O que é a GDPR (General Data Protection Regulation)

Entra em vigor dia 25 de maio

O que é a GDPR (General Data Protection Regulation)

O GDPR (General Data Protection Regulation), é uma legislação de regulação de dados da União Europeia, criada em 2012, aprovada em 14 de abril de 2016 e que definiu um período de transição de dois anos, tornando-se aplicável agora, em 25 de maio de 2018.

Em linhas gerais a legislação visa proteger as informações dos cidadãos europeus e a sua utilização dos agentes tecnlológicos coletores destas informações.

Empresas que coletam informações sobre cidadãos europeus precisarão cumprir novas regras para proteger seus dados.

Qualquer empresa que armazene ou processe informações pessoais sobre cidadãos da União Europeia deve cumprir o GDPR, mesmo que não tenha presença comercial na região.  Ou seja, se esta empresa coleta algum tipo de informação dos cidadãos europeus, está sujeita à esta legislação.

O GDPR considera dados como informações básicas, informações de identidade, nome, endereço, número de documentos, dados da web, localização, endereço IP, cookies, informações sobre saúde, dados biométricos, dados raciais ou étnicos, opiniões políticas, orientação sexual e qualquer outra informação coletada.

Também se aplica à exportação de dados pessoais para fora da UE. 

O coletor ou processador de dados pessoais deve informar ao usuário quais dados estão sendo coletados e como, por que estão sendo processados, por quanto tempo estão sendo retidos e se estão sendo compartilhados com outras partes. A autorização do usuário também deve ser solicitada.

Os usuários têm o direito de solicitar uma cópia portátil dos dados coletados por um processador em um formato comum e o direito de ter seus dados apagados.  

Os dados somente poderão ser processados se houver pelo menos uma das bases legais para realizar isso:
- O titular dos dados consentiu com o processamento de dados pessoais para um ou mais fins específicos.
- O processamento é necessário para a execução de um contrato do qual o titular dos dados é parte ou para tomar medidas a pedido do titular dos dados antes de celebrar um contrato.
- O processamento é necessário para o cumprimento de uma obrigação legal à qual o controlador está sujeito.
- O processamento é necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa.
- O processamento é necessário para o desempenho de uma tarefa realizada no interesse público ou no exercício da autoridade oficial do controlador.
- O tratamento é necessário para os interesses legítimos prosseguidos pelo responsável pelo tratamento ou por um terceiro, a menos que tais interesses sejam anulados pelos interesses ou direitos e liberdades fundamentais do titular dos dados, que exigem a proteção dos dados pessoais, em particular se a pessoa em causa for uma criança.

O consentimento deve ser explícito para os dados coletados e para os fins em que os dados são utilizados 

Os seguintes casos não são abrangidos pelo regulamento:
- Interceptação legal, segurança nacional, o exército, a polícia, a justiça.
- Análise estatística e científica.
- As pessoas falecidas que estão sujeitas à legislação nacional.
- A existência de uma lei dedicada sobre relações empregador-empregado.
- Processamento de dados pessoais por uma pessoa natural no curso de uma atividade puramente pessoal ou doméstica.

As autoridades públicas e as empresas cujas principais atividades se concentram no processamento regular ou sistemático de dados pessoais precisam ter um Diretor de Proteção de Dados (DPO), responsável por gerenciar a conformidade com o GDPR sempre que a quantidade de dados ultapassar 5.000 cadastros.

Leia mais abaixo:


Clique aqui para ver mais