O que ¨¦ GDPR?
Regulamento geral de prote??o de dados (GDPR) da UE
Possivelmente a norma de privacidade de dados mais abrangente que existe, o GDPR representa um desafio importante para as organiza??es que processam dados pessoais de cidad?os da UE, independentemente de onde a organiza??o esteja sediada.
Em vigor desde maio de 2018, a Regula??o Geral de Prote??o de Dados da UE (GDPR) foi concebida para melhorar a prote??o de dados pessoais e aumentar a responsabilidade das organiza??es por viola??es de dados. Com poss¨ªveis multas de at¨¦ quatro por cento das receitas globais ou 20 milh?es de euros (o valor mais alto), a GDPR certamente tem poder. N?o importa onde sua organiza??o esteja localizada, se voc¨º processa ou controla dados pessoais de residentes da UE ¨¦ preciso estar em conformidade com a GDPR, caso contr¨¢rio estar¨¢ sujeito a multas importantes e dever¨¢ informar as partes afetadas sobre viola??es de dados. Saiba mais sobre conformidade com a GDPR.
O GDPR ¨¦ expansivo e inclui os seguintes cap¨ªtulos e artigos: :
Cap¨ªtulo 1: Disposi??es gerais
- Artigo 1: Assunto e objetivos
- Artigo 2: ?mbito material Artigo 3: ?mbito territorial Artigo 4: Defini??es
Cap¨ªtulo 2: Princ¨ªpios
- Artigo 5: Princ¨ªpios relativos ao tratamento de dados pessoais
- Artigo 6: Legalidade do tratamento
- Artigo 7: Condi??es para consentimento
- Artigo 8: Condi??es aplic¨¢veis ao consentimento de crian?as em rela??o aos servi?os da sociedade da informa??o
- Artigo 9: Tratamento de categorias especiais de dados pessoais
- Artigo 10: Tratamento de dados relativos a condena??es penais e delitos
- Artigo 11: Tratamento que n?o requer identifica??o
Cap¨ªtulo 3: Direitos do titular dos dados
Se??o 1: Transpar¨ºncia e regras
- Artigo 12: Transpar¨ºncia das informa??es, das comunica??es e das regras para exerc¨ªcio dos direitos dos titulares dos dados
- Se??o 2: Informa??o e acesso aos dados
- Artigo 13: Informa??es a serem fornecidas quando os dados pessoais s?o recolhidos junto ao titular dos dados
- Artigo 14: Informa??es a serem fornecidas quando os dados pessoais n?o s?o recolhidos junto ao titular dos dados
- Artigo 15: Direito de acesso do titular dos dados
Se??o 3: Retifica??o e apagamento
- Artigo 16: Direito ¨¤ retifica??o
- Artigo 17: Direito ao apagamento (¡°direito a ser esquecido¡±)
- Artigo 18: Direito ¨¤ limita??o do tratamento
- Artigo 19: Obriga??o de notifica??o da retifica??o ou apagamento dos dados pessoais ou limita??o do tratamento
- Artigo 20: Direito ¨¤ portabilidade dos dados
Se??o 4: Direito de oposi??o e decis?es individuais automatizadas
- Artigo 21: Direito de oposi??o
- Artigo 22: Decis?es individuais automatizadas, incluindo defini??o de perfis
Se??o 5: Restri??es
- Artigo 23: Restri??es
Cap¨ªtulo 4: Controlador e Processador
Se??o 1: Obriga??es gerais
- Artigo 24: Responsabilidade do controlador
- Artigo 25: Prote??o de dados desde a concep??o e por padr?o
- Artigo 26: Controladores conjuntos
- Artigo 27: Representantes de controladores n?o estabelecidos na Uni?o
- Artigo 28: Processador
- Artigo 29: Processamento sob a autoridade do controlador ou processador
- Artigo 30: Registros de atividades de tratamento
- Artigo 31: Coopera??o com a autoridade supervisora
Se??o 2: Seguran?a dos dados pessoais
- Artigo 32: Seguran?a do tratamento
- Artigo 33: Notifica??o de uma viola??o de dados pessoais ¨¤ autoridade de supervis?o
- Artigo 34: Comunica??o de uma viola??o de dados pessoais ao titular dos dados
Se??o 3: Avalia??o do impacto da prote??o de dados e consulta pr¨¦via
- Artigo 35: Avalia??o do impacto da prote??o de dados
- Artigo 36: Consulta pr¨¦via
Se??o 4: Oficial de prote??o de dados
- Artigo 37: Designa??o do respons¨¢vel pela prote??o de dados
- Artigo 38: Fun??o do respons¨¢vel pela prote??o de dados
- Artigo 39: Tarefas do respons¨¢vel pela prote??o de dados
Se??o 5: C¨®digos de conduta e certifica??o
- Artigo 40: C¨®digos de conduta
- Artigo 41: Monitoramento de c¨®digos de conduta aprovados
- Artigo 42: Certifica??o
- Artigo 43: Organismos de certifica??o
Cap¨ªtulo 5: Transfer¨ºncias de dados pessoais para pa¨ªses terceiros ou organiza??es internacionais
- Artigo 44: Princ¨ªpio geral de transfer¨ºncia
- Artigo 45: Transfer¨ºncias da base de uma decis?o de adequa??o
- Artigo 46: Transfer¨ºncias sujeitas a prote??es apropriadas
- Artigo 47: Regras corporativas vinculativas
- Artigo 48: Transfer¨ºncias ou divulga??es n?o autorizadas pela uni?o
- Artigo 49: Isen??es para situa??es espec¨ªficas
- Artigo 50: Coopera??o internacional para a prote??o de dados pessoais
Cap¨ªtulo 6: Autoridades supervisoras independentes
Se??o 1: Status independente
- Artigo 51: Autoridade supervisora
- Artigo 52: Independ¨ºncia
- Artigo 53: Condi??es gerais para os membros da autoridade supervisora
- Artigo 54: Regras para a cria??o da autoridade supervisora
Se??o 2: Compet¨ºncia, tarefas e poderes
- Artigo 55: Compet¨ºncia
- Artigo 56: Compet¨ºncia da autoridade supervisora principal
- Artigo 57: Tarefas
- Artigo 58: Poderes
- Artigo 59: Relat¨®rios de atividades
Cap¨ªtulo 7: Coopera??o e Consist¨ºncia
Se??o 1: Coopera??o
- Artigo 60: Coopera??o entre a autoridade supervisora principal e as outras autoridades supervisoras envolvidas
- Artigo 61: Assist¨ºncia m¨²tua
- Artigo 62: Opera??es conjuntas de autoridades supervisoras
Se??o 2: Consist¨ºncia
- Artigo 63: Mecanismo de consist¨ºncia
- Artigo 64: Opini?o da Diretoria
- Artigo 65: Resolu??o de disputas pela Diretoria
- Artigo 66: Procedimento de urg¨ºncia
- Artigo 67: Troca de informa??es
Se??o 3: Conselho Europeu de Prote??o de Dados
- Artigo 68: Conselho Europeu de Prote??o de Dados
- Artigo 69: Independ¨ºncia
- Artigo 70: Tarefas da Diretoria
- Artigo 71: Relat¨®rios
- Artigo 72: Procedimento
- Artigo 73: Presidente
- Artigo 74: Tarefas do Presidente
- Artigo 75: Secretariado
- Artigo 76: Confidencialidade
Cap¨ªtulo 8: Vias de recurso, Responsabilidade e San??es
- Artigo 77: Direito de apresentar uma queixa a uma autoridade supervisora
- Artigo 78: Direito a um recurso judicial efetivo contra uma autoridade supervisora
- Artigo 79: Direito a um recurso judicial efetivo contra um controlador ou processador
- Artigo 80: Representa??o dos titulares dos dados
- Artigo 81: Suspens?o do processo
- Artigo 82: Direito de indeniza??o e responsabilidade
- Artigo 83: Condi??es gerais para o aplicativo de multas administrativas
- Artigo 84: Penalidades
Cap¨ªtulo 9: Disposi??es relativas a situa??es espec¨ªficas de tratamento
- Artigo 85: Tratamento e liberdade de express?o e de informa??o
- Artigo 86: Tratamento e acesso do p¨²blico aos documentos oficiais
- Artigo 87: Tratamento do n¨²mero de identifica??o nacional
- Artigo 88: Tratamento no contexto laboral
- Artigo 89: Garantias e isen??es relativas ao tratamento para fins de arquivo de interesse p¨²blico ou para fins de investiga??o cient¨ªfica ou hist¨®rica ou para fins estat¨ªsticos
- Artigo 90: Obriga??es de sigilo
- Artigo 91: Normas vigentes em mat¨¦ria de prote??o dos dados das igrejas e associa??es religiosas
Cap¨ªtulo 10: Atos delegados e atos de execu??o
- Artigo 92: Exerc¨ªcio da delega??o
- Artigo 93: Procedimento de comit¨º
Cap¨ªtulo 11: Disposi??es finais
- Artigo 94: Revoga??o da Diretiva 95/46/CE
- Artigo 95: Rela??o com a Diretiva 2002/58/CE
- Artigo 96: Rela??o com acordos celebrados anteriormente
- Artigo 97: Relat¨®rios da Comiss?o
- Artigo 98: Revis?o de outros atos jur¨ªdicos da uni?o sobre prote??o de dados
- Artigo 99: Entrada em vigor e aplicativo
Disposi??es principais do artigo 32
Uma das principais disposi??es do GDPR, o artigo 32 exige:
a. a pseudonimiza??o e criptografia de dados pessoais; b. a capacidade de garantir a confidencialidade, integridade, disponibilidade e resili¨ºncia cont¨ªnua dos sistemas e servi?os de processamento; c. a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo h¨¢bil no caso de um incidente f¨ªsico ou t¨¦cnico; d. um processo para testar e avaliar regularmente a efic¨¢cia das medidas t¨¦cnicas e organizacionais para garantir a seguran?a do processamento.
Disposi??es principais do artigo 34
O artigo 34 do regulamento detalha o que uma organiza??o deve fazer para evitar ter que notificar os titulares dos dados no caso de uma viola??o.
Quando a viola??o de dados pessoais puder causar alto risco para os direitos e liberdades de pessoas f¨ªsicas, o respons¨¢vel pelo tratamento comunicar¨¢ a viola??o de dados ¨¤ pessoa em quest?o sem demora injustificada.
A comunica??o com o titular dos dados mencionado no par¨¢grafo 1 deste artigo dever¨¢ descrever em linguagem clara a natureza da viola??o dos dados pessoais¡
N?o ser¨¢ exigida comunica??o com o titular dos dados mencionado no par¨¢grafo 1 se alguma das seguintes condi??es for atendida:
a. o controlador implementou medidas de prote??o t¨¦cnicas e organizacionais adequadas, e essas medidas foram aplicadas aos dados pessoais afetados pela viola??o, em particular medidas que tornam os dados pessoais inintelig¨ªveis para pessoas que n?o estejam autorizadas a acess¨¢-los, tais como criptografia; b. o controlador tomou medidas posteriores para garantir que as amea?as aos direitos e liberdades das pessoas mencionadas no par¨¢grafo 1 n?o se materializem; c. isso envolveria um esfor?o desproporcional. Nesse caso, deve haver uma comunica??o p¨²blica ou medida similar pela qual os titulares dos dados ser?o informados de maneira igualmente eficaz.