O Regulamento Geral de Protecção de Dados (GDPR) é uma legislação que actualizou e unificou as leis de privacidade de dados em toda a União Europeia (UE). O GDPR foi aprovado pelo Parlamento Europeu em 14 de abril de 2016 e entrou em vigor em 25 de maio de 2018.
>p>GDPR substitui a Diretiva de Proteção de Dados da UE de 1995. A nova directiva centra-se em manter as empresas mais transparentes e expandir os direitos de privacidade das pessoas a quem os dados dizem respeito. Quando uma grave violação de dados for detectada, a empresa é obrigada pela GDPR a notificar todas as pessoas afetadas e a autoridade supervisora dentro de 72 horas. Os mandatos da GDPR aplicam-se a todos os dados produzidos pelos cidadãos da UE, quer a empresa que recolhe os dados em questão esteja ou não localizada dentro da UE, bem como a todas as pessoas cujos dados são armazenados dentro da UE, quer sejam ou não realmente cidadãos da UE. A GDPR também define penalidades por não cumprimento.
Qual é a finalidade da GDPR?
A finalidade da GDPR é proteger os indivíduos e os dados que os descrevem e assegurar que as organizações que recolhem esses dados o façam de forma responsável. A GDPR também determina que os dados pessoais sejam mantidos em segurança; em parte, o regulamento diz que os dados pessoais devem ser protegidos contra "processamento não autorizado ou ilegal, e contra perda, destruição ou dano acidental"
As razões para a coleta de dados pessoais também são definidas na GDPR; os dados coletados devem ser para um propósito específico e legítimo e não devem ser usados de nenhuma forma além dessa intenção. The regulation also suggests limits on how much data is collected, saying that data collection should be "limited to what is necessary in relation to the purposes for which they are processed."
This article is part of
What is data protection and why is it important?
- Which also includes:
- Comparing data protection vs. data security vs. data privacy
- 20 keys to a successful enterprise data protection strategy
- 5 common data protection challenges that businesses face
Download1
Download this entire guide for FREE now!
The GDPR further states that the organization collecting data should ensure it's accurate and updated as necessary.
Under GDPR, companies can't legally process any person's personally identifiable information (PII) without meeting at least one of the following six conditions.
- Express consent do titular dos dados.
- Processamento é necessário para a execução de um contrato com o titular dos dados ou para tomar medidas para a celebração de um contrato.
- Processamento é necessário para o cumprimento de uma obrigação legal.
- O tratamento é necessário para proteger os interesses vitais do envolvido ou de outra pessoa.
- O tratamento é necessário para o desempenho de uma tarefa realizada no interesse público ou no exercício da autoridade oficial investida no controlador.
- O tratamento é necessário para a realização de interesses legítimos prosseguidos pelo responsável pelo tratamento ou por um terceiro, excepto se tais interesses forem anulados pelos interesses, direitos ou liberdades da pessoa em causa.
Além disso, as empresas que efectuam o tratamento de dados ou que controlam as pessoas em causa em grande escala devem nomear um encarregado da protecção de dados (RPD). O RPD é o responsável pela governação dos dados e por assegurar a conformidade da empresa com o GDRP. Se uma empresa não cumprir com o GDPR, as consequências legais podem incluir multas até 20 milhões de euros (24,26 milhões de dólares) ou 4% do volume de negócios global anual. Além disso, a pessoa nesta função é responsável por assegurar que os princípios apropriados de protecção de dados são aplicados à manutenção de dados pessoais.
Concertezas relativas ao Regulamento Geral de Protecção de Dados incluem a falta das ferramentas certas para monitorizar os dados em tempo real.
História do GDPR
As raízes do GDPR da UE podem ser rastreadas até a Convenção da UE de 1950 sobre Direitos Humanos, que estabeleceu os direitos humanos básicos que os estados membros devem respeitar.
Como os computadores se tornaram mais omnipresentes nas esferas empresarial e governamental, regulamentações adicionais foram postas em prática, como a Convenção de 1981 sobre Proteção de Dados, que declarou a privacidade como um direito legal.
A Diretiva Européia de Proteção de Dados de 1995 é a mais relacionada com a GDPR e é vista como precursora dessa regulamentação.
Que dados a GDPR protege?
Os usuários devem dar consentimento a qualquer empresa ou organização que deseje coletar e usar dados pessoais. Conforme definido pela GDPR, dados pessoais são informações relacionadas a "uma pessoa singular identificada ou identificável" - referida como "pessoa em causa"."
Os dados pessoais podem incluir estes tipos de informação:
- Name
- Identification number
- Location data
- Any information that is specific to "the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person"
- Biometric data that is acquired through some form of technical process, such as facial imaging or fingerprinting
- Information related to a person's health or healthcare
- Racial or ethnic information of an individual
- Political opinions or religious beliefs
- Union membership
Dados pessoais podem consistir em qualquer coisa desde um nome, uma foto, um endereço de e-mail ou detalhes de uma conta bancária até postagens em sites de redes sociais, dados biométricos ou o endereço IP do computador de uma pessoa.
7 princípios da GDPR
A GDPR estabelece sete princípios básicos sobre os quais baseia os seus regulamentos e regras de conformidade relacionados com os dados pessoais:
- >>forte>Leitidade, justiça e transparência. O sujeito dos dados deve ser claramente informado sobre como os seus dados serão utilizados.
- Purpose limitation. Data can be collected only for specific purposes.
- Data minimization. The amount of data collected is limited to what is necessary for specific processing.
- Organizations collecting data must ensure its accuracy and update it as necessary. Data must be deleted or changed when a data subject makes such a request.
- Storage limitation. Collected data won't be retained longer than needed.
- Integrity and confidentiality. Appropriate protection measures must be applied to personal data to ensure it's secure and protected against theft or unauthorized use.
- Data collectors are responsible for ensuring compliance with the GDPR.
The seven principles of the GDPR underlie specific data subject rights, including:
- Right to be forgotten. Data subjects can request PII to be erased from a company's storage. A empresa tem o direito de recusar pedidos se puder demonstrar com sucesso uma base legal para a sua recusa.
- Direito de acesso. Os sujeitos dos dados podem rever os dados que uma organização armazenou sobre eles.
- Direito de objeto. Os sujeitos dos dados podem recusar permissão para uma empresa usar ou processar os dados pessoais do sujeito dos dados. A empresa pode ignorar a recusa se ela puder satisfazer uma das condições legais para processar os dados pessoais do sujeito, mas deve notificar o sujeito e explicar o raciocínio por trás disso.
- Direito à retificação. Os sujeitos dos dados podem esperar que informações pessoais imprecisas sejam corrigidas.
- Direito de portabilidade. Os sujeitos dos dados podem aceder aos dados pessoais que uma empresa tem sobre eles e transferi-los.
>i dataicon="1">Quem está sujeito ao cumprimento da GDPR?
Todas as organizações que recolhem dados pessoais de qualquer cidadão de um estado membro da UE devem cumprir com a GDPR. Isso inclui organizações que residem fora da União -- elas ainda devem cumprir com a GDPR se estiverem coletando dados pessoais de um cidadão de um estado membro.
Os regulamentos se aplicam independentemente do método usado para coletar dados pessoais; isso inclui dados coletados por outros métodos que não websites e outras ferramentas da Internet. A GDPR define três papéis diferentes relacionados com dados pessoais:
- >forte>Subordinado. Proprietário de dados pessoais.
- >forte> Controlador de dados. O indivíduo ou organização que determina que dados pessoais recolher e como serão usados.
- >forte> Processadores de dados. O indivíduo ou organização que processa dados pessoais para o controlador.
Notificações de violação de segurança
No caso de uma violação de segurança que afete os dados pessoais armazenados, o controlador de dados deve notificar a autoridade supervisora dentro de 72 horas após a violação. A autoridade de supervisão é definida como a autoridade pública que foi designada pelo país membro da UE para supervisionar o cumprimento da GDPR.
Alguns requisitos adicionais relevantes às notificações de violação incluem:
- Se a notificação não for feita dentro das 72 horas alocadas, o controlador de dados deve fornecer a razão do atraso.
- Notificações de violação devem incluir, no mínimo, a natureza da violação, o número e os tipos de dados pessoais das pessoas em causa que podem ser comprometidos e o número de registros de dados que podem estar envolvidos.
- A organização que controla os dados também deve descrever quaisquer possíveis consequências resultantes da violação e descrever que medidas serão tomadas para mitigar os efeitos.
- Notificação da violação dos dados deve ser entregue diretamente às vítimas, não na forma de um anúncio geral.
- O controlador de dados deve documentar a violação e as soluções aplicadas, bem como fornecer a documentação à autoridade de supervisão para verificação.
Multas e penalidades por não cumprimento
Penas por não cumprimento ou por violação de dados podem ser severas. Vários critérios são avaliados para determinar as penalidades apropriadas, incluindo a gravidade da violação, a duração da violação, o número de pessoas afetadas pela violação e o grau de dano que a violação sofreu.
Outros fatores que podem influenciar as penalidades incluem:
- Se uma violação de dados foi causada por negligência ou intenção
- Falta de manutenção de registros adequados de coleta e processamento de dados pessoais; multas podem chegar a 10 milhões de euros ou 2% das receitas anuais
- Não cumprimento de quaisquer ordens emitidas pelas autoridades de supervisão; essas multas podem chegar a 20 milhões de euros ou até 4% das receitas totais
Se as organizações não cumprirem com a GDPR, poderão enfrentar penalidades e processos judiciais.
Apesar de o GDPR estar em vigor há apenas alguns anos, algumas multas significativas foram aplicadas até à data, tais como:
- > forte>British Airways>> forte>. Mais de 200 milhões de euros
- >> forte>Marriot Hotels. Mais de 100 milhões de euros
- >strong>Google Inc. 50 milhões de euros
GDPR e dados de terceiros
Existem vários regulamentos relativos a dados pessoais obtidos de outras partes que não os sujeitos dos dados e relacionados com a partilha de dados pessoais fora da UE.
- Um controlador de dados deve obter permissão para transferir dados para outro país ou organização internacional.
- Se os dados pessoais forem coletados de outras fontes que não o envolvido, o controlador de dados deve fornecer uma descrição dos dados e sua origem ao envolvido.
alguns críticos expressaram preocupação com a retirada do Reino Unido da UE no que diz respeito ao efeito sobre a conformidade do país com o GDPR. O Reino Unido actualizou a sua Lei de Protecção de Dados de 1998 com uma nova lei chamada Lei de Protecção de Dados de 2018. A nova lei segue de perto as regras definidas na GDPR, mas espera-se que as empresas do Reino Unido que fazem negócios com clientes ou outras organizações nos estados membros da UE cumpram com a GDPR.
6 passos para garantir a conformidade com o GDPR
O GDPR descreve os resultados esperados de uma gestão de dados boa e responsável, mas não define nenhuma medida técnica específica para os coletores de dados devem usar para atingir esse objetivo.
algumas melhores práticas para ajudar a garantir a conformidade com o GDPR incluem:
- Sempre pergunte antes de coletar dados pessoais; os sujeitos dos dados devem estar dispostos a participar.
- Recolha apenas o que realmente necessita; as organizações serão responsáveis por todos os dados que recolherem, quer os utilizem ou não.
- Não partilhe dados com outras entidades, a menos que os utilizadores tenham concordado, e as autoridades de supervisão tenham aprovado a transacção.
- Criptografar todos os dados pessoais -- tanto em repouso como em voo.
- Certifique-se de que pelo menos duas cópias de segurança actualizadas e seguras de todos os dados pessoais são mantidas em dois locais separados fora do local.
- Disponha as ferramentas para editar ou apagar facilmente itens específicos de dados pessoais e para verificar e documentar as acções.