoring (poder da pontuação de leads) na sua estratégia de vendas, com seu CRM. Priorize leads de alto valor, otimize processos de vendas e aumente as taxas de conversão. Além disso, conheça os benefícios do Lead Scoring preditivo e como isso pode melhorar seus resultados.

Leia o Artigo
Visão geral do marketing de 2024: principais tendências que os empresários devem conhecer
Marketing Strategy

Visão geral do marketing de 2024: principais tendências que os empresários devem conhecer

Fevereiro 1, 2024 | 14 Minutos Para Ler

Explore as tendências transformadoras que definirão o marketing digital em 2024. Os consultores WSI orientam as empresas com uma abordagem humana ("human in the loop") garantindo o sucesso no dinâmico mundo digital.

Leia o Artigo
Estratégias Eficazes de Marketing para eBooks a serem Experimentadas
Marketing Strategy

Estratégias Eficazes de Marketing para eBooks a serem Experimentadas

Novembro 24, 2023 | 16 Minutos Para Ler

Com uma estratégia de marketing de eBook bem planejada, você pode começar a gerar leads qualificados. Então, como se inicia? Continue lendo para saber mais

Leia o Artigo
SEDE CORPORATIVA de WSI

91 Skyway Avenue, Suite 104
Etobicoke, ON, Canada
M9W 6R5

Local: 55.11.2366.2574
Canada: 905.678.7588
US Toll-Free: 888.678.7588
UK Toll-Free: 08.08.234.6105
Fax: 905.678.7242
Email: contact@wsiworld.com

Social
GDPR-Badge TopAgencyIcon_20192020_greyscale

 

SOBRE A WSI
ENTRE EM CONTATO
OBTENHA OFERTAS GRÀTIS
SERVIÇOS
HISTÓRIA DE CLIENTES
NOSSOS PROFISSIONAIS
BLOG

© 2024 WSI. Todos direitos reservados. WSI ICE e WSI IM são marcas registradas da Research and Management Corp (RAM). Politica de Privacidade. Politica de Cookies. Cada franquia WSI é uma empresa de propriedade e operação independente.

Menu
Close