GDPR – O que é o GDPR(Proteção de Dados da UE)

Se está situado na UE, já deve ter recebido numerosos emails pedindo(da parte de newletters ás quais já esteja subscrito) que verefique via um “double-optin” ou confirmação do género para que continue a receber as comunicações dessas mesmas entidades. Isto deve-se a nova legisgelação acordada pela União Europeia(GDPR), aplica-se a practicamente todas as empresas ou entidades que lidem com os dados de cidadãos da UE, razão pela qual e com algum destaque empresas Norte-Americas que se anteciparam mesmo antes da nova lei ter sido formalmente aprovada(em alguns casos). Se subscreve a algumas das nossas “newsletters”, tanto da Mercurio 33 como de outras empresas do grupo também já recebeu o pedido de confirmação. Tentamos explicar melhor com este artigo, porque pensamos ser importante divulgar.

O Regulamento Geral de Proteção de Dados da UE (GDPR) é a mudança mais importante na regulamentação de privacidade de dados em 20 anos – estamos aqui para garantir que você esteja preparado.

Após quatro anos de preparação e debate, o GDPR foi finalmente aprovado pelo Parlamento da UE em 14 de abril de 2016. Data de aplicação: 25 de maio de 2018 – quando as organizações em situação de incumprimento poderão incorrer em multas pesadas.

O Regulamento Geral de Proteção de Dados da UE substitui a Diretiva de Proteção de Dados 95/46 / EC e foi projetado para harmonizar as leis de privacidade de dados em toda a Europa, para proteger e capacitar todos os cidadãos da UE e reformular o modo como as organizações da região abordam os dados. privacidade. Os principais artigos do GDPR, bem como informações sobre o impacto nos negócios, podem ser encontrados em todo o site.
A estratégia da UE para o mercado único digital visa abrir oportunidades digitais a pessoas e empresas e reforçar a posição da Europa enquanto líder mundial na economia digital.
Como parte da estratégia, o RGPD e a Diretiva NIS serão aplicáveis ​​a partir de 25 de maio de 2018. O Regulamento relativo à prorrogação eletrónica também está previsto para ser aplicado a partir de 25 de maio de 2018. O Regulamento eIDAS também faz parte da estratégia.

Desenvolvimento da Lei:

25 de janeiro de 2012: A proposta  para o GDPR foi divulgada.
21 de outubro de 2013: A Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos do Parlamento Europeu (LIBE) votou a sua orientação.
15 de dezembro de 2015: as negociações entre o Parlamento Europeu, o Conselho e a Comissão (reunião formal dos trílogos) resultaram numa proposta conjunta.
17 de dezembro de 2015: A Comissão LIBE do Parlamento Europeu votou pelas negociações entre as três partes.
8 de abril de 2016: Adopção pelo Conselho da União Europeia . O único Estado membro que votou contra foi a Áustria, que argumentou que o nível de proteção de dados em alguns aspectos é insuficiente em comparação com a diretiva de 1995.
14 de abril de 2016: Adoção pelo Parlamento Europeu.
24 de maio de 2016: O regulamento entrou em vigor 20 dias após a sua publicação no Jornal Oficial da União Europeia.
25 de maio de 2018: Suas disposições serão diretamente aplicáveis ​​em todos os Estados membros, dois anos após a entrada em vigor da regulamentação

Alterações da chave GDPR

Uma visão geral das principais mudanças sob GDPR e como elas diferem da diretiva anterior

O objectivo do GDPR é proteger todos os cidadãos da UE contra a violação de privacidade e dados num mundo cada vez mais orientado para os dados, muito diferente do momento em que a directiva de 1995 foi estabelecida. Embora os princípios-chave da privacidade de dados ainda se mantenham fiéis à diretiva anterior, muitas mudanças foram propostas para as políticas reguladoras; os pontos-chave do GDPR, bem como informações sobre os impactos que terá sobre os negócios podem ser encontrados abaixo.

Aumento do escopo territorial (aplicabilidade extraterritorial)
Indiscutivelmente, a maior mudança no panorama regulatório da privacidade de dados vem com a jurisdição estendida do GDPR, já que se aplica a todas as empresas que processam os dados pessoais dos sujeitos de dados residentes na União, independentemente da localização da empresa. Anteriormente, a aplicabilidade territorial da directiva era ambígua e referia-se ao processo de dados “no contexto de um estabelecimento”. Este tópico surgiu em vários casos judiciais de alto nível. O GPDR torna sua aplicabilidade muito clara – ele será aplicado ao processamento de dados pessoais por controladores e processadores na UE, independentemente de o processamento ocorrer na UE ou não. O GDPR aplica-se igualmente ao tratamento de dados pessoais de titulares de dados na UE por um responsável pelo tratamento ou subcontratante não estabelecido na UE, quando as atividades dizem respeito a: oferecer bens ou serviços a cidadãos da UE (independentemente de o pagamento ser necessário) e o acompanhamento do comportamento que ocorre na UE. As empresas não pertencentes à UE que processam os dados dos cidadãos da UE terão também de nomear um representante na UE.

Desvio de Dados

Sob o GDPR, o controlador de dados tem a obrigação legal de notificar a autoridade supervisora ​​sem demora indevida, a menos que a violação seja improvável que resulte em um risco aos direitos e liberdades dos indivíduos. Há um máximo de 72 horas após tomar conhecimento da violação de dados para fazer o relatório (Artigo 33). Os indivíduos devem ser notificados se o impacto adverso for determinado (Artigo 34). Além disso, o processador de dados terá que notificar o controlador sem atrasos indevidos após tomar conhecimento de uma violação de dados pessoais (Artigo 33).

No entanto, a notificação aos titulares de dados não é necessária se o controlador de dados tiver implementado medidas de proteção técnicas e organizacionais apropriadas que tornem os dados pessoais ininteligíveis a qualquer pessoa que não esteja autorizada a acessá-los, como criptografia.

Penalidades e Sanções:
Sob GDPR organizações em violação do GDPR podem ser multadas em até 4% do faturamento global anual ou 20 milhões de euros (o que for maior). Esta é a multa máxima que pode ser imposta para as infrações mais graves, por exemplo, não ter o consentimento suficiente do cliente para processar dados ou violar o núcleo dos conceitos de Privacidade por Design. Existe uma abordagem escalonada para multas, e. uma empresa pode ser multada em 2% por não ter seus registros em ordem (artigo 28), não notificando a autoridade supervisora ​​e o titular dos dados sobre uma violação ou não a avaliação de impacto. É importante observar que essas regras se aplicam tanto aos controladores quanto aos processadores – o que significa que as nuvens não estarão isentas da aplicação do GDPR.

As seguintes sanções podem ser impostas:

um aviso por escrito em casos de não-conformidade inicial e não intencional
auditorias regulares periódicas de proteção de dados
multa até 20 milhões de euros ou até 4% do volume de negócios anual do exercício anterior, no caso de uma empresa, o que for maior, se tiver havido uma violação das seguintes disposições (artigo 83.º, n.ºs 5 e 6) )
as obrigações do responsável pelo tratamento e do processador nos termos dos artigos 8º, 11º, 25º a 39º e 42º e 43º.
as obrigações do organismo de certificação nos termos dos artigos 42 e 43
as obrigações do organismo de controlo nos termos do artigo 41. o
multa até 20 milhões de euros ou até 4% do volume de negócios anual do exercício anterior, no caso de uma empresa, o que for maior, se tiver havido violação das seguintes disposições: (artigo 83, n.º 4)
os princípios básicos para o tratamento, incluindo as condições de consentimento, de acordo com os Artigos 5, 6, 7 e 9
direitos dos titulares de dados nos termos dos artigos 12.º a 22.º
As transferências de dados pessoais para um destinatário num país terceiro ou uma organização internacional nos termos dos artigos 44.o a 49.o
quaisquer obrigações previstas na legislação do estado membro adotada nos termos do Capítulo IX
descumprimento de uma ordem ou limitação temporária ou definitiva do processamento ou da suspensão do fluxo de dados pela autoridade de supervisão nos termos do Artigo 58 ou falha em fornecer acesso em violação do Artigo 58

Consentimento

Se o consentimento for usado como base legal para o processamento, o consentimento deve ser explícito para os dados coletados e para os fins em que os dados são utilizados (Artigo 7; definido no Artigo 4). O consentimento para crianças deve ser dado pelos pais ou guardião da criança e verificável (Artigo 8). Os controladores de dados devem ser capazes de provar “consentimento” (opt-in) e o consentimento pode ser retirado.

A área de consentimento do GDPR tem várias implicações para empresas que registram chamadas como uma questão de prática. As “chamadas são gravadas para fins de treinamento e segurança” não serão mais suficientes para obter o consentimento para registrar as chamadas. Além disso, quando a gravação tiver começado, caso o chamador retire seu consentimento, o agente que estiver recebendo a chamada deverá, de alguma forma, ser capaz de interromper uma gravação iniciada anteriormente e garantir que a gravação não seja armazenada.

As condições de consentimento foram reforçadas, e as empresas não poderão mais usar termos e condições longos e ilegíveis, cheios de legalistas, uma vez que o pedido de consentimento deve ser dado de forma inteligível e de fácil acesso, com o propósito de processamento de dados anexado. esse consentimento. O consentimento deve ser claro e distinguível de outros assuntos e ser fornecido de uma forma inteligível e de fácil acesso, usando linguagem clara e clara. Deve ser tão fácil retirar o consentimento quanto dar.

Direitos sob os Dados

Notificação de Violação da Lei

De acordo com o GDPR, a notificação de violação se tornará obrigatória em todos os estados membros, onde uma violação de dados pode “resultar em um risco para os direitos e liberdades dos indivíduos”. Isso deve ser feito dentro de 72 horas após a primeira tomada de conhecimento da violação. Os processadores de dados também serão obrigados a notificar seus clientes, os controladores, “sem atrasos indevidos” após tomar conhecimento de uma violação de dados.

Direito ao Acesso
Parte dos direitos expandidos dos titulares de dados delineados pelo GDPR é o direito de os titulares dos dados obterem da confirmação do controlador de dados se os dados pessoais relativos a eles estão ou não a ser processados, onde e com que finalidade. Além disso, o responsável pelo tratamento deve fornecer gratuitamente uma cópia dos dados pessoais em formato eletrónico. Esta mudança é uma mudança drástica na transparência de dados e empoderamento dos sujeitos de dados.

Direito de ser esquecido
Também conhecido como Data Erasure, o direito de ser esquecido autoriza o titular de dados a fazer com que o controlador de dados apague seus dados pessoais, interrompa a disseminação dos dados e, potencialmente, terceiros suspendam o processamento dos dados. As condições para o apagamento, conforme descrito no artigo 17, incluem os dados que não são mais relevantes para propósitos originais de processamento, ou os indivíduos que retiraram seu consentimento. Também deve ser notado que este direito exige que os controllers comparem os direitos dos sujeitos ao “interesse público na disponibilidade dos dados” ao considerar tais solicitações.

Portabilidade de dados
O GDPR introduz a portabilidade de dados – o direito de um titular de dados receber os dados pessoais relativos a eles, que eles forneceram anteriormente em um formato de uso comum e legível por máquina, e têm o direito de transmitir esses dados para outro controlador.

Privacidade por Design e por Padrão

Privacidade por design como um conceito existe há anos, mas está apenas se tornando parte de uma exigência legal com o GDPR. Em essência, a privacidade por design exige a inclusão da proteção de dados desde o início do design dos sistemas, em vez de um acréscimo. Mais especificamente – «O responsável pelo tratamento deve implementar, de forma eficaz, medidas técnicas e organizativas adequadas, a fim de cumprir os requisitos do presente regulamento e proteger os direitos das pessoas em causa». O Artigo 23 exige que os responsáveis ​​pelo tratamento mantenham e processem apenas os dados absolutamente necessários para o cumprimento de seus deveres (minimização de dados), assim como limitam o acesso a dados pessoais àqueles que precisam realizar o processamento.

A proteção de dados por projeto e por padrão (Artigo 25) exige que a proteção de dados seja projetada no desenvolvimento de processos de negócios para produtos e serviços. As configurações de privacidade devem, portanto, ser definidas em alto nível por padrão, e medidas técnicas e de procedimentos devem ser tomadas pelo controlador para garantir que o processamento, durante todo o ciclo de vida de processamento, esteja em conformidade com o regulamento. Os controladores também devem implementar mecanismos para garantir que os dados pessoais não sejam processados, a menos que sejam necessários para cada finalidade específica.

Um relatório da Agência da União Européia para Segurança de Redes e Informações elabora o que precisa ser feito para obter privacidade e proteção de dados por padrão. Ele especifica que as operações de criptografia e descriptografia devem ser executadas localmente, não por serviço remoto, porque as chaves e os dados devem permanecer no poder do proprietário dos dados, caso seja necessária alguma privacidade. O relatório especifica que o armazenamento de dados terceirizado em nuvens remotas é prático e relativamente seguro se apenas o proprietário dos dados, não o serviço em nuvem, tiver as chaves de descriptografia.

Responsáveis ​​pela Proteção de Dados / Controladores de Proteção de Dados
Se o tratamento for efectuado por uma autoridade pública, com excepção dos tribunais ou autoridades judiciárias independentes, quando actuem no exercício das suas funções judiciais ou se, no sector privado, o processamento for realizado por um responsável cujas actividades principais consistam em operações de tratamento que requeiram Monitorização sistemática dos titulares de dados, uma pessoa com conhecimentos especializados de legislação e práticas de protecção de dados deve ajudar o responsável pelo tratamento ou o processador a monitorizar o cumprimento interno deste regulamento.

O DPO é semelhante a um responsável pela conformidade e também deve ser proficiente no gerenciamento de processos de TI, segurança de dados (incluindo lidar com ataques cibernéticos) e outros problemas críticos de continuidade de negócios em torno da manutenção e processamento de dados pessoais e confidenciais. O conjunto de habilidades exigido se estende além do entendimento da conformidade legal com leis e regulamentos de proteção de dados.

A nomeação de um DPO em uma grande organização será um desafio para o conselho, bem como para o indivíduo em questão. Há uma miríade de questões de governança e fator humano que as organizações e empresas precisarão abordar, dado o escopo e a natureza da organização. O compromisso. Além disso, o DPO deve ter uma equipe de suporte e também será responsável por continuar o desenvolvimento profissional para ser independente da organização que os emprega, efetivamente como um “mini-regulador”.

Mais detalhes sobre a função e o papel do responsável pela proteção de dados foram dados em 13 de dezembro de 2016 (revisado em 5 de abril de 2017) em um documento de diretrizes.

Actualmente, os controladores são obrigados a notificar as suas actividades de processamento de dados com as DPAs locais, o que, para as multinacionais, pode constituir um pesadelo burocrático, com a maioria dos Estados-Membros a ter diferentes requisitos de notificação. Sob GDPR, não será necessário enviar notificações / registros para cada DPA local das atividades de processamento de dados, nem será um requisito para notificar / obter aprovação para transferências baseadas nas Cláusulas do Contrato Modelo (MCCs). Em vez disso, haverá requisitos de manutenção de registros internos, conforme explicado abaixo, e a nomeação de DPO será obrigatória apenas para os controladores e processadores cujas atividades principais consistam em operações de processamento que exigem monitoramento regular e sistemático de dados em larga escala ou de especial. categorias de dados ou dados relativos a condenações e infracções penais. Importante, o DPO:

Deve ser nomeado com base nas qualidades profissionais e, em especial, no conhecimento especializado sobre legislação e práticas de proteção de dados.
Pode ser um membro da equipe ou um provedor de serviços externo
Detalhes de contato devem ser fornecidos ao DPA relevante
Deve ser fornecido com recursos apropriados para realizar suas tarefas e manter seus conhecimentos especializados
Deve se reportar diretamente ao mais alto nível de gerenciamento
Não deve executar nenhuma outra tarefa que possa resultar em um conflito de interesses.

Controvérsias sobre o Regulamento Geral de Proteção de Dados da UE (GDPR)

Muitos dos pontos-chave do regulamento são claros e documentados de forma semelhante nos três esboços atuais, mas muitos detalhes ainda precisam ser elaborados e alguns pontos vêm com variabilidade suficiente para justificar sua própria comparação entre rascunhos. Abaixo está uma análise dos tópicos que provavelmente foram objeto de muitos debates durante o processo de negociação do Trilogue.

A proposta do novo regulamento deu origem a muita discussão e controvérsia. Foram propostas milhares de alterações. O único conjunto de regras e a remoção dos requisitos administrativos deveriam economizar dinheiro; No entanto, como mostra um estudo de maio de 2017 conduzido pela Dimensional Research e pela TrustArc, os profissionais de TI esperam que a conformidade com o GDPR exija investimento adicional em geral: mais de 80% dos gastos esperados pelo GDPR devem ser de pelo menos US $ 100.000. As preocupações foram repetidas em um relatório encomendado pelo escritório de advocacia Baker & McKenzie que descobriu que “cerca de 70% dos entrevistados acreditam que as organizações precisarão investir orçamento / esforço adicional para cumprir com o consentimento, mapeamento de dados e requisitos de transferência de dados entre fronteiras”. sob o GDPR. ”

O requisito de ter um responsável pela proteção de dados (DPO) é novo para muitos países da UE e é criticado pelos seus encargos administrativos.
O GDPR foi desenvolvido com foco em redes sociais e provedores de nuvem, mas não considerou requisitos suficientes para lidar com dados de funcionários.
A portabilidade de dados não é vista como um aspecto fundamental para a proteção de dados, mas mais um requisito funcional para redes sociais e provedores de nuvem, embora a portabilidade de dados crie transparência para avaliar as preocupações de privacidade dos controladores.
Embora a minimização de dados seja um requisito, com a pseudonimização sendo um dos meios possíveis, a regulamentação não fornece nenhuma orientação sobre como ou o que constitui um esquema efetivo de desidentificação de dados, com uma área cinzenta sobre o que seria considerado como pseudonimização inadequada sujeita à Seção 5 ações de fiscalização.
A proteção contra decisões automatizadas no Artigo 22, trazida do Artigo 15 da Diretiva de Proteção de Dados, tem sido reivindicada como proteção contra números crescentes de decisões algorítmicas on-line e off-line, incluindo potencialmente o direito à explicação. Se as disposições antigas fornecem alguma proteção significativa é um assunto de debate em curso.
Desafios linguísticos e de pessoal para as autoridades nacionais de proteção de dados (DPAs), pois os cidadãos da UE não têm mais um único DPA para contatar suas preocupações, mas têm que lidar com o DPA escolhido pela empresa envolvida.
Os dados pessoais não podem ser transferidos para países fora da União Europeia, a menos que garantam o mesmo nível de proteção de dados.
Há uma preocupação com a implementação do GDPR em sistemas blockchain, já que o registro transparente e fixo de transações blockchain contradiz a própria natureza do GDPR.
Os maiores desafios podem estar na implementação do GDPR:
A implementação do GDPR exigirá mudanças abrangentes nas práticas de negócios para empresas que não implementaram um nível de privacidade comparável antes da entrada em vigor do regulamento, especialmente empresas não europeias que lidam com dados pessoais da UE.
Já existe falta de especialistas em privacidade e conhecimento e, portanto, novos requisitos podem piorar a situação. Portanto, a educação em proteção de dados e legislação de privacidade, particularmente para manter conformidade com as novas regras assim que surgirem, será um fator crítico para o sucesso do GDPR. “Privacidade por Design” e tópicos relacionados eram conhecidos pelos especialistas apenas antes do GDPR, e foram varonilmente discutidos em comunidades em escolas de direito e em pesquisa de criptografia. As recentes ofertas universitárias começaram a disseminar o conhecimento sobre a criação de privacidade a partir da perspectiva legal, tecnológica e gerencial, por exemplo, o curso gratuito e aberto on-line da Universidade de Karlstad em nível de mestrado.
A Comissão Europeia e as APDs devem fornecer recursos e poder suficientes para fazer cumprir a implementação.
Um nível único de proteção de dados tem de ser acordado por todas as APD europeias, uma vez que uma interpretação diferente do regulamento pode ainda levar a diferentes níveis de privacidade.
A política comercial internacional da Europa ainda não está alinhada com o GDPR

Portabilidade de dados <-

O direito à portabilidade de dados tem o seu próprio artigo nos documentos da proposta da comissão e do conselho, mas faz parte do direito de acesso ao artigo no texto do parlamento. As cotações relevantes de cada rascunho são as seguintes:

Texto da Comissão:
Se o titular dos dados tiver fornecido os dados pessoais e o processamento se basear no consentimento ou num contrato, o titular dos dados terá o direito de transmitir esses dados pessoais e quaisquer outras informações fornecidas pelo titular dos dados e retidos por um sistema de tratamento automatizado. em outro, em um formato eletrônico que é comumente usado, sem impedimento do controlador de quem os dados pessoais são retirados.

Texto do Parlamento:
Se o titular dos dados tiver fornecido os dados pessoais em que os dados pessoais são tratados por meios eletrónicos, o titular dos dados tem o direito de obter do responsável pelo tratamento uma cópia dos dados pessoais fornecidos num formato eletrónico e interoperável normalmente utilizado e permite para utilização posterior pelo titular dos dados, sem impedimento, do responsável a quem os dados pessoais são retirados. Sempre que tecnicamente exequível e disponível, os dados devem ser transferidos diretamente do controlador para o controlador a pedido do titular dos dados.

Texto do Conselho:
O direito à portabilidade de dados não se aplica se a divulgação de dados pessoais infringir os direitos de propriedade intelectual em relação ao processamento desses dados pessoais. O titular dos dados terá o direito de receber os dados pessoais que lhe foram fornecidos, fornecidos por ele a um responsável pelo tratamento, em um formato estruturado e comumente usado e legível por máquina.

É importante notar que todos os textos apenas aplicam a portabilidade aos dados fornecidos pelo titular dos dados, e os textos da Comissão e do Conselho aplicam-se apenas a dados processados ​​com base no consentimento ou contrato, deixando de fora os dados pessoais tratados por outros meios lícitos. As diferenças mais importantes estão na ressalva do Parlamento de apenas exigir transferência direta “quando tecnicamente possível e disponível”, bem como a adição do Conselho da necessidade de dados legíveis por máquina e também a exclusão de dados que violariam os direitos de propriedade intelectual se divulgados. As preocupações predominantes advindas dos defensores da portabilidade de dados veem o texto do Parlamento como um empecilho potencial para a eficácia geral se as empresas simplesmente não estiverem dispostas a melhorar sua tecnologia para cumprir. Por outro lado, os críticos da ideia se preocupam que forçar a portabilidade de dados com um escopo tão amplo levará a custos e esforços desproporcionais em indústrias sem “aprisionamento” do consumidor.

Balcão único

Como um dos principais impulsionadores da criação de um novo regulamento foi a harmonização das leis de proteção de dados em toda a Europa, o princípio do balcão único parece ser uma adição sensata. No entanto, o princípio não é tão simples na prática como pode aparecer no papel, e a proposta inicial da Comissão foi fortemente alterada pelas suas subsequentes adopções de DPR.

A proposta da Comissão no artigo 15º é de longe a abordagem mais simples e geral: “Quando o tratamento de dados pessoais ocorre no contexto das actividades de um estabelecimento de um responsável pelo tratamento ou de um processador na União, e o responsável pelo tratamento o transformador estiver estabelecido em mais do que um Estado-Membro, a autoridade de controlo do estabelecimento principal do responsável pelo tratamento ou subcontratante será competente para a supervisão das actividades de processamento do responsável pelo tratamento ou do processador em todos os Estados-Membros. ”

O Parlamento discordou da possível violação dos direitos dos titulares de dados quando estes não puderam apresentar facilmente uma queixa junto de um DPA competente, se, por exemplo, os contactos forem dificultados por meios linguísticos ou financeiros. No artigo 54.º-A do seu texto aprovado, o Parlamento ainda depende de uma APD principal para a concessão de recursos legais, mas requer a cooperação de todas as APD em questão. A quantidade de APD em questão também será bastante aumentada, uma vez que é também adicionada uma provisão para os titulares dos dados apresentarem queixas ao seu DPA local, para que possam trabalhar com o DPA principal em nome do titular dos dados. Finalmente, o papel do Conselho de Proteção de Dados é aumentado em sua capacidade de decidir na situação de um lead DPA pouco claro e sua decisão final no caso de invocar o mecanismo de consistência.

O Conselho tem indiscutivelmente a versão mais “enxugada” de um balcão único na sua abordagem geral adotada. Ele fornece a cada DPA a competência para aplicar o GDPR em seu próprio estado e exige que o DPA líder consulte e compartilhe todas as informações com cada DPA em questão. Também permite que qualquer DPA em questão encaminhe um caso ao Conselho de Proteção de Dados caso ele ache que o DPA líder não levou sua opinião em consideração. No geral, isso aumenta a quantidade de burocracia envolvida a um ponto além da intenção inicial do princípio de balcão único e permite o potencial de “encaminhamentos caprichosos” que minam a autoridade do DPA principal e potencialmente colocam uma pressão sobre o O Data Protection Board, que é estabelecido sob o GDPR, mas não alocou nenhum financiamento ou infraestrutura específica.

O debate generalizado ao longo do princípio do balcão único é o ato de equilíbrio entre a redução da burocracia, harmonizando as leis de proteção de dados em toda a Europa e garantindo os direitos dos titulares de dados são garantidos pela sua disponibilidade de reparação legal com o DPA apropriado.

Oficiais de proteção de dados

A designação de um responsável pela proteção de dados (DPO), abrangida pelo artigo 35.º, tem opiniões semelhantes da Comissão e do Parlamento. Concordam que um DPO é obrigatório sempre que o processamento de dados é realizado por uma autoridade pública ou uma empresa (controlador ou processador), cujas atividades principais consistem em operações de processamento que requerem uma monitorização regular e sistemática dos titulares dos dados. Eles também concordam que as empresas que passam certos limites devem ser obrigadas a nomear um DPO, mas diferem na métrica exata. Por último, o Parlamento acrescenta que um RPD deve ser obrigatório para todas as empresas que processam «categorias especiais» de dados, incluindo informações como dados de saúde ou convicções religiosas e políticas. O texto da Comissão exige que as empresas empreguem mais de 250 trabalhadores, enquanto o texto do Parlamento exige que os dados pessoais de mais de 5000 sujeitos de dados sejam processados ​​num período de 12 meses. O Conselho não determina a nomeação de um DPO a menos que seja exigido pela legislação da UE ou dos estados membros. Seus próprios membros tiveram opiniões variadas durante o debate antes da divulgação da abordagem geral, por isso será interessante ver quão vigorosamente o Conselho luta por este relaxamento das nomeações do DPO contra ambas as outras autoridades que parecem ter posições semelhantes.

Perguntas frequentes sobre o GDPR:

Quando o GDPR está entrando em vigor?

O GDPR foi aprovado e adotado pelo Parlamento da UE em abril de 2016. O regulamento entrará em vigor após um período de transição de dois anos e, ao contrário de uma diretiva, não exige a aprovação de qualquer legislação por parte do governo; o que significa que estará em vigor em maio de 2018.

À luz de um ‘Brexit’ incerto – eu represento um controlador de dados no Reino Unido e quero saber se devo continuar com o planejamento e a preparação do GDPR?

Se você processar dados sobre indivíduos no contexto da venda de bens ou serviços a cidadãos em outros países da UE, então você precisará cumprir com o GDPR, independentemente de o Reino Unido manter ou não o GDPR pós-Brexit. Se suas atividades estão limitadas ao Reino Unido, a posição (após o período inicial de saída) é muito menos clara. O governo do Reino Unido indicou que implementará mecanismos legais equivalentes ou alternativos. Nossa expectativa é de que qualquer legislação desse tipo siga amplamente o GDPR, dado o suporte anteriormente fornecido ao GDPR pela OIC e pelo governo do Reino Unido como um padrão de privacidade eficaz, juntamente com o fato de que o GDPR fornece uma base clara contra a qual as empresas britânicas podem buscar continuação do acesso ao mercado digital da UE.

Quem afeta o GDPR?
O GDPR não se aplica apenas a organizações localizadas dentro da UE, mas também se aplica a organizações localizadas fora da UE, se oferecerem bens ou serviços para, ou monitorarem o comportamento de, sujeitos a dados da UE. Aplica-se a todas as empresas que processam e detêm os dados pessoais dos titulares de dados residentes na União Europeia, independentemente da localização da empresa.

Quais são as penalidades para o não cumprimento?
As organizações podem ser multadas em até 4% do faturamento global anual por violar o GDPR ou 20 milhões de euros. Esta é a multa máxima que pode ser imposta para as infrações mais graves, por exemplo, não ter o consentimento suficiente do cliente para processar dados ou violar o núcleo dos conceitos de Privacidade por Design. Existe uma abordagem escalonada para multas, e. uma empresa pode ser multada em 2% por não ter seus registros em ordem (artigo 28), não notificando a autoridade supervisora ​​e o titular dos dados sobre uma violação ou não a avaliação de impacto. É importante observar que essas regras se aplicam tanto aos controladores quanto aos processadores – o que significa que as nuvens não estarão isentas da aplicação do GDPR.

O que constitui dados pessoais?
Qualquer informação relacionada a uma pessoa física ou “Assunto dos Dados”, que possa ser usada para identificar direta ou indiretamente a pessoa. Pode ser qualquer coisa, desde um nome, uma foto, um endereço de e-mail, dados bancários, postagens em sites de redes sociais, informações médicas ou um endereço IP do computador.

Qual é a diferença entre um processador de dados e um controlador de dados?
Um controlador é a entidade que determina as finalidades, condições e meios do processamento de dados pessoais, enquanto o processador é uma entidade que processa dados pessoais em nome do controlador.

Os processadores de dados precisam de consentimento explícito ou não ambíguo dos dados, e qual é a diferença?
As condições de consentimento foram reforçadas, pois as empresas não poderão mais utilizar termos e condições longos e ilegíveis, cheios de legalistas, pois o pedido de consentimento deve ser dado de forma inteligível e de fácil acesso, com o objetivo de processamento de dados anexado. esse consentimento – o que significa que deve ser inequívoca. O consentimento deve ser claro e distinguível de outros assuntos e ser fornecido de uma forma inteligível e de fácil acesso, usando linguagem clara e clara. Deve ser tão fácil retirar o consentimento quanto é para dar-lhe consentimento explícito é necessário apenas para o processamento de dados pessoais sensíveis – neste contexto, nada menos que “opt in” será suficiente. No entanto, para dados não sensíveis, o consentimento “inequívoco” será suficiente.

E quanto aos sujeitos de dados com menos de 16 anos?

O consentimento dos pais será exigido para processar os dados pessoais de crianças menores de 16 anos para serviços online; os estados membros podem legislar para uma menor idade de consentimento, mas isso não será menor do que a idade de 13 anos.

Qual é a diferença entre um regulamento e uma diretiva?
Um regulamento é um ato legislativo vinculativo. Deve ser aplicado na sua totalidade em toda a UE, enquanto uma directiva é um acto legislativo que estabelece um objectivo que todos os países da UE devem alcançar. No entanto, cabe aos países individuais decidir como. É importante notar que o GDPR é um regulamento, em contraste com a legislação anterior, que é uma diretiva.

Minha empresa precisa nomear um Diretor de Proteção de Dados (DPO)?
As OPDs devem ser nomeadas no caso de: (a) autoridades públicas, (b) organizações que se envolvam em monitoramento sistemático em larga escala, ou (c) organizações que se envolvam no processamento em larga escala de dados pessoais sensíveis (Art. 37). Se sua organização não se enquadra em uma dessas categorias, não é necessário nomear um DPO.

Como o GDPR afeta a política relacionada a violações de dados?
Os regulamentos propostos relacionados a violações de dados referem-se principalmente às políticas de notificação de empresas que foram violadas. Violações de dados que possam representar um risco para os indivíduos devem ser notificadas ao DPA dentro de 72 horas e aos indivíduos afetados sem demora indevida.

O GDPR criará um balcão único para a regulamentação da privacidade de dados?
As discussões em torno do princípio do balcão único estão entre as mais debatidas e ainda não são claras, uma vez que as posições em pé são muito variadas. O texto da Comissão tem uma decisão bastante simples e concisa a favor do princípio, o Parlamento também promove uma DPA principal e acrescenta mais envolvimento de outras APDs em causa, o ponto de vista do Conselho reduz ainda mais a capacidade da DPA principal. Uma análise mais aprofundada do debate sobre política de balcão único pode ser encontrada aqui.

Resumo dos artigos contidos no GDPR
Regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados
Índice
Capítulo 1: Disposições Gerais
Artigo 1: Objeto e objetivos
Artigo 2: escopo material
Artigo 3: Âmbito territorial
Artigo 4: Definições

Capítulo 2: Princípios
Artigo 5: Princípios relativos ao tratamento de dados pessoais
Artigo 6: Legalidade do processamento
Artigo 7: Condições para o consentimento
Artigo 8.º: Condições aplicáveis ​​ao consentimento da criança em relação aos serviços da sociedade da informação
Artigo 9: Processamento de categorias especiais de dados pessoais
Artigo 10: Tratamento de dados relativos a condenações e infracções penais
Artigo 11: Processamento que não requer identificação

Capítulo 3: Direitos do sujeito de dados
Seção 1: Transparência e Modalidades
Artigo 12: Informação transparente, comunicação e modalidades para o exercício dos direitos da pessoa em causa

Seção 2: Informações e acesso a dados
Artigo 13: Informações a fornecer quando dados pessoais são recolhidos da pessoa em causa
Artigo 14.º: Informação a fornecer sempre que os dados pessoais não tenham sido obtidos junto da pessoa em causa
Artigo 15: Direito de acesso da pessoa em causa

Seção 3: Retificação e Apagamento
Artigo 16: Direito à retificação
Artigo 17: Direito ao apagamento (“direito ao esquecimento”)
Artigo 18: Direito à restrição do processamento
Artigo 19.º: Obrigação de notificação relativa à retificação ou apagamento de dados pessoais ou restrição de processamento
Artigo 20: Direito à portabilidade de dados

Seção 4: Direito de contestar e automatizar a tomada de decisão individual
Artigo 21: Direito ao objeto
Artigo 22: Tomada de decisão individual automatizada, incluindo perfilação

Seção 5: Restrições
Artigo 23: Restrições

Capítulo 4: Controlador e Processador
Seção 1: Obrigações Gerais
Artigo 24: Responsabilidade do responsável pelo tratamento
Artigo 25: Proteção de dados por design e por padrão
Artigo 26: Controladores conjuntos
Artigo 27.º: Representantes de controladores não estabelecidos na União
Artigo 28: Processador
Artigo 29: Processamento sob a autoridade do controlador ou processador
Artigo 30: Registros das atividades de processamento
Artigo 31: Cooperação com a autoridade de supervisão

Seção 2: Segurança de dados pessoais
Artigo 32: Segurança do processamento
Artigo 33: Notificação de violação de dados pessoais à autoridade de supervisão
Artigo 34: Comunicação de uma violação de dados pessoais à pessoa em causa

Secção 3: Avaliação do impacto da protecção de dados e consulta prévia
Artigo 35: Avaliação do impacto da proteção de dados
Artigo 36: Consulta Prévia

Seção 4: Oficial de proteção de dados
Artigo 37.º: Designação do responsável pela proteção de dados
Artigo 38: Posição do responsável pela proteção de dados
Artigo 39: Tarefas do responsável pela proteção de dados

Seção 5: Códigos de conduta e certificação
Artigo 40: Códigos de Conduta
Artigo 41: Monitoramento de códigos de conduta aprovados

Artigo 42: Certificação
Artigo 43: Organismos de Certificação

Capítulo 5: Transferência de dados pessoais para países terceiros de organizações internacionais
Artigo 44: Princípio Geral para a Transferência
Artigo 45: Transferências da base de uma decisão de adequação
Artigo 46: Transferências sujeitas a salvaguardas apropriadas
Artigo 47: Regras corporativas vinculantes
Artigo 48: Transferências ou divulgações não autorizadas pela lei sindical
Artigo 49: Derrogações para situações específicas
Artigo 50: Cooperação internacional para a proteção de dados pessoais

Capítulo 6: Autoridades Supervisoras Independentes
Seção 1: status independente
Artigo 51: Autoridade de Supervisão
Artigo 52: Independência
Artigo 53.º: Condições gerais para os membros da autoridade de supervisão
Artigo 54: Regras para o estabelecimento da Autoridade de Supervisão

Seção 2: Competência, Tarefas e Poderes
Artigo 55: Competência
Artigo 56: Competência da autoridade de supervisão principal
Artigo 57: Tarefas
Artigo 58: Poderes
Artigo 59: Relatórios de Atividades

Capítulo 7: Cooperação e Consistência
Seção 1: Cooperação
Artigo 60.º: Cooperação entre a autoridade de controlo principal e as outras autoridades de supervisão interessadas
Artigo 61: Assistência Mútua
Artigo 62.º: Operações conjuntas das autoridades de supervisão

Seção 2: Consistência
Artigo 63: Mecanismo de Consistência
Artigo 64: Opinião do Conselho
Artigo 65: Resolução de disputas pela Diretoria
Artigo 66: Procedimento de Urgência
Artigo 67: Troca de informações

Secção 3: Comité Europeu para a Proteção de Dados
Artigo 68: Comité Europeu para a Proteção de Dados
Artigo 69: Independência
Artigo 70: Tarefas do Conselho
Artigo 71: Relatórios
Artigo 72: Procedimento
Artigo 73: Presidente
Artigo 74: Tarefas do Presidente
Artigo 75: Secretariado
Artigo 76: Confidencialidade

Capítulo 8: Remédios, Responsabilidade e Sanções
Artigo 77: Direito de apresentar queixa junto de uma autoridade de supervisão
Artigo 78: Direito a um recurso judicial efetivo contra uma autoridade de supervisão
Artigo 79: Direito a um recurso judicial efetivo contra um controlador ou subcontratante
Artigo 80: Representação de titulares de dados
Artigo 81: Suspensão do processo
Artigo 82: Direito a indemnização e responsabilidade
Artigo 83.º: Condições gerais para a aplicação de multas administrativas
Artigo 84: Penalidades

Capítulo 9: Disposições relativas a situações específicas de tratamento de dados
Artigo 85: Processamento e liberdade de expressão e informação
Artigo 86: Processamento e acesso público aos documentos oficiais
Artigo 87: Tratamento do número de identificação nacional
Artigo 88: Processamento no contexto do emprego
Artigo 89.º: Salvaguardas e derrogações relativas ao tratamento para fins de arquivo no interesse público, para fins de investigação científica ou histórica ou para fins estatísticos
Artigo 90: Obrigações de sigilo
Artigo 91: Regras de proteção de dados existentes de igrejas e associações religiosas

Capítulo 10: Atos Delegados e Atos de Implementação
Artigo 92: Exercício da delegação
Artigo 93: procedimento de comitologia

Capítulo 11: Disposições finais
Artigo 94.º: Revogação da Directiva 95/46 / CE
Artigo 95.º: Relação com a Diretiva 2002/58 / CE
Artigo 96: Relação com Acordos anteriormente concluídos
Artigo 97: Relatórios da Comissão
Artigo 98: Revisão de outros atos jurídicos sindicais sobre proteção de dados
Artigo 99: Entrada de força intro e aplicação

Aviso: Este site  não é um recurso oficial da Comissão ou do Governo da UE. Este é apenas um artigo de educação/opinião e as informações contidas neste espaço não constituem, de forma alguma, aconselhamento jurídico. Qualquer pessoa que pretenda confiar ou usar as informações aqui contidas de alguma forma é a única responsável pela verificação independente das informações e pela obtenção de consultoria especializada independente, se necessário.

  • Follow us: