GDPR explicado e descomplicado

adminGDPR, legislação, privacidade

O QUE É O GDPR?

O Regulamento Geral de Proteção de Dados (GDPR) é uma legislação que regula a privacidade do consumidor na UE. Até agora, os membros da UE estavam sujeitos à Diretiva de Proteção de Dados 95/46/EC , que regulamentava o processamento de dados pessoais. A diretiva, no entanto, era apenas uma diretriz, e cada estado membro da UE precisava promulgar sua própria legislação que refletisse seus princípios. Como resultado, a UE tinha uma colcha de retalhos de leis de privacidade.

O GDPR, por outro lado, é um ato legislativo vinculante. Ele unifica as leis de proteção de dados em toda a UE, com a intenção de fortalecer os direitos de privacidade dos indivíduos e simplificar as regras que se aplicam às empresas que operam na UE. Ao mesmo tempo, impõe pesadas multas às empresas que não cumprem.

O GDPR entrou em vigor em 25 de maio de 2016, após quatro anos de debate no Parlamento da UE. O GDPR entrará em vigor em 25 de maio de 2018, após um período de transição de dois anos.

QUE TIPOS DE DADOS O GDPR REGULAMENTA?

O GDPR regula a coleta e o uso de dados pessoais de um titular de dados. Os dados pessoais têm de pertencer a uma pessoa singular viva, identificada ou identificável. Isso significa que o GDPR não se aplica a pessoas falecidas ou a pessoas físicas (por exemplo, corporações).

Significa também que a pessoa deve ser identificada ou capaz de ser identificada, direta ou indiretamente, por referência a um número de identificação ou a um ou mais fatores específicos de sua identidade física, fisiológica, mental, econômica, cultural ou social.

Neste contexto, os dados pessoais incluem:

  • Nome
  • foto
  • Endereço de e-mail
  • detalhes bancários
  • Postagens nas redes sociais
  • Informação médica
  • Dados do computador (incluindo dados de localização, endereço IP, dados de cookies e etiquetas RFID)
Os dados pessoais incluem qualquer informação que possa ser usada para identificar indiretamente um indivíduo, como um ID de usuário, dados de localização ou um ou mais fatores específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa.

Também inclui subsegmentos de informações, como dados pessoais sensíveis (ou seja, dados que revelem origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, dados genéticos ou biométricos, etc.) é hash e requer o uso de uma chave criptografada para permitir a identificação de indivíduos).

O GDPR não regulamenta dados anônimos; ou seja, dados em que nenhum indivíduo pode ser identificado a partir dos dados, direta ou indiretamente.

QUAIS SÃO AS PENALIDADES POR VIOLAR O GDPR?

As Autoridades de Proteção de Dados (DPAs) em cada país da UE são responsáveis ​​por fazer cumprir o GDPR. Se uma empresa não cumprir suas obrigações com o GDPR, os DPAs podem avisá-la, suspender ou banir suas atividades de processamento de dados ou impor multas pesadas. As penalidades monetárias se dividem em duas classificações:

  • Para violações menos graves, a multa máxima é de € 10 milhões ou dois por cento da receita anual de uma empresa, o que for maior.
  • Para violações mais graves, a multa máxima é de € 20 milhões ou quatro por cento da receita anual de uma empresa, o que for maior.
A multa real aplicada levará em consideração vários fatores, incluindo a natureza, gravidade e duração da infração; se foi intencional ou não; e qualquer histórico anterior de descumprimento.

Embora o GDPR pretenda se aplicar a empresas não pertencentes à UE, é questionável se as autoridades da UE tentariam cobrar multas contra empresas dos EUA sem uma subsidiária ou afiliada da UE.

A QUEM SE APLICA O GDPR?

O GDPR tem aplicação de longo alcance. Aplica-se a todas as organizações localizadas na UE, mesmo que o processamento de dados ocorra fora da UE. Também se aplica a qualquer organização localizada fora da UE, se essa empresa fizer um ou mais dos seguintes:

  • Oferece bens ou serviços a titulares de dados da UE, independentemente de qualquer pagamento ser necessário
  • Monitora o comportamento dos titulares de dados da UE
  • Processa ou mantém os dados pessoais dos titulares de dados da UE
Observe que o GDPR se aplica geralmente a atividades comerciais. Não se aplica a atividades puramente pessoais ou domésticas ou às atividades das autoridades policiais e outras agências da UE.

O GDPR SE APLICA A TODAS AS ORGANIZAÇÕES LOCALIZADAS NA UE. O QUE ISTO SIGNIFICA?

A linguagem do GDPR afirma que o regulamento se aplica a empresas com estabelecimento na UE. Os tribunais da UE interpretaram o estabelecido de forma ampla e flexível, de modo que a aplicação não se limitaria a empresas que tenham uma pessoa jurídica em um país da UE. Em vez disso, inclui qualquer empresa com atividades comerciais permanentes e estáveis ​​na UE.

NÃO TEMOS UM ESCRITÓRIO NA UE. O GDPR AINDA PODE SE APLICAR À MINHA EMPRESA?

sim. Mesmo que sua empresa não tenha um estabelecimento na UE, o regulamento pode ser aplicado se você fizer o seguinte:

  • Você oferece bens ou serviços a titulares de dados da UE, independentemente de qualquer pagamento ser necessário. Parece que operar uma empresa acessível aos titulares de dados da UE não seria suficiente para fazê-lo. No entanto, uma empresa que realiza ações além da simples acessibilidade pode estar sujeita à regulamentação. Por exemplo, os tribunais da UE, no passado, decidiram que a compra de anúncios de mecanismos de pesquisa direcionados a usuários em um país membro da UE sugere uma intenção de segmentar clientes da UE.
  • Você monitora o comportamento dos titulares de dados da UE. O monitoramento de titulares de dados da UE pode assumir várias formas, mas inclui especificamente o rastreamento on-line de indivíduos para criar perfis. O regulamento afirma ainda que isso inclui qualquer situação em que a atividade se destine a analisar ou prever preferências, comportamentos e atitudes pessoais. Na prática, isso significaria que o uso de dados pessoais de um titular de dados da UE para fornecer marketing direcionado ou diferenciação de preços seria regulamentado pelo GDPR.
  • Você processa ou mantém os dados pessoais dos titulares de dados da UE. A definição de processamento é tão ampla que praticamente qualquer atividade que utilize dados pessoais é regulamentada. Coletar, armazenar, duplicar, estruturar, vincular, recuperar, usar e excluir dados são todos os tipos de processamento.