padrão hexadecimal roxo
Normas de segurança

O que é GDPR?

Regulamento geral de proteção de dados (GDPR) da UE

Possivelmente a norma de privacidade de dados mais abrangente que existe, o GDPR representa um desafio importante para as organizações que processam dados pessoais de cidadãos da UE, independentemente de onde a organização esteja sediada.

Em vigor desde maio de 2018, a Regulação Geral de Proteção de Dados da UE (GDPR) foi concebida para melhorar a proteção de dados pessoais e aumentar a responsabilidade das organizações por violações de dados. Com possíveis multas de até quatro por cento das receitas globais ou 20 milhões de euros (o valor mais alto), a GDPR certamente tem poder. Não importa onde sua organização esteja localizada, se você processa ou controla dados pessoais de residentes da UE é preciso estar em conformidade com a GDPR, caso contrário estará sujeito a multas importantes e deverá informar as partes afetadas sobre violações de dados. Saiba mais sobre conformidade com a GDPR.

O GDPR é expansivo e inclui os seguintes capítulos e artigos: Capítulos e artigos:

Capítulo 1: Disposições gerais

  • Artigo 1: Assunto e objetivos
  • Artigo 2: Âmbito material Artigo 3: Âmbito territorial Artigo 4: Definições

Capítulo 2: Princípios

  • Artigo 5: Princípios relativos ao tratamento de dados pessoais
  • Artigo 6: Legalidade do tratamento
  • Artigo 7: Condições para consentimento
  • Artigo 8: Condições aplicáveis ao consentimento de crianças em relação aos serviços da sociedade da informação
  • Artigo 9: Tratamento de categorias especiais de dados pessoais
  • Artigo 10: Tratamento de dados relativos a condenações penais e delitos
  • Artigo 11: Tratamento que não requer identificação

Capítulo 3: Direitos do titular dos dados

Seção 1: Transparência e regras

  • Artigo 12: Transparência das informações, das comunicações e das regras para exercício dos direitos dos titulares dos dados
  • Seção 2: Informação e acesso aos dados
  • Artigo 13: Informações a serem fornecidas quando os dados pessoais são recolhidos junto ao titular dos dados
  • Artigo 14: Informações a serem fornecidas quando os dados pessoais não são recolhidos junto ao titular dos dados
  • Artigo 15: Direito de acesso do titular dos dados

Seção 3: Retificação e apagamento

  • Artigo 16: Direito à retificação
  • Artigo 17: Direito ao apagamento (“direito a ser esquecido”)
  • Artigo 18: Direito à limitação do tratamento
  • Artigo 19: Obrigação de notificação da retificação ou apagamento dos dados pessoais ou limitação do tratamento
  • Artigo 20: Direito à portabilidade dos dados

Seção 4: Direito de oposição e decisões individuais automatizadas

  • Artigo 21: Direito de oposição
  • Artigo 22: Decisões individuais automatizadas, incluindo definição de perfis

Seção 5: Restrições

  • Artigo 23: Restrições

Capítulo 4: Controlador e Processador

Seção 1: Obrigações gerais

  • Artigo 24: Responsabilidade do controlador
  • Artigo 25: Proteção de dados desde a concepção e por padrão
  • Artigo 26: Controladores conjuntos
  • Artigo 27: Representantes de controladores não estabelecidos na União
  • Artigo 28: Processador
  • Artigo 29: Processamento sob a autoridade do controlador ou processador
  • Artigo 30: Registros de atividades de tratamento
  • Artigo 31: Cooperação com a autoridade supervisora

Seção 2: Segurança dos dados pessoais

  • Artigo 32: Segurança do tratamento
  • Artigo 33: Notificação de uma violação de dados pessoais à autoridade de supervisão
  • Artigo 34: Comunicação de uma violação de dados pessoais ao titular dos dados

Seção 3: Avaliação do impacto da proteção de dados e consulta prévia

  • Artigo 35: Avaliação do impacto da proteção de dados
  • Artigo 36: Consulta prévia

Seção 4: Oficial de proteção de dados

  • Artigo 37: Designação do responsável pela proteção de dados
  • Artigo 38: Função do responsável pela proteção de dados
  • Artigo 39: Tarefas do responsável pela proteção de dados

Seção 5: Códigos de conduta e certificação

  • Artigo 40: Códigos de conduta
  • Artigo 41: Monitoramento de códigos de conduta aprovados
  • Artigo 42: Certificação
  • Artigo 43: Organismos de certificação

Capítulo 5: Transferências de dados pessoais para países terceiros ou organizações internacionais

  • Artigo 44: Princípio geral de transferência
  • Artigo 45: Transferências da base de uma decisão de adequação
  • Artigo 46: Transferências sujeitas a proteções apropriadas
  • Artigo 47: Regras corporativas vinculativas
  • Artigo 48: Transferências ou divulgações não autorizadas pela união
  • Artigo 49: Isenções para situações específicas
  • Artigo 50: Cooperação internacional para a proteção de dados pessoais

Capítulo 6: Autoridades supervisoras independentes

Seção 1: Status independente

  • Artigo 51: Autoridade supervisora
  • Artigo 52: Independência
  • Artigo 53: Condições gerais para os membros da autoridade supervisora
  • Artigo 54: Regras para a criação da autoridade supervisora

Seção 2: Competência, tarefas e poderes

  • Artigo 55: Competência
  • Artigo 56: Competência da autoridade supervisora principal
  • Artigo 57: Tarefas
  • Artigo 58: Poderes
  • Artigo 59: Relatórios de atividades

Capítulo 7: Cooperação e Consistência

Seção 1: Cooperação

  • Artigo 60: Cooperação entre a autoridade supervisora principal e as outras autoridades supervisoras envolvidas
  • Artigo 61: Assistência mútua
  • Artigo 62: Operações conjuntas de autoridades supervisoras

Seção 2: Consistência

  • Artigo 63: Mecanismo de consistência
  • Artigo 64: Opinião da Diretoria
  • Artigo 65: Resolução de disputas pela Diretoria
  • Artigo 66: Procedimento de urgência
  • Artigo 67: Troca de informações

Seção 3: Conselho Europeu de Proteção de Dados

  • Artigo 68: Conselho Europeu de Proteção de Dados
  • Artigo 69: Independência
  • Artigo 70: Tarefas da Diretoria
  • Artigo 71: Relatórios
  • Artigo 72: Procedimento
  • Artigo 73: Presidente
  • Artigo 74: Tarefas do Presidente
  • Artigo 75: Secretariado
  • Artigo 76: Confidencialidade

Capítulo 8: Vias de recurso, Responsabilidade e Sanções

  • Artigo 77: Direito de apresentar uma queixa a uma autoridade supervisora
  • Artigo 78: Direito a um recurso judicial efetivo contra uma autoridade supervisora
  • Artigo 79: Direito a um recurso judicial efetivo contra um controlador ou processador
  • Artigo 80: Representação dos titulares dos dados
  • Artigo 81: Suspensão do processo
  • Artigo 82: Direito de indenização e responsabilidade
  • Artigo 83: Condições gerais para o aplicativo de multas administrativas
  • Artigo 84: Penalidades

Capítulo 9: Disposições relativas a situações específicas de tratamento

  • Artigo 85: Tratamento e liberdade de expressão e de informação
  • Artigo 86: Tratamento e acesso do público aos documentos oficiais
  • Artigo 87: Tratamento do número de identificação nacional
  • Artigo 88: Tratamento no contexto laboral
  • Artigo 89: Garantias e isenções relativas ao tratamento para fins de arquivo de interesse público ou para fins de investigação científica ou histórica ou para fins estatísticos
  • Artigo 90: Obrigações de sigilo
  • Artigo 91: Normas vigentes em matéria de proteção dos dados das igrejas e associações religiosas

Capítulo 10: Atos delegados e atos de execução

  • Artigo 92: Exercício da delegação
  • Artigo 93: Procedimento de comitê

Capítulo 11: Disposições finais

  • Artigo 94: Revogação da Diretiva 95/46/CE
  • Artigo 95: Relação com a Diretiva 2002/58/CE
  • Artigo 96: Relação com acordos celebrados anteriormente
  • Artigo 97: Relatórios da Comissão
  • Artigo 98: Revisão de outros atos jurídicos da união sobre proteção de dados
  • Artigo 99: Entrada em vigor e aplicativo

Disposições principais do artigo 32

Uma das principais disposições do GDPR, o artigo 32 exige:

a. a pseudonimização e criptografia de dados pessoais; b. a capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência contínua dos sistemas e serviços de processamento; c. a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo hábil no caso de um incidente físico ou técnico; d. um processo para testar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento.

Disposições principais do artigo 34

O artigo 34 do regulamento detalha o que uma organização deve fazer para evitar ter que notificar os titulares dos dados no caso de uma violação.
Quando a violação de dados pessoais puder causar alto risco para os direitos e liberdades de pessoas físicas, o responsável pelo tratamento comunicará a violação de dados à pessoa em questão sem demora injustificada.
A comunicação com o titular dos dados mencionado no parágrafo 1 deste artigo deverá descrever em linguagem clara a natureza da violação dos dados pessoais…
Não será exigida comunicação com o titular dos dados mencionado no parágrafo 1 se alguma das seguintes condições for atendida:

a. o controlador implementou medidas de proteção técnicas e organizacionais adequadas, e essas medidas foram aplicadas aos dados pessoais afetados pela violação, em particular medidas que tornam os dados pessoais ininteligíveis para pessoas que não estejam autorizadas a acessá-los, tais como criptografia; b. o controlador tomou medidas posteriores para garantir que as ameaças aos direitos e liberdades das pessoas mencionadas no parágrafo 1 não se materializem; c. isso envolveria um esforço desproporcional. Nesse caso, deve haver uma comunicação pública ou medida similar pela qual os titulares dos dados serão informados de maneira igualmente eficaz.