Glossário
O que é o GDPR — as regras de proteção de dados da UE e o dever de notificar vazamentos
O GDPR (Regulamento Geral de Proteção de Dados da UE) protege os dados pessoais de pessoas na UE. A quem se aplica, o que exige — minimização, consentimento, notificação de vazamento, multas — e o básico da defesa.
O GDPR é a lei de dados pessoais a conhecer se você atende usuários da UE. Aqui estão o essencial e o básico da defesa em termos técnicos/operacionais — sem passos de ataque.
O que ele exige
Além do detalhe jurídico, foque nos pilares operacionais que de fato funcionam como defesa.
Não colete nem guarde (minimização de dados)
Colete e mantenha apenas os dados pessoais mínimos de que a sua finalidade precisa. Dados que você não guarda não podem vazar — a defesa mais forte. Apague-os quando não forem mais necessários.
Proteja (criptografia, controle de acesso)
Criptografe os dados pessoais e restrinja-os a "apenas quem pode tocá-los" via autorização. Mantenha os segredos fora da superfície pública (→ mantenha segredos fora de diretórios públicos).
Detecte e reporte (a regra das 72 horas)
Detecte um vazamento rapidamente e mantenha logs para rastrear seu impacto. Esteja pronto para notificar a autoridade em cerca de 72 horas. Sem detecção, você não consegue cumprir o dever.
'Não é relevante' não é uma suposição segura
O GDPR pode valer onde quer que a empresa esteja localizada se ela oferece bens/serviços a pessoas na UE ou monitora o comportamento delas. Se você atende usuários da UE ou lida com os dados pessoais deles, "não somos uma empresa da UE" não torna isso irrelevante. Um começo prático é um inventário de quais dados pessoais você guarda e por quê.
A visão deste site: conformidade e defesa apontam para o mesmo lado
Os requisitos do GDPR apontam na mesma direção que a defesa que este site prega: minimize os dados pessoais, criptografe-os, restrinja-os com autorização, e seja capaz de detectar e registrar um vazamento. Isso não é só pela lei — é a forma básica de ter menos incidentes. Tratar a regulação como "uma reconferência das suas defesas" em vez de "carga extra" é a postura realista para uma operação pequena.
Leia em seguida
- Básico: autenticação vs autorização (restringir dados ao seu dono) · a checklist mínima de segurança
- Glossário: criptografia de chave pública · PCI DSS (outro padrão para dados sensíveis)
- Relacionado: OWASP Top 10 · a história da segurança (linha do tempo)
Fonte
- Comissão Europeia — GDPR (oficial): commission.europa.eu
FAQ
QO GDPR se aplica a empresas fora da UE?
Pode se aplicar. O GDPR pode valer onde quer que a empresa esteja localizada se ela oferece bens ou serviços a pessoas na UE, ou monitora o comportamento delas. Se você atende usuários da UE ou lida com os dados pessoais deles, você pode estar no escopo — 'não somos uma empresa da UE' não significa automaticamente 'não é relevante'.
QQuais são os pontos técnicos essenciais do GDPR?
Em linhas gerais: (1) obter uma base legal (ex.: consentimento) e declarar uma finalidade clara; (2) coletar e guardar apenas os dados mínimos necessários (minimização de dados); (3) proteger os dados pessoais com criptografia e controle de acesso; (4) ser capaz de atender a pedidos de acesso/apagamento; (5) ser capaz de detectar um vazamento rapidamente e notificar a autoridade, em geral em até 72 horas.
QO que faço se houver um vazamento?
Sob o GDPR, você geralmente precisa notificar a autoridade supervisora em até 72 horas depois de tomar conhecimento de um vazamento de dados pessoais (e, às vezes, as pessoas afetadas). É exatamente por isso que você precisa ser capaz de detectar um incidente rapidamente e ter logs para rastrear seu alcance. Sem detecção e registros, você nem sequer consegue cumprir o dever de notificação.