O que é GDPR (Regulamento Geral de Proteção de Dados)?

O que é GDPR (Regulamento Geral de Proteção de Dados)?

O que é oRegulamento Geral de Proteção de Dados (GDPR)estabelece diretrizes que abrangem vários aspectos da proteção de dados e privacidade para indivíduos dentro da União Europeia (UE) e do Espaço Econômico Europeu (EEE), incluindo como as organizações devem lidar, processar e proteger dados pessoais. Abaixo está uma visão geral dos principais elementos abordados nas diretrizes do GDPR:

1.Escopo e Aplicabilidade

O GDPR aplica-se a:

  • Todas as organizações(incluindo empresas, organizações sem fins lucrativos e governos) que processam dados pessoais de indivíduos na UE ou no EEE, independentemente de onde a organização esteja localizada.
  • Controladores de dados(que determinam a finalidade e os meios de processamento) eprocessadores de dados(que processam dados em nome dos controladores).

Aplica-se a qualquer tipo de processamento de dados pessoais, incluindo coleta, registro, armazenamento, alteração, recuperação, consulta, uso, divulgação, apagamento e destruição.

2.Definições principais

  • Dados pessoais: Qualquer informação que possa identificar direta ou indiretamente um indivíduo (por exemplo, nome, endereço de e-mail, endereço IP, dados de localização, etc.).
  • Dados pessoais sensíveis: Categorias especiais de dados que exigem proteção extra, como origem racial ou étnica, opiniões políticas, crenças religiosas, dados de saúde, dados biométricos e orientação sexual.
  • Titular dos dados: O indivíduo a quem os dados pessoais pertencem.
  • Controlador de dados: A entidade que determina os propósitos e meios de processamento de dados pessoais.
  • Processador de dados: A entidade que processa dados em nome do controlador.

3.Princípios de Processamento de Dados

O GDPR baseia-se no seguintesete princípios fundamentaisde processamento de dados:

  1. Legalidade, equidade e transparência: Os dados devem ser processados de forma legal, justa e transparente. Os indivíduos devem ser informados sobre o processamento dos seus dados.
  2. Limitação do propósito: Os dados pessoais devem ser recolhidos para fins específicos, explícitos e legítimos, e não utilizados de formas incompatíveis com esses fins.
  3. Minimização de dados: Os dados recolhidos devem ser adequados, relevantes e limitados ao necessário para a finalidade pretendida.
  4. Precisão: Os dados pessoais devem ser precisos e atualizados.
  5. Limitação de armazenamento: Os dados não devem ser armazenados por mais tempo do que o necessário para os fins para os quais foram recolhidos.
  6. Integridade e Confidencialidade: Os dados devem ser processados de forma segura, garantindo proteção contra acesso, perda ou dano não autorizado ou ilícito.
  7. Responsabilidade: Os controladores de dados são responsáveis por garantir o cumprimento dos princípios acima e devem ser capazes de demonstrar conformidade.

4.Bases legais para processamento

Os dados pessoais só podem ser processados se houver uma base jurídica válida, tais como:

  • Consentimento: O indivíduo deu consentimento explícito para um propósito específico.
  • Contrato: O processamento é necessário para a execução de um contrato com o indivíduo.
  • Obrigação legal: O processamento é obrigado a cumprir a lei.
  • Interesses vitais: O processamento é necessário para proteger a vida de alguém.
  • Tarefa pública: O processamento é necessário para executar uma tarefa de interesse público.
  • Interesses legítimosO tratamento for necessário para os interesses legítimos do responsável pelo tratamento, salvo se anulado pelos direitos do indivíduo.

5.Direitos do titular dos dados

O GDPR concede vários direitos aos indivíduos em relação aos seus dados pessoais:

  1. Direito a ser informado: Os indivíduos têm o direito de saber como seus dados são coletados, usados e compartilhados (através de uma política de privacidade).
  2. Direito de Acesso: Os indivíduos podem solicitar acesso aos seus dados pessoais e como estão sendo processados.
  3. Direito à Rectificação: Os indivíduos podem solicitar que os dados imprecisos ou incompletos sejam corrigidos.
  4. Direito à Apagar ("Direito a ser esquecido"): Os indivíduos podem solicitar a exclusão dos seus dados pessoais em determinadas circunstâncias (por exemplo, quando os dados já não são necessários).
  5. Direito de Restringir o processamento: Os indivíduos podem solicitar que seus dados sejam restritos ao processamento sob determinadas condições.
  6. Direito à portabilidade de dados: Os indivíduos podem solicitar que seus dados sejam transferidos para outra organização ou diretamente para si mesmos em um formato estruturado, comumente usado e legível por máquina.
  7. Direito ao objeto: Os indivíduos podem opor-se ao processamento dos seus dados pessoais para determinados fins, incluindo marketing direto.
  8. Direitos relacionados à tomada de decisões automatizadas e criação de perfilO indivíduo tem o direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, incluindo a definição de perfis, salvo se determinadas condições.

6.Avaliações de impacto de proteção de dados (DPIAs)

Os DPIAs devem ser conduzidos quando as atividades de processamento de dados possam resultar em um alto risco para os direitos e liberdades dos indivíduos. Isso normalmente se aplica ao processamento, criação de perfis ou processamento em larga escala de dados confidenciais.

7.Notificações de violação de dados

As organizações devem notificar a autoridade de proteção de dados relevante (no Reino Unido, este é o Escritório do Comissário de Informação ou ICO) dentro72 horastomar conhecimento de uma violação de dados pessoais que represente um risco para os direitos e liberdades dos indivíduos. Se a violação for susceptível de resultar em riscos elevados, os indivíduos afetados também devem ser informados.

8.Transferências de dados fora da UE/EEE

As transferências de dados pessoais para países fora da UE/EEE só são permitidas se:

  • O país receptor oferece umnível adequado de proteçãocomo determinado pela Comissão Europeia.
  • salvaguardas adequadas, tais comoCláusulas contratuais padrão (SCCs)ouRegras corporativas vinculativas (BCRs), estão no lugar.
  • O titular dos dados forneceu consentimento explícito.

9.Proteção de dados por design e por padrão

As organizações devem incorporar medidas de proteção de dados desde o início de qualquer projeto ou processo que envolva o processamento de dados pessoais. Este princípio é conhecido comoprivacidade por design e por padrão, o que significa que a privacidade deve ser considerada na fase de concepção e durante todo o ciclo de vida do processamento de dados.

10.Diretor de Proteção de Dados (DPO)

Um DPO deve ser nomeado se:

  • A organização é uma autoridade pública.
  • As principais atividades envolvem monitoramento regular e sistemático de indivíduos em larga escala.
  • A organização processa grandes quantidades de dados pessoais sensíveis.

As responsabilidades do DPO incluem:

  • Monitoramento da conformidade com o GDPR.
  • Assessoria em obrigações de proteção de dados.
  • Agindo como ponto de contacto com as autoridades de proteção de dados.

11.Multas e Penalidades

Organizações que não cumprem o GDPR podem enfrentar multas significativas:

  • Até20 milhões de eurosou4% do volume de negócios anual global da empresa, o que for maior, para as violações mais graves.
  • Menores violações podem resultar em multas de até10 milhões de eurosou2% do volume de negócios anual.

12.Responsabilidade e Manutenção de Registros

As organizações devem manter a documentação para demonstrar conformidade com o GDPR, incluindo:

  • Registros de atividades de processamento.
  • Políticas e procedimentos de proteção de dados.
  • DPIAs quando necessário.
  • Registros de solicitações e respostas do titular dos dados.

13.Requisitos de consentimento

Ao confiar no consentimento como base legal para o processamento de dados pessoais, as seguintes diretrizes devem ser seguidas:

  • O consentimento deve ser dado livremente, específico, informado e inequívoco.
  • O consentimento deve ser dado por uma ação afirmativa clara (por exemplo, optando) e não através de caixas pré-marcadas.
  • As organizações devem ser capazes de provar que o consentimento foi obtido.
  • Os indivíduos devem ter o direito de retirar o consentimento a qualquer momento.

O GDPR estabelece altos padrões de proteção de dados e visa dar aos indivíduos mais controle sobre seus dados pessoais. Ao aderir a essas diretrizes, as organizações podem garantir a conformidade e evitar o risco de penalidades.

    • Related Articles

    • Cláusulas contratuais padrão para transferências de dados entre o Reino Unido e os EUA

      Cláusula 1: Definições 1. *Data Exportador:* O representante baseado no Reino Unido que transmite os dados pessoais. 2. * Importador de dados:* O representante baseado nos EUA que recebe os dados pessoais. 3. Dados Pessoais:* Qualquer informação ...
    • Adendo de processamento de dados

      Para que você, como usuário de serviço e controlador de dados(referido como "Controlador" ou "Usuário") pode usar ou continuar a usar a) nossoplataforma de rede social e empresarial; e b) usar nossos serviços auxiliares("Serviços") oferecidos por ...
    • O que é o CCPA (California Consumer Privacy Act)?

      O que é oLei de Privacidade do Consumidor da Califórnia (CCPA)é uma lei de privacidade de dados promulgada no estado da Califórnia, EUA, projetada para proteger os direitos de privacidade dos residentes da Califórnia, dando-lhes mais controle sobre ...
    • Termos e Condições de Uso

      Obrigado pelo seu interesse nestes Termos de Uso (estes"Termos). Estes Termos constituem um acordo legal entre você e a BIMetaEste site é o uso do nosso site. 1.Sobre nós 1.1.Nós somos BIMeta Corporation de 304S. Jones Blvd. #3671, Las Vegas, NV ...
    • Configuração de e-mail/SMTP

      Você precisará configurar as configurações SMTP para o nosso CRM se quiserpara enviar e.q. faturas, estimativas, lembretes atrasados etc... a configuração SMTP iráagir como um e-mail geral do nosso CRM para todos os e-mails que serão enviados. A fim ...