O que é o GDPR?

O Regulamento geral de proteção de dados (GDPR) é uma lei abrangente de proteção de dados promulgada pela União Europeia (UE) em 25 de maio de 2018, para salvaguardar a privacidade e os dados pessoais dos cidadãos da UE e do EEE. Ela impõe regulamentações rígidas sobre como as organizações coletam, processam, armazenam e transferem dados pessoais, dando aos indivíduos maior controle sobre suas informações pessoais e aprimorando a privacidade e a segurança dos dados.

Visão geral do GDPR

  • Escritórios de: Regulamento Geral de Proteção de Dados
  • Região: Área Econômica Européia
  • Assinado em: 14-04-2016
  • Data efetiva: 25-05-2018
  • Expertise: As empresas oferecem produtos ou serviços aos cidadãos da UE

Dados pessoais sob o GDPR

O GDPR define dados pessoais como qualquer informação que identifique uma pessoa diretamente (nome, ID) ou indiretamente (dados de localização, identificadores online). Mesmo dados aparentemente anônimos podem ser pessoais se puderem ser reidentificados com outras informações.

Identificadores diretos: Nome, endereço, número de telefone, endereço de e-mail, número de identificação (por exemplo, número do seguro social, número do passaporte).
Identificadores Indiretos: Dados de localização (endereço IP, coordenadas GPS), identificadores on-line (nomes de usuário, cookies), dados de saúde, dados genéticos, dados biométricos (impressões digitais, reconhecimento facial), informações de identidade econômica, cultural ou social, etc.

O Regulamento geral de proteção de dados (GDPR) compreende vários componentes-chave que formam a base de sua estrutura abrangente de proteção de dados. Esses componentes incluem:

  • Base Legal para Processamento
  • Direitos sobre os dados
  • Responsabilidade e Governança
  • Princípios de proteção de dados
  • Medidas de segurança de dados
  • Notificação de violação de dados
  • Transferências de dados transfronteiriças
  • Avaliações de Impacto na Proteção de Dados (DPIAs)
  • Autoridades de Supervisão e Execução

Princípio de proteção de dados

Esses princípios formam a base do GDPR, descrevendo como os dados pessoais devem ser tratados:

  • Legalidade, justiça e transparência: O processamento de dados deve respeitar a legalidade, a justiça e a transparência para os indivíduos.
  • Limitação de propósito: As informações devem ser coletadas para intenções distintas, claras e legais.
  • Minimização de dados: Somente os dados pessoais mínimos necessários para a finalidade pretendida podem ser coletados.
  • Precisão: A precisão dos dados é primordial, e atualizações regulares são essenciais quando aplicáveis.
  • Limitação de armazenamento: Os dados devem ser mantidos de uma forma que permita a identificação dos titulares dos dados apenas pelo período necessário para fins de processamento.
  • Integridade e confidencialidade: Medidas técnicas e organizacionais apropriadas devem ser implementadas para proteger os dados contra processamento não autorizado ou ilegal e contra perda, destruição ou danos acidentais.
  • Prestação de contas: A organização garante a conformidade com todos os princípios do GDPR.

Direitos sob o GDPR

O Regulamento Geral de Proteção de Dados (GDPR) concede aos indivíduos vários direitos de privacidade para capacitá-los com maior controle sobre seus dados. Esses direitos incluem:

  • Direito de acesso: Os indivíduos podem obter confirmação das organizações sobre se seus dados estão sendo processados ​​e, em caso afirmativo, acessar esses dados juntamente com informações relevantes sobre seu processamento.
  • Direito à retificação: Os indivíduos podem solicitar a correção de dados pessoais imprecisos ou incompletos mantidos por organizações, garantindo que suas informações permaneçam atualizadas e precisas.
  • Direito ao Apagamento (Direito ao Esquecimento): Os indivíduos podem solicitar a exclusão de dados em determinadas circunstâncias, como quando os dados não são mais necessários para sua finalidade original ou quando retiram o consentimento.
  • Direito à portabilidade de dados: Os indivíduos podem solicitar a transferência de seus dados de uma organização para outra em um formato estruturado, comumente usado e legível por máquina, permitindo uma movimentação mais fácil entre provedores de serviços.
  • Direito à restrição de processamento: Os indivíduos têm o direito de restringir o processamento de seus dados sob certas condições, como contestar a precisão dos dados ou se opor ao seu processamento.
  • Direito de oposição: Os indivíduos podem se opor ao processamento de dados para fins específicos, como marketing direto ou processamento, com base em interesses legítimos, a menos que a organização possa demonstrar razões convincentes que anulem seus interesses ou direitos.
  • Direitos à tomada de decisão automatizada e à criação de perfis: Indivíduos têm o direito de evitar decisões baseadas unicamente em processamento automatizado ou criação de perfil. Exceções existem quando tais decisões são necessárias para obrigações contratuais ou com consentimento explícito.

Quem precisa cumprir o GDPR?

Embora o Regulamento Geral de Proteção de Dados (GDPR) se aplique a uma ampla gama de organizações que processam dados pessoais, independentemente de seu tamanho, localização ou setor, ele não se aplica a todos. Os casos de uso de sua implementação abrangem vários setores e indústrias, incluindo saúde, finanças e bancos, varejo e comércio eletrônico, tecnologia e seus serviços, telecomunicações, marketing e publicidade, educação, governo e setor público, manufatura e indústria, transporte e logística, etc. Ele geralmente se aplica a:

  • Organizações estabelecidas na UE/EEE
  • Organizações não pertencentes à UE que processam dados da UE/EEE.

Exceções

Existem algumas exceções à aplicabilidade do GDPR, como o processamento de dados pessoais para atividades pessoais ou domésticas. No entanto, essas exceções são definidas de forma restrita, e é melhor consultar um advogado para situações específicas.

Riscos regulatórios

O GDPR descreve dois níveis de multas com base na gravidade da violação:

Nível 1: Até 10 milhões de euros, ou 2% da receita anual global do ano financeiro anterior (o que for maior), por violações como

  • Falha em manter registros adequados das atividades de processamento.
  • Falha na implementação de medidas técnicas e organizacionais adequadas para garantir a segurança dos dados.
  • Não nomear um responsável pela proteção de dados quando necessário.
  • Falha na realização de avaliações de impacto na proteção de dados (quando necessário).
  • Não notificar autoridades de supervisão ou titulares de dados sobre uma violação de dados.

Nível 2: Até € 20 milhões, ou 4% da receita anual global do ano fiscal anterior (o que for maior), para violações mais graves, incluindo:

  • Violações dos princípios fundamentais do processamento de dados incluem falta de base legal para o processamento, falha em obter consentimento ou processamento de dados além da finalidade especificada.
  • Processamento de dados pessoais sensíveis sem salvaguardas ou consentimento adequados.
  • Não cumprimento de solicitações de direitos do titular dos dados, como acesso, retificação, exclusão ou portabilidade de dados.
  • Transferir dados pessoais para um país terceiro ou organização internacional sem salvaguardas adequadas ou base legal.
  • Violar as condições para obtenção de consentimento válido para o processamento de dados.
  • Ignorar ordens ou sanções impostas por autoridades de supervisão.

Autoridade de conformidade para GDPR:

A autoridade de conformidade para o Regulamento Geral de Proteção de Dados (GDPR) recai principalmente sobre as autoridades de supervisão de cada estado-membro da União Europeia (UE) ou do Espaço Econômico Europeu (EEE). Exemplos de autoridades de supervisão incluem:

  • Information Commissioner's Office (ICO) – Reino Unido
  • Autoridade Francesa de Proteção de Dados (CNIL)
  • Comissão de Proteção de Dados (DPC) na Irlanda
  • Autoriteit Persoonsgegevens (AP) na Holanda
  • Comissário Federal Alemão para a Proteção de Dados e Liberdade de Informação (BfDI)

Além disso, o European Data Protection Board (EDPB) garante a aplicação consistente da lei em toda a UE/EEE. O EDPB fornece orientação, emite opiniões e recomendações e resolve disputas entre autoridades de supervisão.

Como evitar as multas do GDPR?

As organizações podem minimizar o risco de multas pesadas tomando medidas proativas em direção à conformidade com o RGPD, como

  • Realização de mapeamento de dados e análise de lacunas
  • Implementar medidas técnicas e de segurança adequadas, como mascaramento de dados
  • Obtenção de consentimento explícito para processamento de dados
  • Atender solicitações de titulares de dados de forma rápida e eficiente
  • Relatar violações de dados dentro dos prazos prescritos
  • Buscando aconselhamento jurídico para orientação sobre regulamentações de privacidade de dados

Concluindo, a autoridade de conformidade para o Regulamento Geral de Proteção de Dados (GDPR) está nas autoridades de supervisão de cada estado-membro da União Europeia (UE) ou do Espaço Econômico Europeu (EEE). Essas autoridades desempenham um papel crucial no monitoramento e na aplicação da conformidade com o GDPR dentro de suas jurisdições, garantindo a proteção dos dados dos indivíduos. Embora as autoridades de supervisão tenham a responsabilidade primária pela aplicação, as organizações também devem priorizar os esforços de conformidade interna para manter os padrões de proteção de dados, evitar multas e manter a confiança das partes interessadas.

Perguntas frequentes

O que é o GDPR?

A União Europeia (UE) promulgou o abrangente Regulamento Geral de Proteção de Dados (GDPR) em 2018. Ele visa aprimorar os direitos dos indivíduos em relação aos seus dados e harmonizar os regulamentos de proteção de dados em todos os estados-membros da UE.

Quais são as consequências da não conformidade com o GDPR?

As penalidades podem chegar a um máximo de € 20 milhões ou 4% da receita mundial anual da empresa.

O que constitui dados pessoais segundo o GDPR?

Sim, os dados originais podem ser recuperados usando o processo reverso.

O que você pode fazer com Solix

Solicitar uma demonstração
Cadastre-se para um teste gratuito e ganhe um vale-presente Amex

Participe para ganhar um vale-presente Amex de $ 100

Recursos

Acesse nossos outros recursos relacionados

  • Guia do CIO para arquivamento de Big Data: como escolher o produto certo
    White Papers

    Guia do CIO para arquivamento de Big Data: como escolher o produto certo

    Baixe os artigos técnicos
  • Guia de referência rápida do Solix Enterprise Data Management Suite Standard Edition ILM Assessment 2.2
    Documentação

    Guia de referência rápida do Solix Enterprise Data Management Suite Standard Edition ILM Assessment 2.2

    Baixar documentação
  • Arquivamento de banco de dados para melhorar o desempenho do aplicativo e a entrega de SLA para Helen of Troy
    Estudos de Caso

    Arquivamento de banco de dados para melhorar o desempenho do aplicativo e a entrega de SLA para Helen of Troy

    Download de estudos de caso
  • Arquivamento de banco de dados para melhorar o desempenho do aplicativo
    Webinars sob demanda

    Arquivamento de banco de dados para melhorar o desempenho do aplicativo

    Baixe webinars sob demanda