O GDPR é um conjunto de regras sobre proteção de dados pessoais e privacidade de indivíduos, conhecidos como titulares de dados, na União Europeia (UE) e no Espaço Econômico Europeu (EEA). Embora a diretiva de proteção de dados tenha sido escrita na UE, ela se aplica a empresas ou organizações em todo o mundo ao processar dados com base nos estados membros da UE.

Introduzido em 2018, o GDPR substituiu a Diretiva de Proteção de Dados anterior , oficialmente conhecida como Diretiva 95/46/EC, que era a estrutura de proteção de dados desde 1995. O GDPR foi projetado para harmonizar as leis de proteção de dados em toda a UE. Fortaleceu os direitos dos titulares de dados de controlar como seus dados pessoais são coletados, usados ​​e compartilhados. Também impôs novas obrigações às organizações que processam dados pessoais.

O regulamento também fornece às empresas um conjunto de regras a seguir, o que deve tornar mais fácil para elas fazer negócios na UE. Toda organização que lida com informações privadas de residentes da UE deve estar em conformidade com o GDPR para evitar qualquer violação de dados e gerenciar adequadamente os dados do usuário. As multas por violação das leis de privacidade de dados e incumprimento podem ser muito severas para as empresas, chegando a milhões de euros.

O GDPR foi adotado em resposta a mudanças significativas no cenário digital nos últimos anos. Com o desenvolvimento da internet e o uso crescente de tecnologias digitais, houve um aumento correspondente na quantidade de dados pessoais que as organizações coletam, usam e compartilham.

O crescimento da Internet levantou preocupações sobre a proteção da privacidade dos dados e o potencial de violações de dados. O GDPR abordou essas preocupações estabelecendo um novo conjunto de regras para o processamento de dados pessoais.

O GDPR se aplica a qualquer instituição que processa dados de residentes da UE. Ele rege todos os pontos de dados usados ​​para identificar uma pessoa exclusivamente e inclui:

• Informações básicas de identidade (nome, endereço, número de identificação/passaporte)
• Dados da Web (endereços IP, localização, cookies)
• Dados de saúde, genéticos e biométricos
• Origem racial ou étnica
• Opiniões políticas ou crenças religiosas
• Orientação sexual
• Qualquer outra informação que identifique um indivíduo

Este conjunto único de regras tornou mais fácil para as organizações internacionais processar dados confidenciais e fazer negócios na Europa. Também permite construir confiança entre empresas e titulares de dados, o que é essencial para o desenvolvimento da economia digital.

O GDPR estabelece sete princípios fundamentais para a proteção de dados confidenciais . Esses princípios definem como os controladores de dados confidenciais devem coletar, usar e proteger dados pessoais. Aqui estão os sete princípios do GDPR:

1. Legalidade, justiça e transparência. As organizações devem garantir que o processamento de seus dados não viole a lei, seja claro e sem disfarces e atenda ao consumidor.
2. Limitação de finalidade. As organizações que coletam informações privadas devem especificar o objetivo da coleta de dados e mantê-los apenas pelo tempo necessário para atingir esse objetivo.
3. Minimização de dados. As empresas só podem coletar informações adequadas e relevantes do consumidor para o propósito pretendido.
4. Precisão. A exatidão dos dados pessoais recolhidos é uma parte indispensável da lei de proteção de dados. Todos os dados de usuário irrelevantes ou incorretos devem ser excluídos ou retificados.
5. Limitação de armazenamento. As empresas só podem manter os dados pessoais pelo tempo necessário para atingir a finalidade para a qual os processam.
6. Integridade e confidencialidade. Os controladores de dados devem processar informações pessoais para garantir a vigilância de dados apropriada. Os processadores de dados devem tomar medidas razoáveis ​​para proteger informações privadas contra uso indevido e ilegal e destruição ou perda acidental.
7. Responsabilidade. Exige que o processador de dados demonstre conformidade com o restante dos princípios do GDPR. Os controladores de dados devem garantir e ser capazes de provar que processam dados pessoais de acordo com a lei.

Todos os dados devem ser processados ​​de forma justa, legal e transparente, usando as “medidas técnicas e organizacionais apropriadas” de acordo com o GDPR. Se as organizações processam dados seguindo as leis de privacidade de dados, isso reduz a probabilidade de violações de segurança e aumenta a segurança das informações para pessoas que vivem na UE.

A conformidade com o GDPR refere-se ao estado em conformidade com o Regulamento Geral de Proteção de Dados, um regulamento de proteção e privacidade de dados para todos os residentes dos estados membros da UE. Para estar em conformidade com o GDPR, uma organização deve seguir os princípios e requisitos descritos no GDPR ao processar dados do consumidor.

As organizações que não cumprirem o GDPR podem enfrentar multas e outras penalidades.

As organizações que não garantirem a conformidade com o GDPR podem estar sujeitas a multas e outras penalidades. As multas e penalidades específicas dependem da natureza e gravidade da não conformidade, bem como do tamanho e dos recursos da organização.

O RGPD estabelece dois níveis de multas por incumprimento das regras de proteção de dados:

1. Violações menores: para violações menos graves, como falha em manter registros de atividades de processamento ou em designar um oficial de proteção de dados, as organizações podem ser multadas em até € 10 milhões ou 2% de sua receita anual global, o que for maior.
2. Violações graves: para infrações mais graves, como processar dados pessoais sem base legal ou deixar de relatar uma violação de dados pessoais, as organizações podem ser multadas em até € 20 milhões ou 4% de sua receita anual global, o que for maior.

Além de multas, as empresas também podem enfrentar outras penalidades pelo descumprimento dos princípios de proteção de dados, como a proibição temporária ou permanente do processamento de dados pessoais ou a suspensão das operações de processamento de dados.

A ideia principal do Regulamento Geral de Proteção de Dados é fortalecer os direitos dos indivíduos aos seus dados pessoais e dar-lhes mais controle sobre o processamento de dados pessoais. Eduque-se sobre seus direitos no ciberespaço e lembre-se de que você sempre tem o direito de acessar seus dados mantidos pelo controlador de dados ou o direito de ser esquecido.

O GDPR lista oito direitos fundamentais que uma pessoa tem ao fornecer às organizações acesso aos seus dados pessoais.

De acordo com o GDPR, os titulares de dados têm o direito de ser informados sobre como as empresas coletam e usam seus dados pessoais sensíveis. Os indivíduos têm o direito de saber por quanto tempo a organização manterá os dados pessoais e a quem eles estarão acessíveis.

O titular dos dados tem o direito de solicitar o acesso aos seus dados pessoais e de receber informação sobre a finalidade da recolha e informação sobre a forma como o responsável pelo tratamento os armazena e trata.

Se uma pessoa deseja saber quais informações uma organização possui sobre ela, ela precisa de uma solicitação de acesso de assunto (SAR). Apenas o titular dos dados pode apresentar o pedido, devendo o responsável pelo tratamento enviar uma resposta em formato legível no prazo de um mês.

De acordo com o GDPR, os indivíduos têm o direito de solicitar que quaisquer dados pessoais incorretos, incompletos ou imprecisos sobre eles sejam corrigidos.

Também conhecido como “o direito de ser esquecido”. Os titulares dos dados têm o direito de solicitar que o controlador apague permanentemente qualquer informação pessoal. No entanto, o controlador de dados não é obrigado a excluir os dados de um indivíduo se for necessário para cumprir as obrigações legais de uma empresa.

Se, por motivos específicos, uma pessoa não puder solicitar o apagamento ou os dados não puderem ser apagados, ela tem o direito de solicitar a restrição do uso e processamento de seus dados.

Uma pessoa tem o direito de solicitar que dados pessoais sejam transferidos para outra organização em um formato estruturado, comumente usado e legível por máquina.

Em alguns casos, o titular dos dados tem o direito de se opor ao processamento de dados pessoais. Por exemplo, se os dados forem usados ​​para marketing direto, pesquisa científica ou qualquer outra tarefa de interesse público.

O titular dos dados tem o direito de solicitar que as decisões relativas ou que afetem significativamente a pessoa sejam tomadas por um ser humano e não por processos automatizados.

Esses direitos se aplicam a todos os residentes da União Europeia, independentemente de onde os dados pessoais são processados ​​ou onde a empresa ou organização está sediada. Também se aplica a quem compra serviços ou bens de organizações não europeias que operam na Europa. É importante observar que esses direitos não são absolutos e podem estar sujeitos a certas isenções ou limitações.