O que é GDPR?
Regulamento geral de proteção de dados (GDPR) da UE
Possivelmente a norma de privacidade de dados mais abrangente que existe, o GDPR representa um desafio importante para as organizações que processam dados pessoais de cidadãos da UE, independentemente de onde a organização esteja sediada.
Em vigor desde maio de 2018, a Regulação Geral de Proteção de Dados da UE (GDPR) foi concebida para melhorar a proteção de dados pessoais e aumentar a responsabilidade das organizações por violações de dados. Com possíveis multas de até quatro por cento das receitas globais ou 20 milhões de euros (o valor mais alto), a GDPR certamente tem poder. Não importa onde sua organização esteja localizada, se você processa ou controla dados pessoais de residentes da UE é preciso estar em conformidade com a GDPR, caso contrário estará sujeito a multas importantes e deverá informar as partes afetadas sobre violações de dados. Saiba mais sobre conformidade com a GDPR.
O GDPR é expansivo e inclui os seguintes capítulos e artigos: Capítulos e artigos:
Capítulo 1: Disposições gerais
- Artigo 1: Assunto e objetivos
- Artigo 2: Âmbito material Artigo 3: Âmbito territorial Artigo 4: Definições
Capítulo 2: Princípios
- Artigo 5: Princípios relativos ao tratamento de dados pessoais
- Artigo 6: Legalidade do tratamento
- Artigo 7: Condições para consentimento
- Artigo 8: Condições aplicáveis ao consentimento de crianças em relação aos serviços da sociedade da informação
- Artigo 9: Tratamento de categorias especiais de dados pessoais
- Artigo 10: Tratamento de dados relativos a condenações penais e delitos
- Artigo 11: Tratamento que não requer identificação
Capítulo 3: Direitos do titular dos dados
Seção 1: Transparência e regras
- Artigo 12: Transparência das informações, das comunicações e das regras para exercício dos direitos dos titulares dos dados
- Seção 2: Informação e acesso aos dados
- Artigo 13: Informações a serem fornecidas quando os dados pessoais são recolhidos junto ao titular dos dados
- Artigo 14: Informações a serem fornecidas quando os dados pessoais não são recolhidos junto ao titular dos dados
- Artigo 15: Direito de acesso do titular dos dados
Seção 3: Retificação e apagamento
- Artigo 16: Direito à retificação
- Artigo 17: Direito ao apagamento (“direito a ser esquecido”)
- Artigo 18: Direito à limitação do tratamento
- Artigo 19: Obrigação de notificação da retificação ou apagamento dos dados pessoais ou limitação do tratamento
- Artigo 20: Direito à portabilidade dos dados
Seção 4: Direito de oposição e decisões individuais automatizadas
- Artigo 21: Direito de oposição
- Artigo 22: Decisões individuais automatizadas, incluindo definição de perfis
Seção 5: Restrições
- Artigo 23: Restrições
Capítulo 4: Controlador e Processador
Seção 1: Obrigações gerais
- Artigo 24: Responsabilidade do controlador
- Artigo 25: Proteção de dados desde a concepção e por padrão
- Artigo 26: Controladores conjuntos
- Artigo 27: Representantes de controladores não estabelecidos na União
- Artigo 28: Processador
- Artigo 29: Processamento sob a autoridade do controlador ou processador
- Artigo 30: Registros de atividades de tratamento
- Artigo 31: Cooperação com a autoridade supervisora
Seção 2: Segurança dos dados pessoais
- Artigo 32: Segurança do tratamento
- Artigo 33: Notificação de uma violação de dados pessoais à autoridade de supervisão
- Artigo 34: Comunicação de uma violação de dados pessoais ao titular dos dados
Seção 3: Avaliação do impacto da proteção de dados e consulta prévia
- Artigo 35: Avaliação do impacto da proteção de dados
- Artigo 36: Consulta prévia
Seção 4: Oficial de proteção de dados
- Artigo 37: Designação do responsável pela proteção de dados
- Artigo 38: Função do responsável pela proteção de dados
- Artigo 39: Tarefas do responsável pela proteção de dados
Seção 5: Códigos de conduta e certificação
- Artigo 40: Códigos de conduta
- Artigo 41: Monitoramento de códigos de conduta aprovados
- Artigo 42: Certificação
- Artigo 43: Organismos de certificação
Capítulo 5: Transferências de dados pessoais para países terceiros ou organizações internacionais
- Artigo 44: Princípio geral de transferência
- Artigo 45: Transferências da base de uma decisão de adequação
- Artigo 46: Transferências sujeitas a proteções apropriadas
- Artigo 47: Regras corporativas vinculativas
- Artigo 48: Transferências ou divulgações não autorizadas pela união
- Artigo 49: Isenções para situações específicas
- Artigo 50: Cooperação internacional para a proteção de dados pessoais
Capítulo 6: Autoridades supervisoras independentes
Seção 1: Status independente
- Artigo 51: Autoridade supervisora
- Artigo 52: Independência
- Artigo 53: Condições gerais para os membros da autoridade supervisora
- Artigo 54: Regras para a criação da autoridade supervisora
Seção 2: Competência, tarefas e poderes
- Artigo 55: Competência
- Artigo 56: Competência da autoridade supervisora principal
- Artigo 57: Tarefas
- Artigo 58: Poderes
- Artigo 59: Relatórios de atividades
Capítulo 7: Cooperação e Consistência
Seção 1: Cooperação
- Artigo 60: Cooperação entre a autoridade supervisora principal e as outras autoridades supervisoras envolvidas
- Artigo 61: Assistência mútua
- Artigo 62: Operações conjuntas de autoridades supervisoras
Seção 2: Consistência
- Artigo 63: Mecanismo de consistência
- Artigo 64: Opinião da Diretoria
- Artigo 65: Resolução de disputas pela Diretoria
- Artigo 66: Procedimento de urgência
- Artigo 67: Troca de informações
Seção 3: Conselho Europeu de Proteção de Dados
- Artigo 68: Conselho Europeu de Proteção de Dados
- Artigo 69: Independência
- Artigo 70: Tarefas da Diretoria
- Artigo 71: Relatórios
- Artigo 72: Procedimento
- Artigo 73: Presidente
- Artigo 74: Tarefas do Presidente
- Artigo 75: Secretariado
- Artigo 76: Confidencialidade
Capítulo 8: Vias de recurso, Responsabilidade e Sanções
- Artigo 77: Direito de apresentar uma queixa a uma autoridade supervisora
- Artigo 78: Direito a um recurso judicial efetivo contra uma autoridade supervisora
- Artigo 79: Direito a um recurso judicial efetivo contra um controlador ou processador
- Artigo 80: Representação dos titulares dos dados
- Artigo 81: Suspensão do processo
- Artigo 82: Direito de indenização e responsabilidade
- Artigo 83: Condições gerais para o aplicativo de multas administrativas
- Artigo 84: Penalidades
Capítulo 9: Disposições relativas a situações específicas de tratamento
- Artigo 85: Tratamento e liberdade de expressão e de informação
- Artigo 86: Tratamento e acesso do público aos documentos oficiais
- Artigo 87: Tratamento do número de identificação nacional
- Artigo 88: Tratamento no contexto laboral
- Artigo 89: Garantias e isenções relativas ao tratamento para fins de arquivo de interesse público ou para fins de investigação científica ou histórica ou para fins estatísticos
- Artigo 90: Obrigações de sigilo
- Artigo 91: Normas vigentes em matéria de proteção dos dados das igrejas e associações religiosas
Capítulo 10: Atos delegados e atos de execução
- Artigo 92: Exercício da delegação
- Artigo 93: Procedimento de comitê
Capítulo 11: Disposições finais
- Artigo 94: Revogação da Diretiva 95/46/CE
- Artigo 95: Relação com a Diretiva 2002/58/CE
- Artigo 96: Relação com acordos celebrados anteriormente
- Artigo 97: Relatórios da Comissão
- Artigo 98: Revisão de outros atos jurídicos da união sobre proteção de dados
- Artigo 99: Entrada em vigor e aplicativo
Disposições principais do artigo 32
Uma das principais disposições do GDPR, o artigo 32 exige:
a. a pseudonimização e criptografia de dados pessoais; b. a capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência contínua dos sistemas e serviços de processamento; c. a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo hábil no caso de um incidente físico ou técnico; d. um processo para testar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento.
Disposições principais do artigo 34
O artigo 34 do regulamento detalha o que uma organização deve fazer para evitar ter que notificar os titulares dos dados no caso de uma violação.
Quando a violação de dados pessoais puder causar alto risco para os direitos e liberdades de pessoas físicas, o responsável pelo tratamento comunicará a violação de dados à pessoa em questão sem demora injustificada.
A comunicação com o titular dos dados mencionado no parágrafo 1 deste artigo deverá descrever em linguagem clara a natureza da violação dos dados pessoais…
Não será exigida comunicação com o titular dos dados mencionado no parágrafo 1 se alguma das seguintes condições for atendida:
a. o controlador implementou medidas de proteção técnicas e organizacionais adequadas, e essas medidas foram aplicadas aos dados pessoais afetados pela violação, em particular medidas que tornam os dados pessoais ininteligíveis para pessoas que não estejam autorizadas a acessá-los, tais como criptografia; b. o controlador tomou medidas posteriores para garantir que as ameaças aos direitos e liberdades das pessoas mencionadas no parágrafo 1 não se materializem; c. isso envolveria um esforço desproporcional. Nesse caso, deve haver uma comunicação pública ou medida similar pela qual os titulares dos dados serão informados de maneira igualmente eficaz.