Penalidades

As empresas que violarem o regulamento GDPR podem ser multadas em até 4% do faturamento global anual ou em €20 milhões. Essa é a multa máxima a ser imposta por infrações graves, como não ter o consentimento do cliente para coletar e processar dados ou violar o núcleo de privacidade.

Responsabilidade e Prestação de contas

Os requisitos de aviso permanecem e são expandidos, eles devem incluir o tempo de retenção de dados pessoais e informações de contato do controlador de dados e um responsável pela proteção de dados deve ser fornecido.

A tomada de decisão individual automatizada, incluindo a criação de perfis (Artigo 22), torna-se contestável. Os cidadãos agora têm o direito de questionar e lutar contra decisões que os afetam e que foram tomadas com base puramente algorítmica. Muitos meios de comunicação comentaram sobre a introdução de um “direito à explicação” de decisões algorítmicas, mas estudiosos de direito argumentaram que a existência de tal direito é altamente obscura sem tese judicial e, na melhor das hipóteses, limitada.

Para poder demonstrar a conformidade com o GDPR, o responsável pelo tratamento deve implementar medidas que cumpram os princípios de proteção de dados por padrão.

A privacidade por padrão (Artigo 25) exige que as medidas de proteção de dados sejam projetadas no desenvolvimento de processos de negócios para produtos e serviços. Tais medidas incluem a pseudo anonimização dos dados pessoais, pelo responsável pelo tratamento, o mais rapidamente possível (Recital 78).

É responsabilidade e obrigação do controlador de dados implementar medidas eficazes e ser capaz de demonstrar a conformidade das atividades de processamento, mesmo que o processamento seja realizado por um processador de dados em nome do controlador. (Recital 74).

Fonte: Wikipedia

Dados pessoais

Os dados pessoais são definidos como qualquer informação relacionada a uma pessoa ou “Titular dos Dados” que pode ser usada para identificar direta ou indiretamente a pessoa. Pode ser um nome, uma foto, um endereço de e-mail, conteúdo de redes sociais, informações médicas ou um endereço IP, um número de identificação, dados de localização, identificador online ou fatores específicos da natureza física, genética, econômica , identidade cultural ou social dessa pessoa.

Processador de Dados e Controlador de Dados

Um controlador é a entidade que determina as finalidades, condições e meios de processamento de dados pessoais, enquanto o processador é uma entidade que processa dados pessoais em nome do controlador.

Os controladores e processadores são obrigados a “implementar medidas técnicas e organizacionais apropriadas” levando em consideração “o estado da arte e os custos de implementação” e “a natureza, escopo, contexto e propósitos do processamento, bem como o risco de variação e gravidade para os direitos e liberdades dos indivíduos”. Os controladores e processadores que aderem a um código de conduta aprovado ou a uma certificação aprovada podem usar essas ferramentas para demonstrar conformidade.

Consentimento

O consentimento deve ser explícito para todos os dados coletados e os propósitos para os quais os dados são usados. O consentimento para crianças deve ser dado pelos pais ou guardião da criança e deve ser verificável. Os controladores de dados devem ser capazes de provar o “consentimento” (opt-in) e o consentimento pode ser revogado.

As condições de consentimento foram reforçadas, uma vez que o pedido de consentimento deve ser feito de forma inteligível e de fácil acesso, estando a finalidade do tratamento de dados associada a esse consentimento – ou seja, deve ser inequívoco. O consentimento deve ser claro e distinguível de outros assuntos e fornecido de forma inteligível e de fácil acesso, usando linguagem clara e simples.

Direito de acesso

Os titulares de dados (residentes da UE) têm o direito de obter do controlador de dados a confirmação sobre se os dados pessoais que lhes dizem respeito, onde estão sendo processados e para que finalidade. Além disso, o controlador deve fornecer uma cópia dos dados pessoais, gratuitamente, em formato eletrônico. Essa é uma mudança drástica para a transparência dos dados e o empoderamento dos titulares dos dados.

Eliminação de dados (anteriormente direito de ser esquecido)

O titular dos dados tem o direito de solicitar ao controlador de dados que apague seus dados pessoais, interrompa a divulgação dos dados e, potencialmente, que terceiros interrompam o processamento dos dados. As condições para o apagamento, conforme descrito no Artigo 17, incluem os dados que não são mais relevantes para os propósitos originais de processamento, ou um titular de dados retirando o consentimento. Deve-se notar também que esse direito exige que os controladores comparem os direitos dos titulares ao “interesse público na disponibilidade dos dados” ao considerar tais solicitações.

Consentimento para crianças

O consentimento dos pais será necessário para processar os dados pessoais de crianças menores de 16 anos para serviços online; os estados membros podem legislar para uma idade de consentimento mais baixa, mas esta não será inferior à idade de 13 anos.

Diretor de Proteção de Dados (DPO)

Os DPOs devem ser nomeados no caso de: (a) autoridades públicas, (b) organizações que realizam monitoramento sistemático em grande escala ou (c) organizações que realizam processamento em grande escala de dados pessoais sensíveis (Artigo 37). Se sua organização não se enquadra em uma dessas categorias, você não precisa nomear um DPO.

Notificação de violação de dados

Os regulamentos propostos sobre violações de dados estão relacionados principalmente às políticas de notificação de empresas que sofreram violações. As violações de dados que possam representar um risco para os indivíduos devem ser notificadas ao DPA dentro de 72 horas e aos indivíduos afetados sem demora injustificada.

Portabilidade de dados

Agora o GDPR traz a portabilidade de dados – o direito de um titular de dados receber os dados pessoais que lhe dizem respeito, que ele forneceu anteriormente em um “formato de uso comum e legível por máquina” e tem o direito de transmitir esses dados para outro controlador.

Privacidade por Design

A privacidade por design (privacy by design) como um conceito existe há anos, mas apenas agora está se tornando parte de um requisito legal do GDPR. Em sua essência, a privacidade por design exige a inclusão da proteção de dados desde o início do desenvolvimento dos sistemas, em vez de uma adição. Mais especificamente – “O responsável pelo tratamento deve implementar medidas técnicas e organizativas adequadas de forma eficaz para cumprir os requisitos do presente regulamento e proteger os direitos dos titulares dos dados”.

Pseudo Anonimização

O GDPR refere-se à pseudo anonimização como um processo que transforma dados pessoais de tal forma que os dados resultantes não podem ser atribuídos a um titular de dados específico sem o uso de informações adicionais. Um exemplo de pseudo anonimização é a criptografia, que torna os dados originais ininteligíveis e o processo não pode ser revertido sem acesso à chave de descriptografia correta. O GDPR exige que essas informações adicionais (como a chave de descriptografia) sejam mantidas separadamente dos dados pseudo anonimizados. A pseudo anonimização é recomendada para reduzir os riscos para os titulares de dados e também ajudar os controladores e processadores a cumprir suas obrigações de proteção de dados (Recital 28).

Embora o GDPR incentive o uso de pseudo anonimização para “reduzir os riscos para os titulares dos dados”, (Recital 28), os dados pseudo anonimizados ainda são considerados dados pessoais (Recital 26) e, portanto, permanecem cobertos pelo GDPR.
Fonte: Wikipédia

CHAPTER I

General provisions

? Article 4 – Pseudonymisation (Recital 28)

CHAPTER II

Principles

? Article 7 – Conditions for consent (32, 33, 42, 43)

? Article 8 – Conditions applicable to child’s consent in relation to information society services (Recital 38)

CHAPTER III

Rights of the data subject

Section 2 – Information and access to personal data

? Article 13 – Information to be provided where personal data are collected from the data subject (60, 61, 62)

? Article 14 – Information to be provided where personal data have not been obtained from the data subject (60, 61, 62)

? Article 15 – Right of access by the data subject (63, 64)

Section 3 – Rectification and erasure

? Article 16 – Right to rectification (65)

? Article 17 – Right to erasure (‘right to be forgotten’) (65, 66)

? Article 18 – Right to restriction of processing (67)

? Article 19 – Notification obligation regarding rectification or erasure of personal data or restriction of processing

? Article 20 – Right to data portability (68)

Section 4 – Right to object and automated individual decision-making

? Article 21 – Right to object (69, 70)

? Article 22 – Automated individual decision-making, including profiling (71, 72)

CHAPTER IV

Controller and processor

Section 1 – General obligations

? Article 25 – Data protection by design and by default (78)

Section 2 – Security of personal data

? Article 32 – Security of processing (83, 74, 75, 76, 77)

? Article 33 – Notification of a personal data breach to the supervisory authority(75, 85, 87, 88)

Resources

? EU General Data Protection Regulation (EU-GDPR) Table of contents

? EU Regulation