A GDPR é a principal fonte de regulamentos de proteção de dados na União Européia. Desde então, regras uniformes têm sido aplicadas em todos os estados membros da UE sobre o assunto de proteção e segurança de dados.

Isto significa mais uniformidade e clareza em relação às linhas de comércio global, mas também representa alguns desafios para as empresas. As empresas têm mais obrigações a cumprir devido ao GDPR, e os consumidores têm mais direitos. As multas também foram aumentadas, tornando ainda mais imperativo que as empresas implementem adequadamente os regulamentos de proteção de dados.

Mas qual é exatamente o conteúdo do GDPR? Que obrigações afetam sua empresa? Como implementá-las corretamente? E que direitos têm os sujeitos dos dados? Respondemos as perguntas mais críticas sobre a GDPR neste artigo.

Você precisa de apoio ou tem perguntas sobre o assunto? Nossa equipe compreende especialistas em direito de proteção de dados, TI e segurança. Teremos prazer em apoiá-lo na implementação dos regulamentos de proteção de dados. Entre em contato diretamente para uma consulta inicial sem compromisso.

Os fatos mais importantes em resumo

  • Desde 25 de maio de 2018, o GDPR tem sido aplicado em toda a UE. Isto está associado a regras uniformes e rigorosas para a proteção de dados pessoais.
  • As empresas devem lidar com as mudanças em detalhes para evitar penalidades elevadas. Multas pode ser imposta até 20 milhões de euros ou 4% do faturamento anual realizado no exercício financeiro anterior.
  • O GDPR tem dado aos consumidores direitos de longo alcance, por exemplo, o direito de acessar ou apagar seus dados. O direito à portabilidade dos dados também é novo.
  • Dados pessoais, ou seja dados que fornecem informações sobre a identidade das pessoas físicas, é excepcionalmente protegida. 

O que é o PIBR da UE?

O Regulamento Geral de Proteção de Dados, que entrou em vigor em maio de 2018, afeta todos os países da UE. Ela se aplica a todas as empresas cujos produtos são vendidos a consumidores na UE e cujos dados pessoais são armazenados, processados ou transferidos para este fim.

É bom saber: O GDPR também se aplica às empresas sediada fora da UE ou da EEA mas oferecendo e vendendo mercadorias dentro da União Européia. A regulamentação da UE garante, assim, que os dados pessoais dos cidadãos da UE sejam protegidos de forma holística.

Não há distinção entre dados pessoais nos setores público, relacionado ao trabalho ou privado. Por exemplo, os dados de funcionários em uma empresa também é coberto pelo GDPR, assim como os dados do Setor B2B quando parceiros comerciais trocam dados pessoais uns com os outros. Isto significa que quase todas as empresas que operam na UE devem, em princípio, cumprir as disposições do Regulamento Geral de Proteção de Dados.

O objetivo da GDPR é proteger as pessoas físicas no processamento de dados pessoais. Ao mesmo tempo, um intercâmbio seguro e responsável de dados deve ser assegurado. A Diretiva de Proteção de Dados da UE, anteriormente aplicável, não havia atingido este objetivo, então o legislador europeu se sentiu obrigado a emitir uma regulamentação.

Excursus: O GDPR é um ato legal na forma de um regulamento. Ao contrário das diretrizes, os regulamentos se aplicam diretamente a todos os estados membros da UE. Por outro lado, as diretrizes devem ser implementadas pelos estados membros individualmente em sua própria legislação. No entanto, no caso de regulamentos, os membros podem manter ou complementar suas próprias regras.

O que são dados pessoais?

Os dados pessoais referem-se a todas as informações que permitem conclusões a serem tiradas sobre uma pessoa física. Isto inclui, em particular

  • Dados gerais da pessoa física (tais como nomes, datas de nascimento, números de telefone, endereços)
  • Números de identificação (tais como números de previdência social, números fiscais, números de carteira de identidade)
  • Dados bancários
  • Dados online (tais como endereços IP, locais, senhas)
  • Características físicas (tais como cor da pele, tamanho da roupa, sexo)
  • Dados de propriedade (tais como registros de imóveis, matrículas de veículos)
  • Dados do cliente (por exemplo, pedidos, dados de conta)
  • Documentos (por exemplo, testemunhos, escrituras, certificados)

Dados que são sensível do ponto de vista do legislador está sujeito a proteção especial. Isto inclui religião, saúde, filiação a sindicatos, sexualidade, origem étnica ou crenças políticas.

O processamento neste contexto significa qualquer processamento de dados, por exemplo, com computadores, scanners, câmeras digitais ou smartphones, assim como coleções de dados analógicos, como arquivos. Entretanto, isto afeta a maioria das áreas e coletas de dados em empresas e autoridades públicas, de modo que a GDPR é onipresente.

Obrigações do Regulamento Geral de Proteção de Dados da UE

Lidar com dados pessoais é sempre caracterizado pela responsabilidade para com pessoas físicas. Qualquer pessoa que queira trabalhar com estes dados deve aceitar que certas obrigações também acompanhem o processamento de dados.

Neste contexto, as obrigações podem ser muito diversas. Explicá-las todas em detalhes iria além do escopo deste artigo. Em nosso centro de conhecimento, você encontrará extensos artigos e informações sobre todas as obrigações impostas às empresas pela GDPR.

Medidas técnicas e organizacionais

As empresas devem tomar medidas técnicas e organizacionais para melhor proteger os dados da pessoa em questão. Estes variam dependendo do setor, categorias de dados, fatores de risco e tipos de processamento.

É uma questão de ponderar quais são as medidas necessário e útil para proteger os dados coletados da melhor maneira possível. Para este fim, é necessário manter um registro das atividades de processamento e, se necessário, para realizar avaliações de impacto.

Responsável pela proteção de dados

Muitas empresas são obrigadas a contratar um responsável interno pela proteção de dados ou nomear um responsável externo pela proteção de dados.

Um responsável pela proteção de dados deve ser nomeado independentemente do número de funcionários quando a empresa ou o processador processa dados que requerem um avaliação do impacto da proteção de dados ou processa dados para transferência (por exemplo, para fins de pesquisa).

Registro das atividades de processamento

A base para todas as medidas organizacionais, e um conceito de proteção de dados funcional em geral, é o inventário. O GDPR fornece um registro das atividades de processamento (ROPA) para este fim.

As empresas verificam suas atividades e processos com tal registro para ver se os dados pessoais são coletados, armazenados ou processados. Todos os processos em que este é o caso estão listados e documentados no ROPA.

As seguintes informações devem ser registradas:

  • Descrição do processo: Qual processo se entende (por exemplo, arquivo pessoal)?
  • Pessoa encarregada: Quem é responsável pelo processamento automatizado, e quem é a pessoa de contato?
  • Objetivo do processamento: Por que os dados estão sendo processados?
  • Categorias de sujeitos de dados (funcionários, clientes) e categorias de dados pessoais.
  • Categorias de destinatários se os dados pessoais forem divulgados a terceiros.
  • Transferências para terceiros países, incluindo a designação do país e do destinatário ou organização
  • Períodos de eliminação: Por quanto tempo os dados podem ser armazenados?
  • Medidas técnicas e organizacionais para a proteção de dados

O ROPA não é um registro público; ninguém pode acessar suas informações. Finalmente, os registros internos também contêm segredos comerciais e processos confidenciais que devem ser protegidos. Entretanto, o registro deve ser mostrado à autoridade supervisora responsável mediante solicitação.

Avaliações de impacto da proteção de dados

Suponha que uma operação de processamento tenha um risco maior para os direitos e liberdades das pessoas em causa devido a sua tecnologia, forma ou maneira. Nesse caso, um avaliação do impacto da proteção de dados deve ser realizado.

Uma avaliação de impacto analisa se o processamento extensivo é necessário, os riscos para os sujeitos dos dados e se o objetivo e risco são equilibrados. Somente se tal avaliação de risco é a favor do processamento pode ser realizado.

Processamento comissionado

Se as empresas não realizarem o processamento de dados por conta própria, mas o fizerem por entidades externas, um contrato de processamento deve ser sempre concluído com o terceiro. Este contrato deve especificar como os dados são processados, quais mecanismos de proteção se aplicam e como os dados podem ser armazenados.

As regras do GDPR devem ser incluídas e cumpridas neste contrato.

Planos de emergência

Se um vazamento de dados ou violação de dados Se ocorrer, as empresas devem ter planos de emergência com os quais os funcionários estejam familiarizados. Isto assegura que as exigências do Regulamento Geral de Proteção de Dados possam ser atendidas novamente o mais rápido possível em uma emergência.

As autoridades de supervisão relevantes devem ser informadas dentro de 72 horas se houver um alto risco para os sujeitos dos dados.

A GDPR garante mais direitos aos consumidores

Não só tem o obrigações para as empresas se tornam mais diversificadas, mas os sujeitos dos dados também ganharam mais direitos. Isto se deve principalmente ao princípio da autodeterminação informativa. Ela afirma que cada pessoa é livre para decidir que informações revela sobre si mesma e o que não revela.

A GDPR oferece assim aos consumidores, clientes, fornecedores e funcionários mais controle sobre suas próprias informações pessoais. A opacidade das empresas que utilizam ou coletam esses dados é assim reduzida, e os procedimentos tornam-se mais transparentes. As empresas que desejam trabalhar com informações pessoais também terão que cumprir com isto.

Os direitos mais importantes dos titulares dos dados incluem o seguinte:

  1. Acesso aos dados: Toda pessoa tem o direito de acessar os dados armazenados e saber quais dados são coletados e como são utilizados. Uma cópia destas informações deve ser fornecida pelas empresas gratuitamente e de forma eletrônica se a pessoa interessada assim o solicitar.
  2. Direito de retirada: se o envolvido não for mais um cliente ou retirar o consentimento, a empresa deve apagar estes dados sem demora (se não houver obrigação legal de retê-los). Os titulares dos dados têm o direito de ordenar a eliminação dos dados.
  3. Portabilidade de dados: Os sujeitos dos dados podem solicitar que os dados sejam transferidos de um prestador de serviços para outro.
  4. Retificação: Os clientes devem ser capazes de ter os dados corrigidos a qualquer momento se estiverem incompletos, desatualizados ou incorretos.
  5. Restrição do uso de dados: os particulares têm o direito de restringir o uso de dados. Neste caso, os dados não serão processados posteriormente, mas não serão apagados.
  6. Apresentar uma objeção: Os sujeitos dos dados podem proibir as empresas de utilizar seus dados para marketing direto. Os consumidores devem ser informados com antecedência sobre este direito.
  7. Notificação de violação de dados: se ocorrer um incidente de violação de dados, como um vazamento de dados ou similar, as pessoas em questão têm o direito de ser informadas sobre o vazamento de dados se o risco for alto.

Onde se aplica o GDPR?

O GDPR se aplica nos estados membros da UE e mais além. Nos países em questão, o GDPR tem precedência. No entanto, o GDPR tem precedência, precedência não significa necessariamente que o GDPR se sobrepõe às leis nacionais.

Como em muitos regulamentos, há também cláusulas no GDPR que permitem aos Estados fazer seus próprios regulamentos ou especificar os regulamentos existentes. Assim, apesar da base legal uniforme, eles podem regular ainda mais áreas individuais e independentemente especificar o GDPR.

Também é importante notar que o GDPR não é relevante apenas para empresas sediadas na UE. As chamadas princípio do mercado fornece informações sobre o escopo do GDPR: Todos os dados pessoais relacionados a vendas e serviços dentro da União Européia só pode ser processado pela entidade processadora dentro das regras do GDPR.

Plataformas como Google, Facebook ou outros canais de mídia social também devem estar de acordo com o GDPR se quiserem monitorar o comportamento dos cidadãos da UE, por exemplo, para usar esses dados para fins publicitários.

Quem é afetado pelo GDPR?

Em princípio, todas as empresas que armazenar, processar ou transferir dados pessoais dentro da UE devem cumprir as regras do GDPR. Isto significa que basicamente todas as autoridades públicas e todas as empresas são afetadas pelas regras da GDPR.

O GDPR não afeta as atividades pessoais ou familiares (as chamadas isenção doméstica). Conversas privadas, contatos por e-mail ou chats não estão sujeitos às obrigações da GDPR. Por outro lado, você deve ser cuidadoso ao compartilhar fotos privadas em plataformas públicas. Aqui, a GDPR novamente se aplica, com a conseqüência de que todos os sujeitos dos dados devem consentir com a publicação.

Atividades que são não cobertos pela legislação da UE em primeiro lugar, também pode ser excluída. Isto se aplica, por exemplo, às atividades que surgem na área da política externa e de segurança comum, tais como a aplicação da lei. Há também regras separadas para as instituições da UE.

Conclusão

A GDPR fornece muitas medidas e regras para proteger os dados pessoais da melhor maneira possível. Para as empresas, isto significa muito trabalho que é melhor tratado com um sistema como o Plataforma de Proteção de Dados Priverion. A GDPR exige que um registro das atividades de processamento seja criado no início, ou seja, uma espécie de inventário é primeiro retirado dos processos existentes. 

Além dos muitos esforços envolvidos, a GDPR também oferece a oportunidade de rever as estruturas existentes na empresa e torná-las mais eficientes e amigáveis aos dados. Isto não só reduz o risco de violação de dados e, portanto, de danos à imagem da empresa e multas, mas também garante fluxos de trabalho melhores e mais simples que podem até mesmo aumentar as vendas. Portanto, as empresas também devem ver o GDPR como uma oportunidade para reformar e melhorar seus negócios.

Você tem perguntas abertas sobre proteção e certificação de dados? Nosso pessoal legal e tecnicamente treinado o aconselhará de forma abrangente sobre todas as questões da lei de proteção de dados. Esteja à vontade para entre em contato conosco a qualquer momento.

Artigos relacionados

Reserve uma demonstração

+41 44 586 97 90

hello@www.priverion.com