Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Confira todo o nosso conteúdo para pequenas empresas em Ajuda para pequenas empresas e aprendizado.
Usar Microsoft 365 para empresas para ajudá-lo a mitigar e gerenciar a conformidade com o GDPR
O Regulamento Geral sobre a Proteção de Dados (RGPD) é uma regulamentação da União Europeia (UE) que determina como uma organização deve lidar com dados pessoais. Se sua empresa vender, fornecer serviços ou empregar cidadãos da União Europeia, o GDPR afetará você.
Como administrador de pequenas empresas, você provavelmente está se perguntando "como faço para começar"? Isto pode ser especialmente verdadeiro se sua empresa não tratar os dados pessoais como uma atividade comercial principal, ou se o GDPR for totalmente novo para você.
Você pode começar examinando esse artigo, que tem como objetivo ajudá-lo a entender o que é o GDPR, por que ele ocorreu e como o Microsoft 365 para Empresas pode ajudar sua organização a estar em conformidade com o GDPR.
Ele também inclui respostas para perguntas comuns sobre o GDPR que pequenas empresas podem ter e destaca as etapas que uma pequena empresa pode seguir para se preparar para o GDPR.
Importante
As soluções do Microsoft 365 e as recomendações nesse artigo são ferramentas e recursos que podem ajudá-lo a gerenciar e proteger seus dados, mas não são uma garantia de conformidade com o GDPR. Você pode avaliar seu próprio status de conformidade. Consulte seus próprios consultores jurídicos e/ou profissionais quando necessário.
Uma visão geral rápida do GDPR
O GDPR é uma regulamentação da UE que atualiza e expande a DPD (Diretiva de Proteção de Dados) anterior imposta pela primeira vez em 1995. O GDPR se preocupa com a privacidade dos dados de um indivíduo, seja um cliente, cliente, funcionário ou parceiro comercial individual. A meta do GDPR é fortalecer a proteção de dados pessoais para cidadãos da UE, independentemente de residirem na UE ou em outro lugar. A regulamentação define as expectativas e aconselha como obtê-las. As organizações devem ter medidas em vigor que atendam aos requisitos do GDPR.
O GDPR se trata de dados e de como eles são usados. Pense nos dados como tendo um ciclo de vida. O ciclo começa quando você coleta dados, continua conforme você os armazena e os usa (processamento) e termina quando você os exclui completamente dos seus sistemas.
O GDPR se preocupa com os seguintes tipos de dados:
Dados pessoais: se você puder vincular dados a um indivíduo e identificá-los, esses dados serão considerados pessoais em relação ao GDPR. Exemplos de dados pessoais incluem nome, endereço, data de nascimento e endereço IP. O GDPR considera até mesmo informações codificadas (também conhecidas como informações "pseudonimosas") como dados pessoais, independentemente de quão obscurecidos ou técnicos os dados são, se os dados puderem ser vinculados a um indivíduo.
Dados pessoais confidenciais: esses dados adicionam mais detalhes aos dados pessoais. Os exemplos incluem religião, associação sindical, origem étnica e assim por diante. Dados pessoais confidenciais também incluem dados biométricos e DNA. No GDPR, os dados confidenciais têm regras de proteção mais rigososas do que os dados pessoais.
Termos do GDPR
Você verá alguns termos mencionados com frequência no GDPR. É importante entender esses termos.
Consentimento:
O RGPD afirma: "O processamento de dados pessoais deve ser concebido para servir a humanidade." O RGPD espera alcançar este objetivo através do consentimento ao processar dados pessoais. Isso pode ser o simples ato de perguntar aos clientes se eles desejam receber mensagens de email da sua empresa. Isso também significa que não há mais caixas de seleção de recusa em seu site quando você deseja usar dados para marketing. Você deve receber consentimento explícito usando um "ato afirmativo claro". Além disso, você também precisará manter os registros de quando um consentimento é obtido ou revogado.
Direitos do titular dos dados:
O GDPR estabelece direitos de entidade de dados, o que significa que, em relação aos seus dados pessoais, clientes, funcionários, parceiros de negócios, clientes, prestadores de serviço, alunos, fornecedores e assim por diante têm o direito de:
Ser informados sobre os dados deles: você deve informar as pessoas sobre o uso de seus dados.
Ter acesso aos dados deles: você deve dar aos indivíduos acesso a qualquer um dos dados que você mantém (por exemplo, usando o acesso à conta ou de alguma maneira manual).
Solicitar retificação de dados: indivíduos podem solicitar que você corrija dados imprecisos.
Solicitar que os dados sejam excluídos: também conhecido como "direito de apagar", esse direito permite que um indivíduo solicite que qualquer um de seus dados pessoais coletados por uma empresa seja excluído em todos os sistemas que os utilizam ou compartilham.
Processamento restrito de solicitação: um indivíduo pode solicitar que você suprima ou restrinja seus dados. No entanto, somente é aplicável em determinadas circunstâncias.
Ter portabilidade de dados: um indivíduo pode solicitar que seus dados sejam transferidos para outra empresa.
Objetar: um indivíduo pode objetar que seus dados sejam usados para vários fins, incluindo marketing direto.
Pedir para não estar sujeito à tomadas de decisões automatizadas, incluindo a criação de perfil: O GDPR tem regras estritas sobre como usar dados para analisar pessoas e automatizar decisões com base nessa criação de perfil.
Etapas para se preparar para o GDPR
Essa seção descreve as etapas que uma pequena empresa pode seguir para ajudá-la a se preparar para o GDPR. Grande parte das informações dessas etapas foi fornecida por meio das Sete etapas para que as empresas se preparem para o Regulamento Geral sobre a Proteção de Dados, uma publicação fornecida por meio do Escritório de Publicações da União Europeia.
Uma boa maneira para uma pequena empresa começar a usar o GDPR é aplicar os seguintes princípios fundamentais ao coletar dados pessoais:
- Colete dados pessoais com finalidades claramente definidas para o que você os está usando e não os use para mais nada. Por exemplo, se você instruir seus clientes a fornecer os endereços de email para que eles possam obter suas novas ofertas ou promoções, você só poderá usar os endereços de email deles para essa finalidade específica.
- Não colete mais dados do que o necessário. Por exemplo, se sua empresa exigir um endereço para correspondência para você entregar mercadorias, você precisará do endereço do cliente e de um nome, mas não precisa saber o estado civil da pessoa.
Etapa 1: conhecer os dados pessoais que você coleta e usa em sua empresa e os motivos de sua necessidade
Enquanto pequena empresa, um dos primeiros passos a seguir é fazer um inventário dos dados pessoais que recolhe e utiliza na sua empresa e por que motivo é necessário. Isso inclui dados sobre seus funcionários e seus clientes.
Por exemplo, você pode precisar dos dados pessoais do funcionário com base no contrato de emprego e por motivos legais (por exemplo, relatar impostos para a Receita Federal dos Estados Unidos).
Como outro exemplo, você pode gerenciar listas de clientes individuais para enviar avisos sobre ofertas especiais, se eles tiverem consentido isso.
Funcionalidades do Microsoft 365 que podem ajudar no Passo 1
A Proteção de Informações do Microsoft Purview pode ajudá-lo a descobrir, classificar e proteger informações confidenciais em sua empresa. Você pode usar classificadores treináveis para ajudá-lo a identificar e rotular tipos de documentos que contêm dados pessoais.
Etapa 2: informar seus clientes, funcionários e outras pessoas quando você precisar coletar seus dados pessoais
Os indivíduos devem saber que você processa seus dados pessoais e para qual finalidade. Por exemplo, se um cliente precisar criar um perfil de cliente para acessar o site online da sua empresa, certifique-se de indicar especificamente o que pretende fazer com suas informações.
Mas não é necessário informar as pessoas quando elas já sabem como você usará os dados. Por exemplo, quando eles fornecem um endereço residencial para uma entrega solicitada.
Você também precisa ser capaz de informar as pessoas quando solicitado sobre os dados pessoais que você mantém sobre eles e dar-lhes acesso aos dados. A organização com seus dados torna mais fácil fornecer a eles, se necessário.
Etapa 3: Manter dados pessoais apenas pelo tempo necessário
Para os dados dos funcionários, mantenha-os contanto que a relação de emprego permaneça e para obrigações legais relacionadas. Para dados do cliente, mantenha-os enquanto o relacionamento com o cliente durar e para obrigações legais relacionadas (por exemplo, fins fiscais). Exclua os dados quando eles não forem mais necessários para os fins para os quais você os coletou.
Funcionalidades do Microsoft 365 que podem ajudar no Passo 3
As políticas de retenção e rótulos podem ser usados para ajudá-lo a manter dados pessoais por um determinado tempo e excluí-los quando eles não forem mais necessários.
Etapa 4: Proteger os dados pessoais que você está processando
Se você armazenar dados pessoais em um sistema de TI, limite o acesso aos arquivos que contêm os dados, por exemplo, por uma senha forte. Atualize regularmente as configurações de segurança do sistema.
Observação
O GDPR não determina o uso de nenhum sistema de TI específico, mas faz com que o sistema tenha o nível apropriado de segurança. Consulte o artigo 32 do GDRP: Segurança do Processamento para obter mais informações.
Se você armazenar documentos físicos com dados pessoais, verifique se eles não estão acessíveis por pessoas não autorizadas.
Se optar por armazenar dados pessoais na nuvem, como por meio do Microsoft 365, você tem recursos de segurança, como a capacidade de ajudá-lo a gerenciar permissões para arquivos e pastas, locais seguros centralizados para salvar seus arquivos (bibliotecas de documentos do OneDrive ou SharePoint) e criptografia de dados ao enviar ou recuperar seus arquivos.
Funcionalidades do Microsoft 365 que podem ajudar no Passo 4
Você pode usar Configurar recursos de conformidade para ajudar a proteger as informações confidenciais da sua empresa. O Gerenciador de Conformidade pode ajudá-lo a começar imediatamente! Por exemplo, pode Criar e Implementar políticas de prevenção de perda de dados que utilizam o modelo do RGPD.
Etapa 5: manter a documentação sobre suas atividades de processamento de dados
Prepare um breve documento explicando quais dados pessoais você contém e por quais motivos. Talvez seja necessário disponibilizar a documentação para sua autoridade nacional de proteção de dados, se necessário.
Esses documentos devem incluir as informações listadas abaixo.
| Informações | Exemplos |
|---|---|
| A finalidade do processamento de dados | Alertar os clientes sobre ofertas especiais, como o fornecimento de entrega residencial; fornecedores pagantes; cobertura de salário e previdência social para funcionários |
| Os tipos de dados pessoais | Detalhes de contato dos clientes; detalhes de contato dos fornecedores; dados de funcionários |
| As categorias de titulares de dados em questão | Funcionários; clientes; fornecedores |
| As categorias de destinatários | Autoridades de trabalho; autoridades fiscais |
| Os períodos de armazenamento | Dados pessoais dos funcionários até o final do contrato de emprego (e obrigações legais relacionadas); dados pessoais dos clientes até o fim da relação cliente/contratual |
| As medidas de segurança técnica e organizacional para proteger os dados pessoais | Soluções do sistema de TI atualizadas regularmente; local seguro; controle de acesso; criptografia de dados; backup de dados |
| Se os dados pessoais são transferidos para destinatários fora da UE | Uso de um processador fora da UE (por exemplo, armazenamento na nuvem); local de dados do processador; compromissos contratuais |
Você pode encontrar os compromissos contratuais da Microsoft em relação ao GDPR no Adendo de Proteção de Dados do Microsoft Online Services, que fornece os compromissos de privacidade e segurança da Microsoft, os termos de processamento de dados e os Termos do GDPR para serviços hospedados pela Microsoft aos quais os clientes assinam um contrato de licenciamento por volume.
Etapa 6: verifique se os subcontratados respeitam as regras
Se você sub-contratar o processamento de dados pessoais para outra empresa, use apenas um provedor de serviços que garanta o processamento em conformidade com os requisitos do GDPR (por exemplo, medidas de segurança).
Etapa 7: Atribuir alguém para supervisionar a proteção de dados pessoais
Para proteger melhor os dados pessoais, as organizações talvez precisem indicar um DPO (Diretor de Proteção de Dados). No entanto, talvez você não precise designar um Responsável pela Proteção de Dados se o processamento de dados pessoais não for uma parte fundamental da sua empresa ou se você for uma pequena empresa. Por exemplo, se sua empresa coleta apenas dados sobre seus clientes para entrega em casa, você não precisa indicar um DPO. Mesmo que você precise usar um DPO, essas tarefas podem ser atribuídas a um funcionário existente, além de suas outras tarefas. Ou você pode optar por contratar um consultor externo para este trabalho, conforme necessário.
Normalmente, você não precisa realizar uma Avaliação de Impacto da Proteção de Dados. Isso é reservado para empresas que representam mais riscos para dados pessoais (por exemplo, se fizerem um monitoramento em grande escala de uma área publicamente acessível, como vigilância por vídeo).
Se você for uma pequena empresa gerenciando funcionários e uma lista de clientes, normalmente não precisará fazer uma Avaliação de Impacto da Proteção de Dados.
Perguntas comuns sobre o GDPR (Regulamentação de Proteção Geral de Dados)
Eu sou um proprietário exclusivo – realmente preciso me preocupar com o GDPR?
O GDPR é sobre os dados que você processa, não o número de funcionários que você tem. Ela afeta empresas de todos os tamanhos, até mesmo proprietários exclusivos. No entanto, as empresas com menos de 250 funcionários têm algumas isenções, como a redução da manutenção de registros, mas somente se você tiver certeza de que o processamento de dados não afeta os direitos do indivíduo e está processando ocasionalmente.
Por exemplo, o processamento de dados não pessoais seria isento ou precisaria de medidas reduzidas. No entanto, se você processar dados que são vistos como "dados confidenciais de categoria especial", mesmo que apenas ocasionalmente, você precisará registrar esse processamento de dados. A definição de "processamento ocasional" é inválida, mas destina-se a se aplicar a dados usados uma vez ou raramente.
Você também deve garantir que os dados pessoais coletados estejam protegidos. Isso significa que você precisa criptografá-los e garantir que o acesso a eles seja controlado usando pelo menos uma senha. Manter os dados do cliente em uma planilha na área de trabalho sem proteção não atenderá às expectativas do GDPR.
Como saber se o site da empresa está em conformidade com o GDPR?
A primeira pergunta a se fazer é: você coleta dados pessoais em qualquer lugar do seu site? Por exemplo, você pode ter um formulário de contato que solicita um nome e um endereço de email. Se você quiser enviar emails de marketing, certifique-se de adicionar uma caixa de seleção 'aceitação' que explica exatamente para que você usará os dados. Somente se o destinatário verificar essa caixa, você poderá usar seus dados pessoais para fins de marketing.
Além disso, verifique se o banco de dados que armazena os dados está protegido. Sua empresa de hospedagem na web ou fornecedor de armazenamento em nuvem poderá informar sobre isso. Se você usar Microsoft 365 para Empresas, o armazenamento de dados estará em conformidade com o GDPR.
Minha empresa está fora da Europa. O GDPR realmente nos afeta?
O GDPR é uma regulamentação que protege os cidadãos da UE. Se sua empresa lida com cidadãos da UE agora, ou no futuro, você será afetado. Isso se aplica aos cidadãos que vivem em um Estado da UE e aos que estão em outro lugar.
Considere os seguintes exemplos:
Uma empresa dos EUA que contrata carros para cidadãos da UE precisará atender aos requisitos do GDPR ao coletar e processar os dados do cliente. A empresa precisará dar consentimento quando receber os dados do cliente e garantir que os dados sejam armazenados com segurança. Eles também precisarão garantir que o cliente possa aplicar todos os seus direitos de titulares de dados.
Uma empresa australiana vende produtos online e seus usuários configuram contas online. O consentimento e os direitos do titular dos dados do GDPR serão aplicados aos cidadãos da UE que abrirem uma conta. A empresa precisará garantir que o cliente possa aplicar todos os seus direitos do titular dos dados.
Uma instituição de bem-sucedida internacional coleta dados sobre remetentes e os usa para enviar atualizações e solicitações de doações. O RGPD afirma: "... o processamento de dados pessoais para fins de marketing direto pode ser considerado como tendo um interesse legítimo." No entanto, a responsabilidade é da organização provar que os seus interesses substituem os do titular dos dados. A empresa (ou, nesse caso, a organização parceira) deve sempre obter consentimento informado, explícito e de aceitação.
O GDPR também se aplica se os dados do cliente se movem entre fronteiras. Se você usar a computação em nuvem para armazenamento de dados, precisará verificar se o serviço está totalmente em conformidade com o GDPR. Isso poderá ficar complicado se o armazenamento de dados estiver em locais com um histórico ruim de proteção de dados. Se você usar o Microsoft 365 para Empresas, temos a documentação legal correta em vigor para atender aos requisitos do GDPR.
Claro, eu coletei dados, mas alguma outra empresa os armazena. Isso me isenta?
No GDPR, se você coletar dados, será afetado até certo ponto. O GDPR tem o conceito de um processador de dados e um controlador de dados:
Controlador de Dados: uma pessoa ou organização (você pode ter controladores conjuntos) que decide como, o que e por que os dados são coletados. Eles podem armazená-lo usando os servidores de nuvem de outra empresa. Por exemplo, um site que coleta dados do cliente é um controlador.
Processador de Dados: uma pessoa ou organização que armazena dados em nome dos controladores e processa esses dados mediante solicitação. Por exemplo, o armazenamento de dados do Microsoft 365 Apps para Pequenos e Médios negócios atua como um processador e está totalmente em conformidade com o GDPR.
Uma organização ou sistema pode atuar como um controlador e um processador. O Microsoft 365 para Empresas pode agir como ambos e estar em conformidade com o RGPD.
Ainda posso enviar emails de marketing para meus clientes antigos?
Você precisa garantir que seus clientes, mesmo aqueles que você teve por anos, consintam em usar seus dados para marketing. Você pode ter capturado o consentimento anteriormente, bem como um registro para exibi-lo. Nesse caso, você está pronto para continuar o marketing. Caso contrário, você precisará obter permissão do cliente para continuar o marketing para ele. Isso geralmente envolve o envio de um email solicitando que os clientes acessem seu site e selecione uma opção para consentir em receber emails futuros.
Preciso me preocupar com o GDPR quando recruto novos funcionários? E os funcionários atuais?
O GDPR não afeta apenas os dados do cliente; ele também se estende aos dados dos funcionários. Novos recrutas geralmente estão localizados usando plataformas de mídia social, como o LinkedIn. Certifique-se de que você não armazene nenhum dado de recrutamento em potencial sem a permissão expressa.
Quanto aos funcionários existentes e novos contratos de funcionário, uma assinatura no final de um contrato não assume necessariamente o consentimento, especialmente quando uma cláusula não afirmativa é usada em um contrato. Nesse caso, você deve capturar o consentimento de maneira explícita associada à cláusula. O que isso significa depende do seu contrato de funcionário, mas você pode usar "interesse legítimo" em alguns casos e adicionar um aviso de processamento de dados de funcionários para garantir que seus funcionários estejam cientes do que você fará com seus dados.
Satisfazer preocupações de privacidade usando o Microsoft 365 para Empresas
Tornar-se compatível com o GDPR é garantir que os dados pessoais estejam protegidos. O GDPR tem um conceito conhecido como Privacidade por Design e Padrão. Isso significa que a proteção de dados deve ser "incorporada" a um sistema e a um produto para que as preocupações de privacidade sejam de segunda natureza.
Como suas contrapartes maiores, uma pequena empresa precisa de conveniência sem sacrificar a segurança. O Microsoft 365 para Empresas foi projetado para empresas com menos de 300 funcionários. Pequenas empresas podem usar ferramentas baseadas em nuvem da Microsoft para melhorar a produtividade dos negócios. Com Microsoft 365 para Empresas, uma pequena empresa pode gerenciar emails, documentação e até mesmo reuniões e eventos. Ele também tem medidas de segurança internas e gerenciamento de dispositivos, que são vitais para a conformidade com o GDPR.
O Microsoft 365 para Empresas pode ajudá-lo com o processo GDPR das seguintes maneiras:
Descobrir: uma etapa importante para a conformidade com o GDPR é saber quais dados você tem.
Gerenciar: controlar o acesso aos dados e gerenciar seu uso é uma parte integrante do RGPD. O Microsoft 365 para Empresas protege os dados corporativos com base nas políticas que você deseja aplicar aos dispositivos. O gerenciamento de dispositivos é vital em uma era em que os funcionários trabalham remotamente. O Microsoft 365 para Empresas inclui recursos de gerenciamento de dispositivos que garantem que os dados estão protegidos em todos os dispositivos. Por exemplo, você pode especificar que todos os Windows 10 em sua empresa sejam protegidos por meio do Windows Defender.
Proteger: o Microsoft 365 para Empresas foi projetado para segurança. Seus controles de proteção de dados e gerenciamento de dispositivo funcionam em sua rede de negócios, incluindo dispositivos remotos, para ajudar a manter os dados seguros. O Microsoft 365 para empresas oferece controlos como as definições de privacidade nas aplicações de produtividade do Microsoft 365 e a encriptação de documentos. Com o Microsoft 365 para Empresas, você pode executar o monitoramento de conformidade do GDPR para garantir que tenha o nível certo de proteção definido.
Relatório: o RGPD foca muito nos relatórios. Até mesmo uma empresa com um único funcionário, se essa empresa processar grandes quantidades de dados, será necessária para documentar e relatar seus procedimentos. O Microsoft 365 para Empresas tira a dor de cabeça dos requisitos de relatórios para organizações menores.
Ferramentas como logs de auditoria permitem rastrear e relatar a movimentação de dados. Os relatórios incluem a classificação dos dados coletados e armazenados, o que você faz com os dados e as transferências dos dados.
Consumidores, funcionários e clientes estão se tornando mais cientes da importância da privacidade de dados e agora esperam que uma empresa ou organização respeite essa privacidade. O Microsoft 365 para Empresas fornece as ferramentas para alcançar e manter a conformidade com o RGPD sem um grande transtorno para os seus negócios.
Próximas etapas
Para se preparar para o GDPR, aqui estão algumas sugestões para as próximas etapas a serem seguidas:
Avalie seu programa GDPR com a Verificação de Preparação de Responsabilidade.
Analise o Microsoft 365 para empresas como uma solução para alcançar e manter a conformidade com o RGPD.
Importante
Obtenha conselhos legais apropriados para sua empresa ou organização.
Recursos adicionais
Visão geral da do GDPR pela Central de Confiabilidade da Microsoft
O Blog Oficial da Microsoft: compromisso da Microsoft com o GDPR
Sites da Comissão Europeia: