Cumprimento de obrigações do GDPR

Como as soluções SAP Ariba podem dar suporte à sua organização na jornada ao compliance com o GDPR

I. Introdução

Em maio de 2016, a União Europeia (UE) adotou uma lei de proteção de dados harmonizada denominada GDPR (General Data Protection Regulation, Regulamento Geral de Proteção de Dados). A partir de 25 de maio de 2018, o GDPR será aplicado em todos os estados membros da UE e no Espaço Econômico Europeu (EEE). Embora o GDPR não introduza muitos conceitos substancialmente novos, aumenta consideravelmente as exigências de compliance de controladores e processadores de dados em relação à manipulação de dados pessoais.

Como empresa, a SAP está comprometida em assegurar o compliance com o GDPR em 25 de maio de 2018. A SAP tem sido consistente em sua abordagem à proteção de dados como parte dos padrões gerais de produtos e, agora, isso está sendo ampliado para refletir as novas exigências do GDPR.

Enquanto os clientes se preparam para o compliance, a SAP fez um resumo das mudanças introduzidas pelo GDPR, suas implicações e como os recursos do produto SAP podem ajudá-los a implementar exigências do GDPR.

Como parte da SAP, a SAP Ariba está usando uma abordagem proativa para ajudar os clientes no compliance com o GDPR. A segunda metade deste white paper descreve os recursos e suporte específicos da solução SAP Ariba disponíveis para ajudá-los nessa questão.

As informações contidas neste artigo servem apenas como orientação geral, com base no entendimento de que, por meio deste documento, a SAP não se compromete a fornecer aconselhamento jurídico. A responsabilidade de adotar medidas apropriadas para obter o compliance com o GDPR cabe aos clientes, como controladores, em termos de GDPR, e a SAP não se responsabiliza por quaisquer ações tomadas como resposta a esse white paper. Desse modo, tais informações não devem ser usadas em substituição a uma consulta jurídica ou profissional.

II. Objetivos

O objetivo do GDPR é harmonizar as exigências de proteção de dados em toda a Europa em um único regulamento. Ele se destina a pessoas jurídicas cuja capacidade de controlador ou processador é regulamentada por leis públicas e privadas. A nova lei visa a proteção dos direitos e liberdades das pessoas físicas, o aumento da confiança dos proprietários de dados nas organizações que retêm ou processam seus dados pessoais, e o fortalecimento do mercado interno da UE. Para isso, o GDPR fornece um conjunto uniforme de regras para regulamentar o processamento de dados pessoais em toda a UE. O nível de harmonização que o GDPR pode alcançar na UE, no entanto, está restrito na medida em que o regulamento contém cláusulas de abertura que permitem que estados membros da UE estabeleçam leis e exigências específicas do país para determinadas atividades de processamento de dados. Essas cláusulas de abertura, portanto, podem resultar na aplicação de regras e obrigações adicionais para controladores e processadores de dados, mas sem alterar ou mudar o regulamento original.

III. Escopo material

O GDPR tem um amplo escopo material que cobre o processamento de dados pessoais por meios automatizados ou de outra forma estruturada, incluindo aqueles destinados à parte de um sistema de arquivamento. Essa distinção fica clara quando o GDPR estabelece que não se aplica quando pessoas físicas processam dados pessoais exclusivamente durante uma atividade doméstica, particular ou puramente pessoal.

IV. Escopo territorial

Igualmente, o GDPR tem um amplo escopo territorial e se aplica a qualquer atividade de um controlador ou processador de dados na UE que inclua o processamento de dados pessoais de um indivíduo. A questão central é se o controlador ou processador está localizado na UE. O GDPR também se aplica a controladores de processadores localizados fora da UE, onde o processamento serve para oferecer mercadorias ou serviços a proprietários de dados que residem na UE ou para monitorar o comportamento desses proprietários.

V. Principais disposições

O GDPR introduz várias exigências legais novas que podem afetar substancialmente os negócios de um controlador ou processador. Portanto, cada controlador ou processador deve verificar as obrigações do GDPR que se aplicam a ele e decidir sobre como implementá-las corretamente.

Princípios gerais

De acordo com seus princípios gerais de processamento, o GDPR exige que o processamento de dados pessoais seja lícito, proporcionado, transparente, adequado, preciso, seguro, confidencial, limitado no tempo e a finalidades determinadas, e conduzido de maneira responsável. Isso implica a aplicação de segurança apropriada, inclusive medidas técnicas e organizacionais, para garantir a integridade e confidencialidade.

Dados pessoais

O GDPR define explicitamente seu significado pelo termo dados pessoais: quaisquer dados relacionados a um indivíduo identificado ou identificável. O Artigo IV(1) do GDPR define: "uma pessoa física identificável é aquela que pode ser identificada, de modo direto ou indireto, principalmente por referência a um identificador como nome, número de identificação, dados de localização e identificador online ou a um ou mais fatores específicos da identidade física, fisiológica, genérica, mental, econômica, cultural ou social dessa pessoa física." O termo inclui claramente metadados e outros dados associados, como endereços IP, cookies ou outros identificadores e ainda uma combinação desses dados, que possam rastrear um indivíduo. O GDPR ampliou o conhecido catálogo de categorias especiais de dados pessoais para incluir dados genéticos, dados biométricos, se usados para identificar unicamente uma pessoa física, e dados relacionados a condenações penais e infrações.

Licitude

O processamento de dados pessoais só será lícito se um dos critérios de permissão, conforme estabelecidos no GDPR, for atendido. Na ausência de permissão legal, as organizações precisam do consentimento das pessoas cujos dados vão ser processados. Esse consentimento deve cobrir todas as finalidades para as quais as organizações (que pretendem processar os dados) coletam e processam os dados e dar o direito à pessoa de retirar o consentimento a qualquer hora. Isso significa que o consentimento generalizado ou global de várias finalidades não especificadas não é válido para o processamento de dados pessoais.

Responsabilização

O GDPR visa a melhoria da responsabilização daqueles que processam dados pessoais e o aumento da transparência dos dados que estão sendo processados. Apesar de sua semelhança na essência e estrutura com a atual Diretiva da UE, o GDPR adotará uma linha muito mais dura para ajudar na aplicação. As multas pela falta de compliance são consideravelmente altas, incluindo multas administrativas de até €20 milhões ou de  4% do volume de negócio anual global da empresa, o que for maior, e com possíveis pedidos de indenização e outros riscos de responsabilidade legal, criadas para que as empresas aprimorem estruturas e processos internos e cumpram o regulamento.

Proteção de dados por design e por padrão

Nos termos do GDPR, a privacidade deve ser incorporada intencionalmente e ser adotada, por padrão, nos sistemas e processos. As organizações são obrigadas a assegurar que o processamento de dados pessoais tenha uma finalidade específica e precisam demonstrar que a proteção dos dados está no cerne da estrutura de TI e design de solução.

Segurança técnica e organizacional

Essas empresas também são obrigadas a implementar todas as medidas técnicas e organizacionais (TOMs) necessárias para garantir o nível de segurança apropriado ao risco do processamento para os proprietários de dados. Portanto, é necessário analisar a estrutura interna de processos e ativos de TI da organização para identificar e mapear fluxos de dados que incluem dados pessoais. Isso ajudará a determinar a adequação da estrutura de segurança.

Direitos do proprietário de dados

Guiados pelo conceito de que o indivíduo deve saber e sempre ser capaz de identificar quais dados pessoais são processados, por quem, para qual finalidade e durante quanto tempo, os controladores de dados precisarão fornecer ativamente determinadas informações gerais e específicas. Isso está de acordo com os conceitos revisados de portabilidade de dados do GDPR e os direitos individuais para acessar, recusar/objetar ou ser esquecido. As organizações envolvidas no processamento de dados pessoais necessitarão, portanto, de processos internos robustos com funções designadas.

Governança de dados

As organizações precisam implementar uma série de medidas sistemáticas para reduzir o risco de violação. Como controladores de dados, os clientes precisam demonstrar ao proprietário de dados e aos reguladores que eles estão em conformidade com a regulamentação vigente, e como processador de dados, a SAP precisa demonstrar o mesmo para os clientes. A complexidade aumenta quando as empresas precisam acompanhar todas as finalidades para as quais os dados pessoais são processados e quando elas precisam que todos os indivíduos deem consentimento para cada caso de uso de processamento de dados. Essas medidas precisam ser incorporadas às infraestruturas de TI. Dependendo do resultado de uma avaliação de risco de proteção de dados da empresa, medidas como a nomeação de um responsável pela proteção de dados dedicado, a execução de avaliações do impacto na privacidade e a adoção de procedimentos de auditoria regulares ajudarão a manter o compliance.

Notificação de violação

Quando algo dá errado – quando as medidas organizacionais internas não conseguem impedir a violação aos dados ou quando ocorre o processamento de dados pessoais sem finalidade lícita. No caso de uma violação de dados, os controladores de dados devem notificar a autoridade supervisora e os indivíduos afetados no prazo de 72 horas do conhecimento da situação. Os processadores devem informar os controladores de dados sem demora ao tomarem conhecimento da violação de dados pessoais.

VI. Papel das soluções e serviços SAP Ariba

As soluções SAP Ariba ajudarão os clientes no compliance com o GDPR de várias maneiras. Por exemplo:

  • As soluções SAP Ariba oferecem suporte ao gerenciamento e proteção de dados de colaboradores e fornecedores, inclusive acessibilidade e visibilidade de dados, para que as equipes de compras e cadeia de suprimentos do cliente possam se concentrar na conclusão dos negócios.

  • Com as soluções SAP Ariba, o cliente pode fortalecer e proteger a importante colaboração com os fornecedores, gerenciando tudo, do sourcing ao financeiro.

  • As soluções SAP Ariba dão suporte às exigências de responsabilidade, segurança e proteção de dados da organização. 

Papéis e definições do GDPR relativos a serviços SAP Ariba

Controlador de dados: o Artigo IV(7) do GDPR define: "'controlador' significa uma pessoa física ou jurídica, autoridade pública, agência ou outro órgão que, sozinho ou juntamente com outros, determina as finalidades e meios do processamento de dados pessoais" (ênfase dada).

Em geral, o controlador assume a responsabilidade por todos os dados pessoais coletados e precisa garantir que os direitos do proprietário de dados e as obrigações legais do controlador sejam também abrangidos pelo processador.

  • Os clientes da SAP Ariba são controladores de dados quando usam aplicativos SAP Ariba. A SAP Ariba atua como processador de dados em nome do cliente por meio do contrato, por exemplo, acordo de proteção de dados, descrição de serviço ou definição de trabalho.

  • Os fornecedores da SAP Ariba são controladores de dados, pois são totalmente responsáveis pelos dados pessoais inseridos no Ariba Network, por exemplo, por autorregistro.

Processador de dados: o Artigo IV(8) do GDPR define: "'processador' significa uma pessoa física ou jurídica, autoridade pública, agência ou qualquer outro órgão que processa dados pessoais em nome do controlador" (ênfase dada).

Em geral, isso se refere ao processamento de dados com base nas instruções do controlador de dados contratado.

  • A SAP Ariba, como fornecedor de soluções em nuvem de clientes e fornecedores, é o processador de dados dos clientes e fornecedores (que são controladores de dados).

Soluções SAP Ariba e dados pessoais

  • Categorias de dados pessoais: as soluções SAP Ariba só processam informações simples de contato comercial de indivíduos como contatos de usuários ou de empresas, por exemplo, endereço de email, número do colaborador, nome do colaborador, telefone comercial e endereço postal.

  • Categorias especiais de dados pessoais: a Declaração de Privacidade da SAP Ariba proíbe o uso das soluções no processamento de categorias especiais de dados pessoais.

  • Transferência internacional de dados: a SAP Ariba mantém acordos de transferência de dados com as afiliadas da SAP/SAP Ariba e subprocessadores que estiverem em conformidade com as exigências da UE relativas à transferência internacional de dados pessoais. Esses acordos estão baseados nas cláusulas contratuais padrão da UE, que estão em total conformidade com o GDPR para assegurar um nível adequado de proteção de dados em caso de transferências de dados a outros países fora da UE.

  • Criptografia: os dados pessoais são criptografados no nível de armazenamento, todas as comunicações externas são criptografadas e as políticas de segurança correspondentes estão em vigor.

Como a SAP Ariba oferece suporte aos clientes como um processador de dados

  • A SAP Ariba implementa as medidas técnicas e organizacionais (TOMs) apropriadas, em termos de responsabilidade e tecnologia, mantendo registros de atividades de processamento, realizando avaliações do impacto na privacidade e incorporando privacidade por design e por padrão aos ciclos do produto. 

  • A SAP Ariba adere à abordagem unificada da SAP para todas as soluções em nuvem aplicando o acordo de processamento de dados (DPA) como parte substancial do contrato do cliente, que incorpora as cláusulas contratuais padrão (SCC) para fornecer garantias de proteção de dados aos clientes.

  • Os colaboradores da SAP Ariba devem, anualmente, participar de treinamento sobre conscientização de segurança/privacidade e proteção de dados que cobre os princípios de privacidade e tópicos de segurança.

  • A SAP está comprometida em ajudar os clientes a entender como as soluções SAP Ariba protegem a confidencialidade, a integridade e a disponibilidade dos dados e propicia a responsabilização contínua, publicando proativamente informações sobre certificados e atestados da SAP Ariba, acordos de processamento de dados, disponibilidade de solução em nuvem em tempo real e áreas similares no SAP Cloud Trust Center.

Recursos da solução SAP Ariba para dar suporte à prontidão do GDPR

  • Consentimento: as soluções SAP Ariba capturam consentimentos de usuários e confirmações dos avisos de privacidade antes de permitir o uso aos novos usuários. Isso inclui, por exemplo, a finalidade do processamento e as categorias de dados pessoais que estão sendo processadas. A SAP Ariba está revisando os mecanismos de consentimento integrados, por exemplo, declarações de privacidade configuráveis pelo cliente. As soluções também dão suporte à opção de recusa self-service para que os destinatários possam cancelar a assinatura de comunicados indesejados, por exemplo, notificações por email.

  • Direito a ser esquecido: as soluções voltadas ao comprador colocam o gerenciamento de usuários e funções nas mãos do administrador do cliente. A SAP Ariba está revisando também os recursos de exclusão e retenção de dados pessoais, por exemplo, a exclusão e anonimização de dados pessoais. De qualquer modo, a exclusão de dados gerais do cliente é realizada na rescisão do contrato.

  • Direito à retificação: os usuários da solução SAP Ariba podem editar ou corrigir dados pessoais nos perfis de usuário do sistema a qualquer hora.

  • Transparência: as soluções SAP Ariba oferecem visibilidade dos dados pessoais e preferências do usuário. A SAP Ariba está revisando também os recursos do administrador para dar suporte à exportação de dados de usuários em um formato padrão e uma visualização melhor dos registros de alteração.

  • Controle de autorização e divulgação:com as soluções SAP Ariba, os clientes podem gerenciar autorizações, autenticações e acessos baseados em função dos colaboradores, prestadores de serviços e terceiros. Os recursos detalhados de fluxo de trabalho e de emissão de tíquetes ajudam os novos usuários administradores do SAP Ariba a adaptar o acesso do usuário às mudanças de funções e a gerenciar usuários inativos.

  • Privacidade por design e por padrão: o desenvolvimento dos produtos SAP Ariba segue os requisitos de segurança de orientação padrão de produto da SAP. Os princípios de privacidade adicionais são aplicados na fase do design, por exemplo, a prática de coleta limitada de dados pessoais. As configurações padrão são definidas com restrição máxima, abrangendo:

  • Exclusão de informações de identificação pessoal (PII) na rescisão do contrato e sob demanda

  • Consentimento para aviso de privacidade (customizável)

  • Registro em log no nível de campo e acesso a logs

  • Visibilidade, edição e portabilidade de PII

  • Tempo de retenção configurável e processamento restrito

  • Aceitação e recusa self-service e registro em log

  • Mecanismos padrão do setor de acesso a dados, autenticação, autorização e criptografia

Serviços SAP Ariba para dar suporte à prontidão do GDPR

  • Notificação de violação de dados: em caso de violação de dados pessoais, os serviços SAP Ariba fornecem total suporte a obrigações de notificação de violações de dados sem demora. A SAP Ariba oferece um processo completo, desde o reconhecimento de violação até a notificação ao cliente.

  • Direitos do proprietário de dados: os serviços SAP Ariba dão suporte ao cliente nas questões relacionadas à privacidade e fornecem assistência no caso de obrigação de responder ao exercício de direitos de pessoas físicas ou de obrigações relacionadas à segurança de informações pessoais.

  • Transparência: os serviços SAP Ariba dão suporte aos clientes no cumprimento da obrigação de manter registros de atividades de processamento, fornecendo o componente da solução SAP Ariba que tem total compliance com as exigências do GDPR para processadores de dados. A SAP Ariba também realiza avaliações do impacto na proteção de dados (DPIAs) dos novos produtos/serviços (inovações) e mudanças regulares de produto/serviço no ciclo de lançamento.

  • Responsabilização: a SAP Ariba oferece garantia por meio de atividades de responsabilização contínua, por exemplo, certificação regular, avaliação de risco e avaliação de segurança de aplicativos, rede e infraestrutura de TI, e programas e políticas de segurança documentados e treinamentos regulares de segurança.

  • Compliance do subprocessador: a SAP Ariba assegura o compliance contínuo do subprocessador por meio de análise de contrato do subprocessador e avaliação de riscos à segurança usando processos de compras corporativas padrão da SAP, incluindo acordos de proteção de dados que regulamentam a proteção de dados pessoais. Uma lista de subprocessadores aprovados é fornecida e atualizada periodicamente para os clientes.

VII. Outras informações

Para saber mais sobre o GDPR, acesse o SAP Cloud Trust Center, examine os documentos relacionados ao GDPR no site da Comissão Europeia ou verifique o manual sobre a lei europeia de proteção de dados.

No caso de questões específicas relacionadas à sua conta e a quaisquer acordos ou contratos existentes com a SAP Ariba, contate seu representante.

Faça o download da versão em PDF dessas informações