Da sedeInsights de SaaSGDPR: Como as empresas de SaaS devem se preparar para a regulamentação?

GDPR: Como as empresas de SaaS devem se preparar para a regulamentação?

Escrito Por Renuka Shahane
Insights de SaaSFusão de escamas

Neste blog

“Os dados são algo precioso e durarão mais do que os próprios sistemas.” 

Tim Berners-Lee, inventor da World Wide Web

Dados são ouro. E à medida que o mundo luta para aproveitar os dados de diversas maneiras (tanto éticas quanto antiéticas), o GDPR vem em socorro. 

 O impacto da nova legislação da UE – Regulamento Geral de Proteção de Dados (GDPR) nas empresas está a revelar-se uma das regulamentações globais mais cruciais da atualidade, uma vez que está relacionado com a governação e a privacidade de dados. Muitas pessoas não têm certeza sobre o que é o GDPR, como ele poderia impactar seus negócios ou se deveriam se preocupar com isso.

Significado do GDPR

O GDPR ou Regulamento Geral de Proteção de Dados foi aplicado em 25 de maio de 2018. A União Europeia (UE) tem estado na liderança dos desenvolvimentos regulatórios em privacidade e proteção de dados nas últimas duas décadas. A violação do GDPR pode resultar em multas de até 4% do seu faturamento global anual ou impressionantes 20 milhões de euros – o que for maior. O GDPR visa proteger os direitos de privacidade de dados dos cidadãos da UE, mas se aplica a quase todas as empresas com presença global, incluindo SaaS.

Neste artigo, discutiremos a conformidade com o GDPR para SaaS e suas implicações.

Qual é a necessidade do GDPR?

Existem duas razões pelas quais o GDPR entrou em vigor. Em primeiro lugar, a UE pretende ter mais controlo sobre os dados pessoais dos seus residentes e controlar a forma como são utilizados. Com isso, espera melhorar a confiança na economia digital.

Em segundo lugar, a UE está a facilitar um ambiente simples e transparente para as empresas em funcionamento, tornando-o quase uniforme em toda a UE.

O GDPR afetará você mesmo se você não estiver na UE?

Sim, se você -

  • Vender bens ou serviços a cidadãos da UE ou que monitorizem o seu comportamento.
  • Processar os dados pessoais de cidadãos da UE em nome de outras empresas.
  • Operar um site que usa tecnologias como cookies para monitorar pessoas baseadas na UE
  • Empregar quaisquer residentes da UE
  • Recolher qualquer tipo de dados que possam incluir informações sobre cidadãos da UE

Em suma, o GDPR é aplicável a fornecedores de SaaS que tenham clientes ou consumidores europeus, independentemente da localização geográfica da organização.

GDPR para SaaS: papel de um controlador de dados

Você é um controlador de dados? 

Um controlador de dados é um indivíduo ou organização que controla e é responsável pela manutenção e uso de informações pessoais. Ser um controlador de dados acarreta sérias responsabilidades legais; registros de dados pessoais e atividades de processamento devem ser mantidos.

  • Se a sua organização controla e é responsável pelos dados pessoais que detém, então a sua organização é um controlador de dados. por outro lado, você detém os dados pessoais, mas alguma outra organização decide e é responsável pelo que acontece com os dados, então esta última organização é a controladora de dados e sua organização é uma processadora de dados.
  • Os controladores de dados podem ser indivíduos ou empresas, departamentos governamentais e organizações voluntárias. Indivíduos como clínicos gerais, farmacêuticos, políticos e comerciantes individuais, onde guardam informações pessoais sobre os seus pacientes, clientes, constituintes, etc.
  • Será responsabilidade do controlador de dados garantir que os contratos com o processador estejam em conformidade com o GDPR.

GDPR para organizações SaaS: papel de um processador de dados

Você é um processador de dados? 

Um processador é responsável pelo processamento de dados pessoais em nome do controlador. Exemplos de processadores de dados incluem empresas de folha de pagamento, contadores e empresas de pesquisa de mercado, que retém ou processa informações pessoais em nome de outra pessoa. Os provedores de nuvem também são geralmente processadores de dados.

Os processadores de dados são obrigados a manter registros de dados pessoais e atividades de processamento. Eles terão responsabilidade legal se forem responsáveis ​​por uma violação.

Uma empresa ou pessoa pode ser ao mesmo tempo controladora e processadora de dados para conjuntos distintos de dados pessoais. Por exemplo, um empresa de folha de pagamento seria o controlador de dados em relação aos dados sobre o seu próprio pessoal, mas também seria o processador de dados em relação aos dados da folha de pagamento do pessoal que está processando para suas empresas clientes.

Antes de entender como as empresas de SaaS precisam começar a se preparar para o GDPR, vamos primeiro entender os tipos de dados aos quais o GDPR se aplica.

GDPR para organizações SaaS – Para quais dados ele é aplicado?

Dados pessoais

Qualquer informação relativa a uma pessoa identificável que possa ser identificada direta ou indiretamente, em particular por referência a um identificador como nome, número de identificação, dados de localização ou identificadores online que sejam o resultado de mudanças na tecnologia. Aplica-se tanto aos dados pessoais automatizados como aos sistemas de arquivamento manual. Dados pessoais pseudonimizados, ou seja, por exemplo, um nome é substituído por um número único, dependendo da dificuldade de caracterizar o pseudónimo para um indivíduo.

Dados pessoais sensíveis

Os dados pessoais sensíveis sob a égide do GDPR são considerados categorias especiais de dados pessoais que são informações mais sensíveis sobre um indivíduo e, portanto, precisam de mais proteção, como raça, origem étnica, opiniões políticas, religião, filiação sindical, dados genéticos como sequência de DNA, dados biométricos impressões digitais ou varreduras de retina usadas para fins de identificação, etc.

Conformidade com o GDPR para empresas de SaaS: como se preparar?

É importante que os clientes e fornecedores de SaaS estejam preparados e operacionais para conformidade com o GDPR. Se você ainda não fez isso, veja como você pode fazer:  

Tenha consciência

Os tomadores de decisão e pessoas-chave da organização devem ter consciência sobre o GDPR e analisar qual o impacto, identificar os riscos envolvidos e incluí-los no seu processo de gestão de riscos.

Documentação Adequada

Para sermos responsáveis ​​e garantirmos uma eficácia documentação do processo, você deve documentar quais dados pessoais você possui, de onde eles vieram e com quem você os compartilha. Você pode até exigir auditorias regulares desta documentação. É importante, não só porque é um requisito legal, mas também porque pode apoiar uma boa governação de dados e ajudá-lo a demonstrar a sua conformidade com outros aspectos do RGPD.

Comunicação de informações de privacidade

Antes de coletar quaisquer dados pessoais, a legislação atual exige que você notifique seus clientes sobre sua identidade, os motivos da coleta dos dados, o(s) uso(s) que serão feitos, a quem serão divulgados e se serão transferidos. fora da UE. De acordo com o GDPR, informações adicionais devem ser comunicadas aos indivíduos antes do processamento.

Direitos individuais

As organizações precisarão fornecer dados pessoais em uma estrutura comumente usada ou em formato eletrônico, gratuitamente. E também precisarão verificar os seus procedimentos para garantir que cobrem todos os direitos que os indivíduos têm. Por exemplo, como você reagiria se alguém pedisse a exclusão de seus dados pessoais? Seus sistemas ajudariam você a localizar e excluir os dados? E quem tomará essa decisão?

Mantenha registos para evidenciar o consentimento – quem consentiu, quando, como e o que lhes foi dito. Torne mais fácil para as pessoas retirarem o consentimento a qualquer momento que desejarem. Inclua revisões regulares de consentimento em seus processos de negócios porque o GDPR deixa claro que os controladores devem ser capazes de mostrar claramente que o consentimento foi dado. Portanto, revise os sistemas que você possui para registrar o consentimento para garantir que você tenha uma trilha de auditoria eficaz.

GDPR e SaaS: como as solicitações de acesso de assunto (SAR) mudarão?

De acordo com o GDPR, as Organizações terão que lidar com a Solicitação de Acesso ao Assunto (SAR) mais rapidamente, bem como fornecer informações adicionais. Os indivíduos já têm o direito de aceder aos seus dados pessoais através de um SAR. No entanto, geralmente será livre fazer essas solicitações e os indivíduos terão o direito de receber as informações em formato eletrônico.

Se uma organização lidar com um grande número de SARs, o impacto das mudanças poderá ser considerável. Portanto, tomar medidas para organizar a abordagem às SAR ajudará as organizações a cumprir o RGPD.

Violações de dados

Você deve certificar-se de que possui os procedimentos corretos para detectar e relatar sem demora injustificada. Se possível dentro de 72 horas após tomar conhecimento e investigar, uma violação de dados pessoais.

Nomear responsáveis ​​pela proteção de dados

Uma organização precisa designar alguém para assumir a responsabilidade pela conformidade com a proteção de dados. Você pode nomear alguém de fora ou alguém da própria organização. Talvez você precise fazer algumas mudanças na estrutura de sua organização.

Regulamentação de dados e projetos futuros

Uma DPIA (Decisão de Impacto na Privacidade de Dados) é o processo de considerar sistematicamente o impacto potencial que um projeto ou iniciativa pode ter na privacidade dos indivíduos. Ele permite que as organizações identifiquem possíveis problemas de privacidade antes que eles surjam e encontrem uma forma de mitigá-los. Uma DPIA pode envolver discussões com partes/interessados ​​relevantes. Em última análise, tal avaliação pode revelar-se inestimável para determinar a viabilidade de futuros projectos e iniciativas. O GDPR determinou DPIAs para as organizações envolvidas em processamento de alto risco; por exemplo, onde estão a ser implementadas novas tecnologias, onde uma operação de definição de perfis é suscetível de afetar significativamente os indivíduos, ou onde existe monitorização em grande escala de uma área acessível ao público.

O GDPR pode parecer uma área adicional de trabalho para empresas de SaaS, mas, no longo prazo, faz todo o sentido reconhecer a preocupação com a privacidade dos dados, dada a quantidade de dados que estão sendo gerados.

Referências:
i) http://www.wired.co.uk/article/what-is-gdpr-uk-eu-legislation-compliance-summary-fines-2018
ii) https://spanning.com/blog/the-global-impact-of-gdpr/
iii) https://www.process.st/gdpr-compliance/
iv) https://www.bodlelaw.com/saas/saas-agreements-data-protection-new-eu-data-protection-regulation
v) https://www.eugdpr.org/glossary-of-terms.html
vi) https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/
vii) https://media.squirepattonboggs.com/pdf/misc/GDPR-Implications.pdf
viii) http://www.itpro.co.uk/it-legislation/27814/what-is-gdpr-everything-you-need-to-know
ix) https://www.forbes.com/sites/ciocentral/2017/08/31/if-you-use-saas-products-you-need-to-prepare-for-gdpr-heres-how/#1f13189a29f8

Renuka Shahane
Renuka Shahane
Renuka Shahane é escritora e editora do blog Scalefusion. Uma leitora ávida que ama escrever sobre tecnologia, ela gosta de traduzir jargões técnicos em conteúdo consumível.
Banner do artigo

Mais do blog

Fusão de escamas

As 10 melhores soluções de gerenciamento unificado de endpoints em 2026

A necessidade da melhor solução UEM inundou o mercado com uma variedade de soluções, cada uma oferecendo...
Atishai Jain -
Gerenciamento robusto de dispositivos

Os melhores tablets Zebra para empresas em 2026

Vamos analisar os melhores tablets Zebra para uso empresarial em 2026, comparar seus pontos fortes e ajudar você a decidir qual escolher...
Anurag Khadkikar -
Fusão de escamas

Scalefusion vs Hexnode: Um guia de comparação completo

A comparação entre Scalefusion e Hexnode é algo que muitas organizações consideram ao avaliar soluções unificadas de endpoints...
Steven Chopade -