Em maio de 2018, a Europa mudou para as regras atualizadas de processamento de dados pessoais estabelecidas pelo Regulamento Geral de Proteção de Dados (Regulamento da UE 2016/679 de 27 de abril de 2016 ou GDPR). Este regulamento, que tem efeito direto em todos os 28 países da UE, substituiu a Diretiva de Proteção de Dados 95/46 / CE de 24 de outubro de 1995.
O princípio extraterritorial do GDPR das novas regras europeias para o processamento de dados pessoais é muito importante, pelo que deve estar atento se os serviços que a sua empresa fornece se concentram no mercado europeu ou internacional.
O novo regulamento fornece aos residentes da UE as ferramentas para controle total sobre seus dados pessoais. Desde maio de 2018, a responsabilidade por violação das regras de processamento de dados pessoais foi endurecida: por vezes, as multas chegam a 20 milhões de euros, o que corresponde a 4% da receita anual do GDPR. Neste artigo, analisamos as novas regras de processamento de dados pessoais na UE e formulamos as recomendações para as empresas sobre como cumprir o GDPR.
Quais empresas são cobertas pelo GDPR?
O GDPR tem efeito extraterritorial e aplica-se a todas as empresas que processam dados pessoais de residentes e cidadãos da UE, independentemente da localização dessa empresa. Obviamente, sucursais e escritórios de representação de não residentes na UE terão de cumprir os novos requisitos.
Em quais casos as empresas precisam cumprir todos os requisitos do GDPR? Quando:
- Os seus serviços / produtos são adaptados às línguas locais dos residentes da UE;
- Seus serviços / bens são pagos nas moedas locais da UE;
- Seus serviços / bens são fornecidos em domínios nacionais de nível superior dos países da UE.
Isso significa que as organizações que lidam com dados pessoais de europeus nos Estados Unidos na implementação de vendas online (por exemplo, ferrovias, companhias aéreas, hotéis, albergues e outros) estão sujeitas ao GDPR e devem cumprir a nova regulamentação europeia sobre o tratamento de dados pessoais. Para além do tratamento de dados pessoais, o GDPR utiliza o conceito de monitorização do comportamento dos titulares dos dados, razão pela qual outra categoria de sujeitos se enquadra no GDPR.
O GDPR se aplica a organizações estabelecidas fora da UE se elas (como controlador ou processador) controlarem o comportamento dos residentes da UE (na medida em que tal comportamento ocorre na UE). As empresas de agora em diante precisarão cumprir integralmente esses padrões e, se isso não acontecer, enfrentarão penalidades severas que podem afetar seu trabalho futuro.
O monitoramento pode incluir:
- monitorização de um residente na UE na Internet;
- usar técnicas de processamento de dados para traçar o perfil de indivíduos, seu comportamento ou sua relação com algo (por exemplo, para analisar ou prever preferências pessoais).
O que se entende por dados pessoais no GDPR?
Os dados pessoais são quaisquer informações relativas a uma pessoa singular identificada ou identificável (titular dos dados) sobre a qual podem ser determinados direta ou indiretamente. Diferentes informações, que são coletadas em conjunto, podem levar à identificação de uma determinada pessoa e constituem dados pessoais. É importante observar que existem certos tipos de dados pessoais. Além disso, essas informações incluem dados genéticos e biométricos usados para identificar indivíduos, dados sobre o estado de saúde, informações sobre vida sexual ou orientação sexual.
Como funciona o processamento de dados no GDPR
Os dados pessoais são processados de forma legal, justa e transparente. Qualquer informação sobre os objetivos, métodos e volumes de processamento de dados pessoais deve ser apresentada da forma mais acessível e simples possível. Os dados serão recolhidos e utilizados apenas para os fins indicados pela empresa (serviço online). Os dados não podem ser coletados em maior extensão e devem ser armazenados em um formulário que permita a identificação dos titulares dos dados por um período não maior do que o necessário para fins de processamento. Os dados pessoais imprecisos devem ser excluídos ou corrigidos (a pedido do usuário). Todas as empresas são obrigadas a proteger os dados pessoais contra processamento, destruição e danos não autorizados ou ilegais.
Casos de violação do GDPR
As empresas são obrigadas a notificar os reguladores (e os titulares dos dados em alguns casos) sobre qualquer violação de dados pessoais no prazo de 72 horas após a descoberta de tal violação.
Uma lista de reguladores nacionais de dados pessoais para todos os países da UE está disponível websitewebsite. Existe também um regulador pan-europeu, parte de trabalho 29 ou grupo de trabalho sobre o artigo 29.º. No entanto, assim que o RGPD entrar em vigor, o novo órgão substituirá o grupo de trabalho sobre o artigo 29.º - Conselho Europeu de Proteção de Dados (EDPB).
Direitos do titular dos dados (indivíduo)
O GDPR amplia significativamente os direitos dos cidadãos e residentes da UE de controlar seus dados pessoais. Os europeus têm o direito de solicitar qualquer tipo de informação sobre o tratamento dos seus dados e exigir a sua correcção. Além disso, o usuário tem o direito de exigir o encerramento do seu processamento de dados. O RGPD também prevê o direito ao esquecimento (direito ao apagamento, direito ao esquecimento), que permite aos europeus apagarem os seus dados a pedido, a fim de evitar a sua divulgação ou transferência para terceiros.
