De acordo com a União Europeia, a GDPR veio “para harmonizar as leis de dados privados por toda a Europa, para proteger e empoderar a privacidade de todos os cidadãos, além de reorganizar a maneira como companhias lidam com dados privados”.
Ainda que a lei seja uma referência regulatória criada pela União Europeia, qualquer entidade brasileira poderá ser afetada pela GDPR. Isso acontece devido aos limites da sua jurisdição, que foram severamente expandidos para incluir, também, as organizações que se encontram fora da União Europeia.
A relação da GDPR com o Canal de Denúncias
Toda e qualquer informação que torne possível a identificação direta ou indireta de um indivíduo é caracterizada como um dado pessoal. Trazendo a GDPR para o contexto brasileiro, mecanismos e ferramentas que trabalhem com a coleta, armazenamento, tratamento, uso e/ou compartilhamento de dados pessoais de cidadãos da comunidade europeia precisarão adequar-se à lei.
Neste cenário insere-se também o Canal de Denúncias, cujas informações de irregularidades e desvios de conduta recebidas, ou mesmo levantadas ao longo dos processos de apuração, normalmente envolvem dados pessoais dos denunciados, envolvidos e, quando as denúncias são identificadas, também dos próprios denunciantes.
Assim sendo, uma série de medidas e cuidados precisam ser observados pelas empresas e pelos prestadores deste tipo de serviço especializado.
Os pilares da GDPR
Transparência, responsabilidade, gestão e governança são as palavras de ordem da regulamentação. Todas as companhias – sejam elas de pequeno, médio ou grande porte – precisarão se munir de segurança robusta para a proteção de dados pessoais e para a preservação dos cidadãos.
Saiba que se sua empresa violar as diretrizes da regulamentação, poderá receber multas severas. E não é apenas isso, mais valioso que o valor financeiro envolvido, é a imagem da organização e sua perenidade que pode estar em jogo.
Como se adequar?
A GDPR aborda com detalhes os deveres das empresas para a correta proteção de dados pessoais. Entre suas disposições, destacamos aquelas com maior impacto sobre a operação de um Canal de Denúncias:
Administração da proteção aos dados pessoais:
Qualquer empresa que processa mais de 5 mil registros em um período de 12 meses precisa ter um profissional alocado como responsável para a gestão da proteção dos dados pessoais. O DPO – Data Protection Officer deverá assegurar as ações necessárias e monitorar a conformidade da empresa com as regras da GDPR.
Consentimento:
Organizações que trabalham com o processamento de dados em qualquer nível deverão comprovar que receberam autorização explícita dos relatores para o uso das informações registradas, facilitando inclusive o processo para que usuários possam suspender o consentimento atribuído inicialmente.
Exclusão de dados:
Cidadãos europeus têm o direito de solicitar a exclusão de seus dados pessoais dos registros de qualquer organização que desejem. No âmbito do Canal de Denúncias, cuidados devem ser tomados para confirmação da validade da solicitação, bem como para preservação de informações necessárias para o desenvolvimento de investigações e procedimentos legais.
Notificação de falhas:
Toda e qualquer falha relativa aos dados administrados por uma empresa (ex.: vazamento de dados) deverá ser comunicada dentro de 72 horas à pessoa ou pessoas afetadas, e também aos responsáveis pela regulação dos dados.
A GDPR chegou para unificar regras e reforçar melhores práticas de segurança das informações. Adequar-se à lei europeia não deve ser visto como um ônus pelas empresas brasileiras. Muito pelo contrário. Estar de acordo com as regras da GDPR é sinônimo de especialização e confiança.
Para saber mais sobre a GDPR, acesse o site da União Europeia.
Sua empresa atua na comunidade europeia ou possui relação direta ou indireta com cidadãos desta região? Esteja seguro de que seu Canal de Denúncias atende às exigências da GDPR. Entre em contato com a ICTS.
Índice
