+55 (21) 2505-9393
+55 (21) 99731-6528
contato@acpdbrasil.com

O GDPR Explicado

Conformidade, Proteção e Privacidade de Dados

   GDPR    outubro 2, 2024  |  0

O Regulamento (EU) 2016/679, mais conhecido como General Data Protection Regulation (GDPR), e, em português, também conhecido, em alguns países, como Regulamento Geral de Proteção de Dados(RGPD) é a principal lei de proteção de dados da União Europeia (UE). Ele se aplica a quase todas as organizações que fazem negócios na UE, com a UE ou com indivíduos na UE.

O GDPR representa o ápice das mudanças nas normas globais em torno da privacidade e do uso de dados pessoais, à medida que países ao redor do mundo introduzem seus próprios frameworks para acompanhar este Regulamento. Por aqui, no Brasil, temos a Lei n.º 13.709/2018, conhecida como Lei Geral de Proteção de Dados (LGPD).

Ao buscarmos a palavra risco na LGPD ou no GDPR

Com um amplo escopo territorial, uma série de requisitos detalhados e autoridade para os reguladores aplicarem multas significativas, as organizações sujeitas ao GDPR enfrentam riscos consideráveis. Mas, à medida que outros países seguem o exemplo, o GDPR pode servir como trampolim para o mundo, de maneira mais ampla.

Após o Brexit, o Reino Unido passou para um regime separado de proteção de dados, fundamentado, principalmente, no GDPR, do Reino Unido, e do Data Protection Act 2018. Atualmente, o arcabouço jurídico-regulatório, relativo a dados pessoais, do Reino Unido, é semelhante ao GDPR da UE.

Desde que o Reino Unido deixou a UE, a partir de 1º de janeiro de 2021, o GDPR não se aplica mais diretamente a ele. No entanto, o GDPR foi mantido na legislação do Reino Unido com emendas técnicas para garantir que o seu funcionamento no direito britânico. Esse novo regime é conhecido como ‘UK GDPR’ e também se baseia no Data Protection Act 2018.

Abaixo, destacamos alguns dos principais pontos do GDPR, da UE:

  • Definição abrangente de dados pessoais: Dados pessoais são amplamente definidos como qualquer informação relacionada a uma pessoa natural identificada ou identificável. Uma pessoa natural identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador, como um nome, número de identificação, dados de localização, identificador online ou um ou mais fatores específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa. Na prática, isso inclui todos os dados que são ou podem ser atribuídos a uma pessoa viva;
  • Escopo extraterritorial: O GDPR se aplica a organizações na UE, bem como àquelas fora da UE que processam dados pessoais no contexto de oferta de bens ou serviços a residentes da UE, ou que monitoram seu comportamento. Isso significa que organizações que fazem negócios na UE podem estar sujeitas ao GDPR. Também significa que empresas ao redor do mundo enfrentam um campo de jogo nivelado se competirem por clientes na UE;
  • Poderes de execução expansivos: As organizações podem enfrentar sanções como multas de até 4% da receita anual mundial da organização ou € 20 milhões, o que for maior. Um risco significativo adicional é que um regulador pode ordenar que uma organização pare de usar dados pessoais completamente – o que pode significar excluir todas as listas de clientes e efetivamente cessar as operações até que a organização esteja em conformidade;
  • Direitos individuais significativos: Os indivíduos possuem vários direitos, incluindo o direito de obter uma cópia dos dados pessoais mantidos sobre eles, o direito de solicitar que as organizações excluam os dados mantidos sobre eles, o direito de optar por não participar de qualquer tratamento de seus dados para fins de marketing direto (incluindo a criação de perfis de marketing direto de consumidores), e o direito de “portar” dados de um fornecedor para um concorrente;
  • Consentimento: O consentimento nem sempre é necessário – é uma das várias hipóteses legais disponíveis. Quando o consentimento é adequado, está sujeito a um conjunto rigoroso de condições. Para obter o consentimento de um indivíduo para o tratamento de seus dados, uma organização deve garantir que o consentimento seja detalhado, possa ser facilmente retirado e não seja “take it or leave it”. Onde possível, deve ser evitado, especialmente em situações em que seria difícil garantir que o consentimento seria fornecido de forma livre, como em relações empregador-empregado;
  • Privacy by design and default: As organizações devem implementar a proteção de dados como um elemento central no design de qualquer produto, serviço, sistema, processo, etc., que envolva o tratamento de dados pessoais. Ao considerar o design de medidas técnicas e organizacionais, o GDPR orienta os controladores a avaliarem o estado da arte, o custo de implementação e a natureza, o escopo e os motivos do uso, juntamente com os diferentes níveis de riscos para os direitos e liberdades dos indivíduos causados pelo uso dos dados pessoais. Medidas exemplares para atender ao princípio da minimização de dados, referenciado no GDPR, incluem a adoção de políticas adequadas para funcionários e colaboradores, e o uso de pseudonimização, definida no Artigo 4.º e de anonimização. O GDPR considera que dados anonimizados não são mais considerados dados pessoais, pois não é possível identificar o titular dos dados a partir deles. Isso significa que, uma vez que os dados estejam totalmente anonimizados, o GDPR não se aplica a eles. A anonimização deve ser irreversível para os dados serem considerados fora do escopo deste Regulamento;
  • Responsabilidade: O GDPR exige que todas as organizações implementem uma ampla gama de medidas para reduzir o risco de violação do GDPR e provar que levam a governança de dados a sério. As medidas de responsabilidade incluem a nomeação de um Data Protection Officer (onde certos limites são atingidos), a realização de avaliações de risco de privacidade para atividades de “alto risco” e a manutenção de registros detalhados das atividades de tratamento que podem ser disponibilizados aos reguladores (a menos que se apliquem isenções);
  • Contratos: As organizações precisam considerar como a proteção de dados será abordada em seus contratos com prestadores de serviços e parceiros de negócios. Em certos casos, há termos obrigatórios que devem ser incluídos;
  • Notificação de violação de dados: Os requisitos de notificação de violação de dados pessoais sob o GDPR se aplicam a organizações, independentemente do setor. Notavelmente, o GDPR adota um limite baixo para o relatório de uma violação de dados pessoais aos reguladores competentes. Qualquer relatório necessário deve ser feito sem atraso indevido e, onde possível, dentro de 72 horas. Esse regime se aplica além das obrigações atuais de segurança de dados e notificação de violação exigidas pela Diretiva NIS/Cibersegurança da UE e pela futura Diretiva NIS2 da UE, e suas respectivas legislações nacionais de implementação;
  • Harmonização em toda a UE: Ao adotar a forma de um regulamento, ao invés de uma diretiva, o GDPR eliminou muitos dos requisitos específicos de cada país que existiam anteriormente. No entanto, o GDPR contém certas derrogações e condições especiais que significam que há variações locais em alguns casos (afetando, por exemplo, áreas como ciências da vida, atividades relacionadas ao jornalismo/academia e emprego). Para enfrentar os riscos significativos colocados pela aplicação do GDPR, recomendamos que as organizações entendam como coletam, usam e armazenam dados pessoais. Só então uma organização poderá implementar soluções personalizadas.

Abordar os riscos impostos pelo GDPR requer uma avaliação caso a caso dos pontos de atrito para cada organização. Não existe uma solução única para todos.

 

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Próximos Eventos

BUSCAR POR MÊS
BUSCAR POR CATEGORIA

© 2024 ACPD Brasil. Desenvolvido por: Support Brasil.

Open chat
Powered by Joinchat
Olá 👋
Como podemos te ajudar?