A conformidade com o GDPR aplica-se a empresas dos EUA?

Em maio de 2018, a União Europeia promulgou um dos conjuntos de regras mais rigorosos do mundo para a proteção de dados pessoais. O nome formal desta legislação é o General Data Protection Regulation, mas é mais conhecido como GDPR.

O GDPR regula dados pessoais, que são definidos como qualquer informação que possa identificar um indivíduo, chamado de “titular dos dados”. As empresas afetadas devem cumprir com os desejos dos titulares dos dados sobre como seus dados pessoais são processados, bem como manter registros de como esse processamento ocorre.

Este artigo responde à pergunta: quando e como o GDPR se aplica a empresas e cidadãos dos EUA? Ele abrange os requisitos centrais do ato e os detalhes da aplicação do GDPR que toda empresa com sede nos EUA deve conhecer.

O escopo para dados pessoais sob esta definição é significativamente mais amplo do que a maioria dos padrões de conformidade dos EUA, que tendem a proteger apenas dados que podem ser usados para cometer fraude. Além de nomes e números de identificação governamental, o GDPR também protege informações que podem ser vinculadas à “identidade física, fisiológica, genética, mental, econômica, cultural ou social” de uma pessoa.

GDPR em resumo

Que dados o GDPR protege?

O GDPR foi criado para dar aos cidadãos da UE mais controle sobre os dados pessoais que as organizações coletam, processam e armazenam sobre eles. O escopo do termo “dados pessoais” sob o GDPR é significativamente mais amplo do que a maioria das leis de conformidade dos EUA, que tendem a proteger apenas dados que podem ser usados para cometer fraude. Além de nomes e números de identificação governamental, o GDPR também protege informações que podem ser vinculadas à “identidade física, fisiológica, genética, mental, econômica, cultural ou social” de uma pessoa, como seu endereço IP e dados de cookie do navegador.

O GDPR aplica-se a cidadãos da UE que vivem nos EUA?

Não. O GDPR refere-se especificamente a “titulares dos dados que estão na União.” Se um cidadão da UE estiver morando nos EUA, o GDPR não se aplica. Esta é uma distinção importante a ser considerada se todo ou quase todo o negócio de uma empresa ocorrer em locais físicos em solo americano.

Essa categoria abrange mais organizações do que você pode imaginar. De acordo com o grupo de pesquisa Clutch.co, 36% das pequenas empresas não possuem nenhum tipo de site. Como resultado, é muito mais fácil para essas empresas determinarem se estão fazendo negócios com residentes da UE.

O GDPR se aplica a cidadãos dos EUA?

Pode. O GDPR protege as informações de qualquer pessoa que viva na UE. Portanto, se um cidadão dos EUA estiver morando em um país da UE quando uma empresa coletar informações sobre isso, o GDPR será aplicável a esses dados.

O GDPR não se aplica a cidadãos dos EUA que vivem nos EUA, mas existem várias regulamentações de privacidade federais e estaduais nos EUA que oferecem algumas proteções semelhantes. Em particular, o California Privacy Protection Act (CalOPPA) e o California Consumer Privacy Act (CCPA) controlam a coleta de “informações pessoais identificáveis” de qualquer pessoa residente no estado da Califórnia (o que inclui residentes da Califórnia que são cidadãos da UE).

Da mesma forma, o Children’s Online Privacy Protection Act (COPPA) regula a coleta, uso e distribuição de dados pertencentes a qualquer criança com menos de 13 anos, independentemente da cidadania, desde que estejam nos EUA quando suas informações forem coletadas.

Como o GDPR afeta as empresas dos EUA?

Ao contrário dos regulamentos de conformidade específicos dos EUA, como o HIPAA para medicina e o GLBA para finanças, o GDPR é um regulamento geral de privacidade de dados que se aplica a todas as organizações, públicas e privadas, que armazenam ou processam os dados pessoais de residentes da UE. Isso significa que muitas empresas dos EUA estão sujeitas ao regulamento.

No entanto, o GDPR reconhece que algumas empresas não pertencentes à UE fazem negócios com cidadãos da UE apenas de forma incidental. De acordo com o Considerando 23, as empresas estrangeiras são obrigadas a cumprir o GDPR apenas se elas direcionarem seus esforços de marketing aos residentes da UE. Por exemplo, se você tem um site localizado no idioma de um Estado-membro da UE e/ou lista preços em Euros, presumir-se-ia que está a direcionar-se aos cidadãos da UE e, portanto, estaria sujeito ao GDPR.

Em geral, você pode ser responsabilizado se alguma das seguintes condições for verdadeira:

• Você processa os dados de residentes da UE regularmente.
• Os direitos e liberdades desses titulares de dados podem estar em risco.
• Você processa informações relacionadas a special data categories, incluindo estado de saúde, origens raciais ou étnicas, orientação sexual ou crenças religiosas.

O GDPR se aplica a agências governamentais dos EUA e outras organizações do setor público?

Tecnicamente, o GDPR aplica-se a todas as organizações, públicas e privadas, em todo o mundo. Na prática, no entanto, apenas algumas agências governamentais dos EUA são prováveis de

O GDPR controla as atividades de processamento em torno de dados pessoais apenas se esse processamento servir a um de dois propósitos:

• Oferecendo bens ou serviços
• Monitorando o comportamento de um sujeito de dados à medida que ocorre dentro da União Europeia

Portanto, muitas organizações do setor público não estão sujeitas ao GDPR. Algumas agências federais, incluindo o Department of Homeland Security e o State Department, podem ter motivos para coletar dados pessoais de cidadãos da UE e usá-los para monitorar comportamentos. Da mesma forma, se um conselho de turismo estadual coletasse dados com o objetivo de se promover para cidadãos da UE, ou se uma faculdade estadual coletasse informações sobre um possível estudante, o GDPR seria aplicável. Mas a maioria das outras agências governamentais, incluindo aquelas que coletam dados relacionados aos interesses comerciais de cidadãos da UE, estão pouco prováveis de estar sujeitas ao GDPR

Quais são os requisitos mais importantes do GDPR para empresas dos EUA?

Qualquer organização, seja do setor privado ou público, que armazene ou processe informações pessoais sobre residentes da UE deve cumprir o GDPR, mesmo que não tenha uma presença física dentro da UE. Os requisitos mais importantes são explicados abaixo.

Requisitos para controladores e processadores

Os requisitos do GDPR dependem de se você está agindo como Controlador ou Processador:

• Os controladores definem os propósitos e meios do processamento de dados pessoais. Eles devem implementar medidas técnicas e organizacionais apropriadas para garantir e demonstrar que o processamento de dados pessoais é realizado de acordo com o GDPR.
• Processadores tratam dados pessoais sob as instruções documentadas de um Controlador. Processadores podem ser grupos internos que mantêm e processam registros de dados pessoais, ou uma empresa terceirizada que realiza todas ou parte dessas atividades.

O GDPR responsabiliza tanto os Controladores quanto os Processadores por violações de suas disposições. Portanto, é possível que tanto a sua empresa quanto um parceiro de processamento de dados, como um provedor de nuvem, sejam responsáveis por multas e outras penalidades sob o GDPR, mesmo que a culpa seja inteiramente do seu parceiro de processamento.

Requisitos para contratos de processamento de dados

O GDPR exige que os Controladores e Processadores entrem em um contrato juridicamente vinculativo quando um Controlador contrata um Processador para processar dados pessoais em seu nome. Os Controladores são obrigados a usar apenas Processadores que ofereçam garantias suficientes de ter medidas técnicas e organizacionais apropriadas em vigor para cumprir com o GDPR. Essas medidas devem ser detalhadas na política de Data Security Posture Management da organização.

O Artigo 28 detalha o que deve ser incluído em um Contrato de Processamento de Dados entre um controlador de dados e um processador de dados. Primeiro, deve incluir os seguintes detalhes:

• A matéria, duração, natureza e propósito do processamento de dados
• O tipo de dados pessoais que estão sendo processados
• As categorias de titulares dos dados cujos dados pessoais estão sendo processados
• Os requisitos e direitos do Controlador

Além disso, o contrato deve conter as seguintes disposições:

• O Processador processará os dados pessoais recebidos do Controlador apenas com base em instruções documentadas do Controlador (a menos que seja exigido por lei processar dados pessoais sem tais instruções).
• O Processador garante que qualquer pessoa que processe dados pessoais esteja sujeita a um dever de confidencialidade.
• O Processador adota todas as medidas exigidas pelo Artigo 32, incluindo a implementação de medidas técnicas e organizacionais adequadas para proteger os dados pessoais recebidos do Controlador.
• O Processador obtém autorização por escrito para quaisquer sub-processadores que o Processador possa contratar para processar os dados pessoais recebidos do Controlador. Se o Controlador fornecer uma autorização geral por escrito para a contratação de sub-processadores, deve ser dada ao Controlador a oportunidade de se opor antecipadamente a cada sub-processador individual que o Processador propõe contratar.
• Qualquer sub-processador contratado pelo Processador está sujeito aos mesmos requisitos de proteção de dados que o Processador e que o Processador permanece diretamente responsável perante o Controlador pelo cumprimento dos requisitos de proteção de dados de um sub-processador.
• O Processador apoia o Controlador implementando medidas técnicas e organizacionais adequadas para responder a solicitações dos titulares dos dados sob o GDPR.

• O Processador apoia o Controlador para garantir a conformidade com os requisitos do GDPR para a segurança do processamento de dados (Artigo 32), notificação de data breaches (Artigos 33 e 34) e avaliações de impacto na proteção de dados (Artigos 35 e 36).
• No final do processamento de dados pelo Processador e sob instrução do Controlador, o Processador apaga ou devolve os dados pessoais recebidos do Controlador.
• O Processador disponibiliza ao Controlador todas as informações necessárias para demonstrar a conformidade com o Artigo 28 e permite e contribui para auditorias realizadas pelo Controlador ou por um terceiro em nome do Controlador.

Existem outras disposições que os Controladores e Processadores podem querer incluir em um Contrato de Processamento de Dados caso a caso, mas que não são obrigatórias sob o GDPR, tais como:

• Disposições de responsabilidade (incluindo indenizações)
• Disposições de segurança detalhadas (técnicas)
• Disposições adicionais de cooperação entre o Controlador e o Processador

Regras para empresas multinacionais

Se a sua empresa, sediada nos EUA, faz parte de uma empresa multinacional estabelecida na UE e você recebe regularmente dados dos seus homólogos da UE sobre cidadãos da UE, está sujeito às regras que regulamentam essas transferências de dados entre países. Essas Regras Corporativas Vinculativas (BCRs) são especificadas no Artigo 29 e fornecem um quadro para empresas multinacionais transferirem dados pessoais da Área Econômica Europeia (EEA) para suas afiliadas localizadas fora da EEA em conformidade legal com o 8º princípio de proteção de dados e o Artigo 25 da Diretiva 95/46/EC.

Regras para notificação de violação de dados

Notificações de violação de dados devem ser emitidas quando uma violação de segurança leva à divulgação, perda ou alteração acidental ou ilegal de dados pessoais. O data privacy law GDPR exige que, se uma data breach colocar em risco os direitos e liberdades pessoais dos indivíduos e você não conseguir conter esses riscos, todos os indivíduos afetados devem ser notificados. Se uma empresa determinar que não existe tal risco, essa posição deve ser apoiada por evidências credíveis. Processadores de dados que sofram violações também devem notificar o controlador de dados relevante. Você também deve notificar as autoridades de proteção de dados; se a violação afetar pessoas em várias localidades, você precisará notificar a autoridade com a jurisdição mais ampla. Um regulador não vai dizer que você não deveria ter tido uma violação. Eles vão dizer que você deveria ter as políticas, procedimentos e estrutura de resposta em lugar para resolver isso rapidamente.

Embora o prazo legal para relatar uma violação seja de 72 horas, não espere até a última hora para fazê-lo; faça um relatório assim que tomar conhecimento de uma violação e informe o regulador de que está implementando seu processo de resposta e que fornecerá atualizações.

Requisito para avaliações de impacto na proteção de dados

O artigo 35 do GDPR exige que todas as empresas realizem avaliações de impacto na proteção de dados (DPIAs) para avaliar o potencial risco de dados e demonstrar como os dados fluem pela organização. Existem quatro componentes básicos em uma avaliação de impacto na proteção de dados:

• Uma descrição das operações de processamento
• Uma explicação do motivo pelo qual o processamento está ocorrendo e por que é necessário
• Uma descrição das medidas tomadas para mitigar riscos e proteger a privacidade dos usuários
• Uma conta detalhando risco versus benefício

O GDPR não fornece uma estrutura específica para essas avaliações, mas especifica que a coleta e o processamento de dados devem sempre “servir à humanidade”, indicando que o foco deve ser o benefício aos sujeitos dos dados.

Consentimento para o processamento de dados

Sob o GDPR, as empresas devem receber consentimento explícito para processar dados pessoais: Cada titular dos dados deve concordar não apenas em permitir que você colete e armazene seus dados, mas também que seus dados sejam utilizados da maneira que você pretende.

Os titulares dos dados têm o direito de retirar o consentimento para qualquer finalidade. Se um cliente decidir que não quer mais receber os anúncios direcionados que você cria usando os dados dele, você é obrigado a remover o cliente do seu sistema.

Proteção dos direitos dos titulares dos dados

O GDPR lista oito direitos do titular dos dados que as empresas têm a obrigação de respeitar. São eles:

• O direito à informação sobre o que acontece com os dados pessoais
• O direito a uma cópia dos dados coletados e quaisquer informações suplementares para contexto
• O direito de ter dados inexatos corrigidos
• O direito de ter dados pessoais apagados (em determinadas circunstâncias)
• O direito de limitar como os dados são utilizados
• O direito de receber um relatório sobre quais dados foram coletados
• O direito de ordenar que o processamento de dados seja interrompido
• O direito de não ser submetido a decisões tomadas com base no processamento automatizado de dados

Além disso, as empresas devem facilitar para que os titulares dos dados exerçam esses direitos. Por exemplo, as empresas podem optar por emitir uma política de privacidade e exigir que os clientes marquem uma caixa de “concordo”. Esses procedimentos devem estar descritos em sua declaração de privacidade, que deve ser atualizada regularmente (um bom controle de versão é uma maneira prudente de demonstrar conformidade).

Nomeação de pessoal

A Comissão Europeia recomenda que toda empresa afetada tenha um encarregado de proteção de dados (DPO) na equipe. Você é obrigado a ter um DPO se qualquer uma das seguintes condições se aplicar:

• Você é uma autoridade pública que processa dados protegidos pelo GDPR.
• Suas atividades principais incluem monitoramento sistemático e em larga escala de dados.
• Você processa uma categoria especial de dados, como estado de saúde, origens raciais ou étnicas, orientação sexual ou crenças religiosas.

Mesmo quando o GDPR não exige especificamente a nomeação de um DPO, as organizações podem às vezes achar útil designar um DPO de forma voluntária. O DPO é um pilar da responsabilidade, e nomear um DPO pode demonstrar e facilitar a conformidade, dando uma vantagem competitiva aos negócios ao demonstrar o quão ética é a sua organização. O Grupo de Trabalho do Artigo 29 sobre Proteção de Dados (‘WP29’) incentiva esses esforços voluntários. (Este grupo inclui representantes das autoridades de proteção de dados de cada estado membro da UE e emite diretrizes para cumprir com os requisitos do GDPR, como a nomeação de DPOs.)

Um DPO pode ser qualquer membro da equipe que garanta que a estratégia de proteção de dados da sua empresa esteja em conformidade com o GDPR. Se você não tem uma presença física na UE, precisará nomear um representante em um país da UE. O DPO pode ter outras funções, desde que ainda tenha tempo para monitorar a conformidade com o GDPR.

Uma vez que você tenha nomeado um DPO ou contratado alguém novo para preencher o cargo, certifique-se de que eles saibam o que precisam fazer e tenham os recursos necessários para isso. Uma lista de verificação abrangente é ideal. Além de tarefas como facilitar DPIAs e realizar auditorias, os DPOs atuam como intermediários entre as partes interessadas, como autoridades de supervisão, titulares de dados e unidades de negócios dentro de uma organização.

Note que os DPOs não são pessoalmente responsáveis em caso de não conformidade com o GDPR. O Artigo 24 deixa claro que é o Controlador ou Processador quem deve garantir e ser capaz de demonstrar que o processamento é realizado de acordo com as disposições do GDPR.

Posteriormente: Dicas para se tornar compatível com o GDPR

A melhor maneira de alcançar a conformidade com o GDPR é adotar uma abordagem de cima para baixo, pensando nos objetivos principais e depois determinando quais controles técnicos escolher para atingir esses objetivos. Além das óbvias GDPR Compliance Tools, há três coisas principais a ter em mente quando você está procurando garantir a segurança dos dados regulamentados:

Gestão de riscos de segurança

O GDPR enfatiza uma abordagem baseada em risco para a proteção de dados e a segurança dos seus sistemas e serviços de processamento. Você deve identificar e avaliar seus riscos e, em seguida, tomar medidas apropriadas para gerenciá-los com base em fatores como:

• A tecnologia disponível
• O custo de implementar ferramentas e processos
• A natureza, escopo, contexto e finalidade do processamento
• A gravidade e a probabilidade dos riscos
• Os dados pessoais que você processa
• Os sistemas que processam esses dados

Quando o processamento de dados provavelmente resultar em um alto risco aos direitos e liberdades dos indivíduos, você deve realizar uma DPIA para estabelecer o impacto do processamento pretendido na proteção de dados pessoais e identificar as medidas técnicas e organizacionais necessárias para mitigar o risco. Se essas medidas não reduzirem o risco a um nível aceitável, você precisa consultar sua autoridade reguladora de dados antes de iniciar o processamento.

Governança

Você também precisa implementar proteção de dados apropriada e information security policies e processos adequados. Garanta a manutenção de registros das atividades de processamento e, se necessário, nomeie um Encarregado de Proteção de Dados.

Conscientização e treinamento da equipe

Ajude sua equipe a gerenciar dados pessoais de forma segura, fornecendo educação sobre conscientização relevante, bem como treinamento no uso adequado dos seus sistemas e ferramentas. Por exemplo, os funcionários devem ser competentes para que não processem dados pessoais inadvertidamente (por exemplo, enviando-os ao destinatário incorreto).

Perguntas Frequentes

O que o GDPR significa para empresas dos EUA?

O GDPR regula a coleta e o processamento de dados pessoais pertencentes a residentes da UE, mesmo que a empresa esteja localizada nos EUA.

Como o GDPR afeta as empresas baseadas nos EUA?

As empresas dos EUA devem cumprir o GDPR se oferecerem bens ou serviços aos residentes da UE em particular, ou se monitorarem o comportamento dos residentes da UE dentro da União.

Quando é necessária a conformidade com o GDPR nos Estados Unidos?

Se uma empresa coleta dados pessoais de residentes da UE para fins comerciais e faz isso mais do que ocasionalmente, ela deve estar compliant with the GDPR.

O que são dados pessoais, de acordo com o GDPR, nos EUA?

Dados pessoais são quaisquer informações que podem ser associadas à identidade individual ou social de uma pessoa. Isso inclui o nome, residência, emprego ou filiação religiosa da pessoa.

O que acontece se as empresas dos EUA não seguirem o GDPR?

Qualquer empresa que seja encontrada em violação do GDPR pode estar sujeita a multas entre 10 milhões e 20 milhões de euros ou até 4% da receita anual da empresa.

Qual organização tem a autoridade de aplicar penalidades a empresas dos EUA que não estão em conformidade?

A Comissão Europeia é o órgão regulador oficial para o GDPR. Se uma empresa for encontrada em violação dessas regulamentações, mas não estiver sob a jurisdição da Europa, a CE pode colaborar com governos internacionais para impor multas e penalidades.