Regulamento Geral de Proteção de Dados

O Regulamento Geral de Proteção de Dados (GDPR) é uma lei abrangente de proteção de dados aprovada pela União Européia (UE).

O que é o Regulamento Geral de Proteção de Dados (GDPR)?

O Regulamento Geral de Proteção de Dados (GDPR), que entrou em vigor em 25 de maio de 2018, é uma lei abrangente de privacidade de dados que estabelece uma estrutura para a coleta, processamento, armazenamento e transferência de dados pessoais. Ele exige que todos os dados pessoais sejam processados de forma segura e inclui multas e penalidades para empresas que não cumpram esses requisitos. Também fornece aos indivíduos uma série de direitos em relação aos seus dados pessoais.

À medida que a tecnologia avança e a coleta de dados se torna mais prevalente, a privacidade dos dados tem sido colocada em destaque. Na época de sua aprovação, o GDPR era o regulamento de privacidade de dados mais abrangente. Ele harmonizou regulamentos separados de proteção de dados de toda a União Europeia (UE). Também ampliou o alcance desses regulamentos para se aplicar a organizações não pertencentes à UE, se elas processarem dados pessoais coletados na UE.

O GDPR se aplica a qualquer empresa ou organização, independentemente da localização geográfica, se a empresa ou organização oferecer bens e serviços a pessoas na UE ou monitorar seu comportamento na UE.

Como o GDPR define "dados pessoais"?

O GDPR ampliou o escopo do que era considerado dados pessoais para incluir qualquer informação relacionada a uma pessoa física identificável. Isso inclui detalhes que são obviamente pessoais, como nome e endereço, mas também qualquer outra informação que possa ser usada para identificar alguém, incluindo seu endereço de IP e determinados identificadores de cookies associados a uma sessão de navegação na web.

Quais são os requisitos do GDPR para controladores e processadores de dados?

O GDPR define controladores de dados como entidades que tomam decisões sobre os meios e propósitos para os quais os dados pessoais são coletados e processados, e define processadores de dados como entidades que processam dados pessoais, normalmente em nome de um controlador de dados.

O GDPR também estabelece sete princípios-chave sobre como os controladores e processadores de dados devem lidar com dados pessoais:

  • Licitude, justiça e transparência
  • Limitação de finalidade
  • Minimização de dados
  • Precisão
  • Limitação de armazenamento
  • Integridade e confidencialidade (segurança)
  • Responsabilidade

Além de descrever esses princípios em detalhes, o GDPR determina várias ações específicas que os controladores e processadores de dados precisam adotar. Algumas delas incluem:

  • Manutenção de registros: os processadores de dados devem manter registros de suas atividades de processamento.
  • Medidas de segurança: os controladores e processadores de dados devem usar e testar regularmente as medidas de segurança adequadas para proteger os dados que coletam e processam.
  • Notificação de violação de dados: os controladores de dados que sofrem uma violação de dados pessoais devem notificar as autoridades competentes dentro de 72 horas, com algumas exceções. Normalmente, eles também devem notificar as pessoas cujos dados pessoais foram afetados pela violação.
  • Data Protection Officer (DPO): As empresas que processam dados podem precisar contratar um Data Protection Officer (DPO). O DPO lidera e supervisiona todos os esforços de conformidade com o GDPR.

Os requisitos completos para controladores e processadores de dados são descritos no GDPR.