O que é GDPR?
O GDPR é uma lei de proteção de dados e de privacidade da União Europeia (UE), que regula como os dados de residentes da UE devem ser protegidos pelas empresas e que amplia o controle dos residentes europeus sobre os seus dados pessoais.
O GDPR é relevante para qualquer empresa que opere globalmente e não apenas para empresas e residentes da UE. Os dados dos nossos clientes são importantes, independentemente de onde estejam localizados; por isso, implementamos os controles do GDPR como padrão para todas as nossas operações, em todo o mundo. O GDPR entrou em vigor em 25 de maio de 2018.
O que são dados pessoais?
Qualquer dado que se relacione a um indivíduo identificado ou identificável. O GDPR considera um amplo conjunto de informações que podem ser usadas, isoladamente, ou em combinação com outras informações, para identificar uma pessoa. Os dados pessoais vão além do nome ou do endereço de e-mail da pessoa. Alguns exemplos são informações financeiras, opiniões políticas, dados genéticos, dados biométricos, endereços IP, endereço físico, orientação sexual e etnia.
Como o Zoho está preparado para o GDPR?
Temos agido em várias frentes para aderir a essa nova norma.
- Estimulamos a conscientização em toda a empresa, por meio de discussões frequentes em nosso canais internos e com funcionários treinados para lidar com os dados de forma adequada. Agora eles entendem a importância da segurança das informações e os altos padrões definidos pelo GDPR.
- Avaliamos todos os produtos Zoho individualmente em relação aos requisitos do GDPR e implementamos novos recursos que proporcionarão ao usuário mais controle sobre os dados e facilitarão a conformidade com o GDPR.
Veja como alguns de nossos produtos foram preparados para o GDPR.
- Constituímos um Registro de Ativos de Informação (Information Asset Register - IAR), que inclui informações sobre todas as funções que a Zoho assume, tais como controladora de dados e processadora. O registro detalha várias categorias de dados pessoais processados por nossa organização e quais departamentos têm acesso a que dados e com que finalidade. Trata-se de uma cobertura abrangente de todos os nossos processos e procedimentos.
- Avaliamos nossos subprocessadores (provedores de serviços de terceiros e parceiros) e ajustamos os contratos com esses parceiros, para garantir que atendam às necessidades atuais de segurança e privacidade.
- Designamos os defensores internos de privacidade em todas as nossas equipes. Também designamos um responsável pela protecção de dados (Data Protection Officer - DPO).
- Nossas equipes de aplicativos têm adotado o conceito de privacidade por projeto e oferecem ao usuário mais controle sobre os dados armazenados em nossos sistemas. Essas disposições podem variar, de acordo com a área e as características do produto. Estamos nos esforçando constantemente para oferecer a você mais melhorias, que deverão ser implementadas em etapas.
- Alteramos nosso Suplemento ao processamento de dados (com base nas cláusulas contratuais do modelo) para se adequar aos requisitos de processamento de dados do GDPR. Mediante solicitação, enviaremos o Suplemento ao processamento de dados revisado, para que você possa estar em conformidade com as obrigações do GDPR.
Se você for o administrador da organização e desejar assinar um DPA conosco, nós o disponibilizamos para ser assinado eletronicamente em poucas etapas simples.
- Se você estiver registrado em www.zoho.com, clique aqui.
- Se você estiver registrado em www.zoho.eu,clique aqui.
Observação: certifique-se de fazer login em sua conta Zoho antes de clicar no link. Você também pode enviar um e-mail para gdpr-compliance@zohocorp.com, para solicitar uma cópia do Suplemento ao processamento de dados.
- Realizamos DPIA (Data Protection Impact Assessments, Avaliações de impacto da proteção de dados). Com base nesses resultados, adotamos controles adequados de gerenciamento e processamento de dados.
- Realizamos auditorias internas de nossos produtos, processos, operações e gerenciamento. As conclusões foram comunicadas às nossas equipes, que desenvolveram as soluções para os problemas identificados.
- Com base nos DPIAs e nas auditorias internas, melhoramos nossos métodos e processos de segurança de dados. Isso inclui a criptografia de dados em repouso, com base no nível de sensibilidade e na probabilidade de riscos. Desenvolvemos ferramentas internas para melhor controle e descoberta de dados.
- Limpamos nossos bancos de dados para garantir que tenhamos apenas as informações mais precisas e mais recentes. Esse processo de limpeza inclui a remoção de contas inativas e encerradas, conforme nossos Termos de serviço.
- Quando necessário, notificações de violação serão emitidas, de acordo com a nossa política interna de resposta a incidentes de privacidade. Os clientes serão avisados sobre uma violação em até 72 horas depois de a Zoho detectá-la. Para incidentes gerais, notificaremos os usuários por meio de blogs, fóruns e redes sociais. No caso de incidentes específicos de um usuário individual ou de uma organização, notificaremos a parte interessada por e-mail (usando seu endereço principal).
- Revisamos nossa Política de privacidade para incluir as exigências das leis de privacidade aplicáveis com base em nosso inventário de dados, fluxos de dados e práticas de tratamento de dados.
Participe da sessão de perguntas e respostas, em formato de fórum ao vivo, e obtenha esclarecimentos sobre a Política de privacidade atualizada da Zoho, em sintonia com o GDPR. Pergunte agora!
Perguntas frequentes:
1. O que é GDPR?
- O GDPR (General Data Protection Regulation, Regulamento geral de proteção de dados) é uma mudança radical nas leis de privacidade e de proteção de dados. A UE percebeu que a tecnologia evoluiu drasticamente nas últimas décadas, mas que as leis de privacidade não acompanharam essa mudança. Em 2016, órgãos normativos da UE decidiram atualizar a Diretiva de proteção de dados, para adequá-la aos novos tempos. Essa lei cria uma lista abrangente de normas que regem o processamento de dados pessoais dos residentes da UE.
2. A quem ela se aplica?
- O GDPR se aplica a qualquer organização que trabalhe com dados pessoais de residentes da UE. A lei introduz novas obrigações para processadores de dados, embora indique claramente a responsabilidade dos controladores de dados.
3. Onde se aplica o GDPR?
- Essa lei não tem limites territoriais. Não importa de onde seja sua organização, mas se ela processa dados pessoais de indivíduos da UE, a empresa está sob a jurisdição dessa lei.
4. Quais são as penalidades pelo não cumprimento dessa lei?
- Uma violação do GDPR implica multa de até 4% do faturamento anual global ou de €20 milhões (o que for maior).
5. Quem são os principais envolvidos?
- Titular dos dados- Uma pessoa residente na UE que é titular dos dados
- Controlador dos dados- Determina a finalidade e as formas de processamento dos dados
- Processador de dados- Processa os dados de acordo com as instruções do controlador
- Autoridades de supervisão- Autoridades públicas que monitoram a aplicação da norma
6. O que são dados pessoais ou PII (Personally Identifiable Information, Dados Pessoais Identificáveis)?
- Qualquer informação relacionada a uma pessoa natural identificada ou identificável. Os identificadores são classificados em dois tipos: diretos (por exemplo, nome, e-mail, número de telefone etc.) e indiretos (por exemplo, data de nascimento, gênero etc.).
7. Quais são as principais mudanças em relação às normas anteriores?
- Novos direitos e direitos aprimorados dos titulares dos dados– Essa lei fornece ao indivíduo o direito de exercer total autoridade sobre seus dados pessoais. Alguns dos direitos destacados na norma são:
- Consentimento explícito: Os titulares dos dados devem ser informados sobre como seus dados serão processados. As organizações devem proporcionar aos titulares dos dados a mesma facilidade para concessão e de retirada de seu consentimento.
- Direito de acesso: o titular dos dados pode solicitar ao controlador, a qualquer momento, informações sobre quais de seus dados pessoais estão sendo armazenados ou mantidos.
- Direito de ser esquecido: o titular dos dados pode solicitar ao controlador a remoção de seus dados pessoais dos sistemas.
Obrigações dos processadores – O GDPR elevou as responsabilidades e obrigações também dos processadores de dados. Os processadores devem demonstrar a conformidade com o GDPR e devem seguir as instruções do controlador de dados. Diretor de proteção de dados – As organizações podem precisar indicar um membro da equipe ou um provedor de serviços externo como responsável por supervisionar as práticas gerais de proteção de dados e a conformidade com o GDPR e com o gerenciamento de privacidade.Avaliações de impacto de privacidade (API) – As organizações devem realizar avaliações de impacto de privacidade do seu processamento de dados em larga escala, para minimizar os riscos e identificar medidas para atenuá-los.Notificação de violação – Os controladores devem notificar as partes interessadas (autoridades competentes e, quando aplicável, os titulares dos dados) em até 72 horas depois de detectarem uma violação.- Portabilidade de dados: o controlador deverá ser capaz de fornecer aos titulares dos dados uma cópia dos seus dados pessoais em formato legível por computador. Se possível, o controlador deve conseguir transferir os dados para outro controlador.
8. Quais são as bases legais que o controlador de dados pode usar para processar os dados do cliente?
- O controlador de dados pode escolher entre seis bases de processamento de dados. São elas:
- Contrato – Aplica-se quando você precisa processar os dados pessoais do cliente para cumprir obrigações contratuais ou para executar alguma ação com base na solicitação do cliente (por exemplo, enviar uma cotação ou fatura).
- Obrigação legal – Aplica-se quando você tem que cumprir uma obrigação por força de qualquer lei aplicável (por exemplo, fornecer informações em atendimento a solicitações válidas, como a investigação por uma autoridade).
- Interesses vitais – Aplica-se a questões urgentes de vida ou morte, especialmente com relação a dados de saúde.
- Função pública – Aplica-se a atividades de autoridades públicas.
- Interesses legítimos – Interesses legítimos podem incluir interesses comerciais, como marketing direto, interesses individuais ou benefícios societários mais amplos. O controlador deve documentar e manter um registro das decisões sobre interesses legítimos na forma de uma avaliação de interesses legítimos.
- Consentimento – O consentimento também é uma base legal para processamento dos dados. O consentimento do titular dos dados significa "qualquer indicação não ambígua, específica, informada e fornecida livremente, a respeito do desejo do titular dos dados, em que ele ou ela, por uma declaração ou por uma clara ação afirmativa, expresse concordância com o processamento dos dados pessoais a ele ou ela relacionados".
9. O que significa LIA?
- LIA, do inglês Legitimate Interests Assessment, significa avaliação de interesses legítimos. Nela, a organização especifica o motivo pelo qual deseja processar os dados pessoais de um cliente. A organização também deve realizar uma LIA para mostrar que o processamento é necessário.
- A avaliação indica se existe um interesse legítimo.
- O estabelecimento da necessidade do processamento.
- O desempenho do teste de balanceamento.
10. O GDPR requer que os dados pessoais da UE fiquem na UE?
- Não, o GDPR não requer que dados pessoais da UE permaneçam na UE, nem aplica novas restrições sobre transferências de dados pessoais para fora da UE. Nosso suplemento ao processamento de dados, que contém referências a cláusulas modelo da Comissão Europeia, continuará ajudando nossos clientes nas transferências de dados pessoais da UE para fora da UE.
11. Onde meus dados estão localizados?
- Os dados de clientes zoho.com ficarão armazenados em data centers dos EUA, enquanto os da zoho.eu serão armazenados em nossos data centers na UE.
12. Onde posso encontrar recursos adicionais sobre o GDPR?
- Eis alguns links que você pode consultar para leitura adicional sobre o GDPR:
- Encontre sua autoridade supervisora – http://gdprandyou.ie/resources
- Supervisor de proteção de dados na UE – https://edps.europa.eu
- Site do GDPR da UE - https://www.eugdpr.org/
- Regras para empresas e organizações – https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_en
- Guia sobre o GDPR para a sua organização – https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/
- Observação: A Zoho Corporation não é responsável pelo conteúdo dessas páginas e não endossa esses links.
Recursos:
Nosso compromisso contínuo com a sua privacidade – Sridhar Vembu, CEO Zoho Corp.
Sinta-se à vontade para enviar perguntas e compartilhar dúvidas conosco em privacy@zohocorp.com.
Escolha a privacidade. Escolha Zoho.
Saiba mais sobre como a Zoho se preparou para o GDPR.
Isenção de responsabilidade: as informações apresentadas aqui não devem ser consideradas como aconselhamento jurídico. Recomendamos que você procure consultoria jurídica sobre o que precisa fazer para cumprir os requisitos do GDPR.



