Iubenda logo
Crie Agora

Documentação

Tabela de conteúdos

O que é GDPR? Um guia completo com tudo que você precisa saber para estar em conformidade

O que significa GDPR

GDPR é o Regulamento Geral de Proteção de Dados (Regulamento (UE) 2016/679) que, em poucas palavras, basicamente esclarece como dados pessoais devem ser legalmente tratados (incluindo como são coletados, usados, protegidos ou compartilhados em geral).

O objetivo do GDPR é, portanto, fortalecer a proteção de dados para todas as pessoas cujas informações pessoais se enquadram em seu escopo, dando-lhes o controle total de seus dados pessoais.

O que exatamente significa “Dados Pessoais”?

Os dados pessoais no contexto do GDPR se referem a qualquer dado relativo a uma pessoa viva identificada ou identificável. Isto inclui também informações que, quando lidas em conjunto, podem levar à identificação de uma pessoa.

Isso se aplica até mesmo a dados que foram pseudônimizados ou criptografados desde que a criptografia / anonimidade seja reversível. Em termos de cumprimento das obrigações de proteção de dados sob o regulamento, isso significa que as chaves usadas para decifrar terão de ser mantidas separadamente dos dados pseudônimos.

Exemplos de dados pessoais incluem (mas não se limitam a) dados básicos de identidade, como nomes, saúde, dados genéticos e biométricos, dados da web, como endereços de IP, endereços de e-mail pessoais, opiniões políticas e dados de orientação sexual.

Exemplos de dados não pessoais incluem números de registro da empresa, endereços de e-mail genéricos da empresa, como info@company.com e dados anonimizados.

Definições específicas usadas no texto a seguir
  • O termo ” usuário ” aqui significa um indivíduo cujos dados pessoais são tratados por um controlador ou processador (também conhecido como o titular de dados ).
  • O termo ” controlador de dados ” (ou ‘responsável pelo tratamento’ segundo o GDPR) significa qualquer pessoa física ou pessoa jurídica envolvida na determinação da finalidade e formas de tratamento dos dados pessoais.
  • O termo ” processador de dados “(ou ‘subcontratante segundo o GDPR) significa qualquer pessoa física ou pessoa jurídica envolvida no tratamento de dados pessoais em nome do controlador.

Por exemplo, uma empresa pode coletar informações do usuário em seu website e armazená-las usando serviços na nuvem de terceiros. Neste cenário, a empresa é o controlador dos dados e a organização que fornece os serviços na nuvem é o processador.

Quando o regulamento se aplica

O GDPR se aplica quando:

  • a base de operações da organização estiver localizada na União Europeia (isto se aplica independentemente do processamento ser realizado na UE ou não);
  • uma entidade não estabelecida na UE oferece bens ou serviços (mesmo que a oferta seja gratuita) às pessoas na UE. A entidade pode ser de agências governamentais, empresas privadas/públicas, pessoas físicas e sem fins lucrativos; ou onde
  • a organização, embora não tenha sede na União Europeia, monitora o comportamento das pessoas que ali residem, desde que tal comportamento ocorra no território da UE.

Esse escopo amplo cobre praticamente todas as atividades e, pode-se concluir que o GDPR se aplica independentemente de sua organização estar localizada na União Europeia ou não. Na verdade, essa pesquisa PwC mostrou que o GDPR é uma prioridade de proteção de dados para até 92% das empresas norte-americanas pesquisadas.

Um equívoco comum é que apenas os usuários da UE são incluídos no escopo do GDPR, no entanto, as proteções do GDPR também se estendem aos usuários fora da UE se o controlador de dados for baseado na UE. Portanto, se você é um controlador de dados baseado na UE, você deve, por padrão, aplicar padrões GDPR a TODOS os seus usuários.

O GDPR está em vigor desde 25 de maio de 2018.

Quando não se aplica

As condições de aplicação do GDPR são definidas em seus artigos 2 e 3, sob o ponto de vista material e territorial. Para determinar se uma atividade específica de tratamento é uma exceção ou não, nós temos que considerar estes dois aspectos.

Ponto de vista material

O GDPR aplica-se ao tratamento de dados pessoais. Por isso, não se aplica aos dados da empresa, como razão social e endereço da empresa. Atenção nos casos de “pessoas físicas” que trabalham em uma empresa: quaisquer dados que se referem a elas são considerados “pessoais”, independentemente de serem tratados em um contexto Business to Customer (B2C) ou Business to Business (B2B).

Além disso, os dados pessoais não se enquadrariam no escopo do GDPR sempre que:

  • forem processados por Estados-Membros no contexto de política externa e de segurança da UE;
  • forem processados por autoridades competentes com o objetivo de prevenir, investigar, apurar e processar crimes ou a execução de sanções penais, incluindo a proteção e prevenção de ameaças à segurança pública;
  • forem processados por instituições, orgãos e agências da UE;
  • eles são tratados por uma pessoa física que exerce somente atividades pessoais ou domésticas .

De forma prática, a única exceção relevante é esta última: por exemplo, se você coleta dados pessoais de seus amigos para sua agenda pessoal de contatos, você não está vinculado ao GDPR.

Ponto de vista territorial

Além disso, já mencionamos em que condições o GDPR se aplica do ponto de vista territorial.

Consequentemente, para que uma atividade de tratamento não seja submetida ao GDPR, o seguinte deve ser aplicado cumulativamente:

  • o controlador (ou processador) não está baseado na UE . Tenha sempre em mente que o controlador (ou processador) também poderia ser uma filial da UE de uma empresa fora da UE: nesse caso, mesmo que a filial não tivesse personalidade legal, o GDPR se aplicaria inteiramente;
  • o tratamento não se relaciona à oferta de bens e serviços (mesmo gratuitamente) para titulares de dados na União ou o monitoramento do seu comportamento desde que isso aconteça dentro da União;
  • o controlador não se baseia em um lugar ‘extra-UE’, onde a lei da UE se aplica devido à lei pública internacional .

Vamos ver alguns exemplos práticos:

  1. A empresa sediada nos EUA, “A”, está vendendo mercadorias para consumidores baseados na UE (→ GDPR se aplica) e contrata uma empresa com sede nos EUA, “B”, para fins de análise de mercado e estatísticas. A empresa “B” está sujeita ao GDPR, ainda que esta não tenha sede na UE, venda bens, ou serviços para consumidores na UE? Provavelmente sim, se a análise de mercado e para fins de estatística exigir um “acompanhamento do comportamento” de consumidores localizados na UE.
  2. Os funcionários do Consulado Italiano em Nova York precisam cumprir com o GDPR? Sim, porque o GDPR é aplicável a eles em virtude do “Direito Internacional Público”.
  3. Uma empresa com sede na China que vende mercadorias em um site apenas redigido em chinês precisa cumprir com o GDPR apenas porque é possível, do ponto de vista prático, que alguns chineses baseados na UE possam comprar algo dele? Em princípio, diríamos não, a menos que possa ser provado, que a empresa está fazendo negócios relevantes com clientes baseados na UE, ou está abordando-os expressamente (por exemplo, informando que “entrega à UE” ou “pagamento de uma conta bancária da UE” são possíveis etc.).

Principais requisitos do GDPR e como estar em conformidade

Bases legais para tratamento de dados

Segundo o GDPR, os dados somente podem ser tratados se houver ao menos uma base legal.

As bases legais são:

  • O usuário deu consentimento para uma ou mais finalidades específicas.
  • O tratamento de dados é necessário para a execução de um contrato ao qual o usuário aderiu, ou para a realização de ações (a pedido do usuário) preliminares à celebração do contrato.
  • O tratamento é necessário para o cumprimento de uma obrigação legal à qual o controlador de dados está sujeito.
  • O tratamento é necessário para proteger os interesses vitais do usuário ou de terceiros.
  • O tratamento é necessário para o desempenho de uma atividade de interesse público, ou que se enquadre em uma autorização oficial concedida ao controlador dos dados.
  • O tratamento é necessário para o interesse legítimo do controlador de dados ou de terceiros, a menos que prevaleçam os interesses, direitos e liberdades do usuário, em particular se o usuário for menor de idade.

Consentimento

Organizações devem obter o consentimento verificável dos usuários.

No caso de usuários menores de idade, as organizações são obrigadas a obter o consentimento verificável de um dos pais ou responsável pelo menor, a menos que o serviço oferecido seja de prevenção ou aconselhamento em serviços sociais. As organizações também devem realizar os esforços razoáveis ​​(usando qualquer tecnologia disponível) para verificar se a pessoa que deu o consentimento realmente detém a responsabilidade parental pelo menor.

Em geral, para obter consentimento para o tratamento dos dados, a organização não pode usar termos excessivamente complicados ou indecifráveis. Isso inclui linguagem jurídica, bem como o uso de jargão técnico desnecessário. Por esta razão, os termos e políticas de privacidade devem ser elaborados de forma legível (veja nossa política de privacidade), utilizando linguagem e cláusulas compreensíveis para que os usuários estejam plenamente cientes do que estão consentindo e quais as consequências desse consentimento.

Esta regulamentação proíbe expressamente o uso de caixas de seleção pré-ativadas.

As organizações devem ser transparentes sobre a finalidade da coleta de dados e o consentimento deve ser “livre e explícito”. Isso significa que o método de obtenção do consentimento deve ser inequívoco e permitir uma opção de participar (opt-in) clara (o regulamento proíbe expressamente o uso de caixas de seleção pré-ativadas ou outros métodos alternativos de cancelamento (opt-out)). O regulamento também estabelece um direito específico de revogação do consentimento, devendo ser tão fácil revogar quanto expressar o consentimento.

Registros de consentimento

Considerando que o consentimento segundo o GDPR é uma questão primordial, é obrigatório que você mantenha o registro dos consentimentos obtidos para demonstrar que o usuário realmente deu o consentimento; caso haja qualquer problema, o ônus da prova recai sobre o controlador de dados, portanto, manter um registro preciso é vital.

Os registros devem incluir:

  • quem deu o consentimento;
  • quando e como o consentimento foi obtido do usuário individual;
  • o formulário de coleta de consentimento apresentado ao usuário no momento da coleta;
  • referência aos documentos legais e condições em vigor no momento em que o consentimento foi obtido.

Veja a seguir exemplos de registros que estão em conformidade x desacordo com o GDPR:

Registros em desacordo Registros em conformidade
Basta manter uma planilha com os nomes dos usuários e uma indicação se o consentimento foi obtido ou não Garantir que você mantenha uma cópia e data do formulário preenchido e assinado pelo usuário, que mostre a ação realizada pelo usuário para dar consentimento ao tratamento específico.
Manter informações de data e hora em que o consentimento foi dado, associada ao endereço de IP do usuário e um link para as páginas que hospedam o formulário preenchido pelo usuário e a política de privacidade. Manter registros compreensíveis, que incluem identidade do usuário e dados enviados, com marcação da hora exata em que o formulário foi preenchido. Você mantém também uma cópia da versão do próprio formulário e os documentos legais usados ​​no momento em que o usuário deu consentimento.

Manter registros válidos, embora obrigatórios, pode ser um desafio técnico. Nossa Consent Database simplifica esse processo, facilitando a visualização, gerenciamento e exportação de seus consentimentos registrados. você pode ler mais sobre isso aqui .

Uma observação sobre o consentimento: não é a única base que uma organização pode optar para tratar os dados do usuário; é apenas uma das “Bases Legais”, portanto, em alguns casos, as empresas podem aplicar outras bases legais (no âmbito do GDPR) para uma atividade de tratamento de dados (porém, ao determinar se outra base legal pode ou não se aplicar ao seu tratamento, conte com a ajuda de um advogado). Dito isso, sempre haverá atividades de tratamento de dados onde o consentimento é a única, melhor ou mais segura opção.

Outra lei da UE que vale a pena mencionar aqui é a Diretiva de Privacidade Eletrônica (ePrivacy) (também chamada de Lei dos Cookies). É uma lei que ainda é aplicável, pois não foi revogada pelo GDPR. No futuro próximo, a ePrivacy será substituída pela Diretiva de Privacidade Eletrônica (ePrivacy Regulation) e assim, funcionará ao lado do GDPR; espera-se que o próximo regulamento ainda mantenha os mesmos valores da diretiva.

A Lei dos Cookies exige o consentimento informado dos usuários antes da instalação e rastreamento de cookies em seus dispositivos.

A Lei dos Cookies exige o consentimento informado dos usuários antes de armazenar cookies no dispositivo do usuário e rastreá-los. Você pode ler mais sobre a Lei dos Cookies aqui.

💡 Para saber mais sobre quais regras de consentimento de cookies da UE se aplicam em uma base por país, confira nossa Cookie Consent Cheatsheet aqui .

Direitos dos usuários

O direito de ser informado

As organizações devem fornecer aos usuários informações sobre as atividades de tratamento de dados que elas realizam. Elas devem ser fornecidas no momento em que os dados pessoais são obtidos, normalmente através de um aviso/política de privacidade. A informação deve ser concisa, transparente, compreensível, facilmente acessível, redigida em linguagem clara e simples (especialmente se dirigida a um menor de idade) e gratuita.

Se os dados coletados corresponderem ao usuário, então eles devem ser fornecidos com informações de privacidade no momento em que os dados forem obtidos, porém, caso os dados pessoais forem obtidos de uma fonte sem ser o próprio usuário, o mesmo deve ser fornecido com informações de privacidade em um “período razoável” dos dados que estão sendo obtidos. Geralmente, esse período, não deve levar mais que um mês; se você usar os dados para se comunicar com o usuário, a divulgação deve ser no máximo, assim que a primeira comunicação ocorrer.

O direito de acesso

Usuários devem ter o direito de acesso aos dados pessoais e informações sobre como estão sendo tratados. Se o usuário solicitar, o controlador dos dados deve fornecer uma visão geral das categorias de dados que estão sendo tratados, uma cópia dos dados e detalhes acerca do tratamento. Os detalhes devem incluir a finalidade, como os dados foram obtidos e com quem serão compartilhados.

Adicionalmente, a organização deve fornecer, mediante solicitação do usuário, uma cópia dos dados pessoais de forma gratuita (sendo possível cobrar uma eventual taxa para cópias extras). Os dados solicitados devem ser fornecidos ao indivíduo sem atrasos indevidos, no mais tardar, dentro de um mês do recebimento da solicitação; o número exato de dias em que a organização deve atender a solicitação depende do mês em que a solicitação foi realizada.

O direito de acesso está ligado ao Direito de portabilidade dos dados, embora não sejam idênticos. Portanto, é importante que na política de privacidade haja uma distinção clara entre eles.

O direito de retificação

Os usuários têm o direito de solicitar a retificação de seus dados pessoais, caso estejam inexatos ou incompletos. Este direito também implica que a retificação deve ser informada para todos os terceiros destinatários envolvidos no tratamento dos dados em questão – a menos que isto seja impossível ou extremamente difícil. Se for solicitado pelo usuário, a organização deve também informá-lo sobre estes terceiros destinatários.

As solicitações podem ser estendidas por mais dois meses se forem complexas ou se várias solicitações forem recebidas do mesmo indivíduo. Dentro de um mês do recebimento da solicitação, o indivíduo deve ser informado com uma explicação do porquê desta extensão de prazo ser necessária. As solicitações devem ser atendidas sem atrasos indevidos e, no mais tardar, dentro de um mês do recebimento da solicitação.

Na maioria dos casos, as organizações devem atender a uma solicitação de retificação sem cobrar taxas. No entanto, se a solicitação for considerada “manifestamente infundada ou excessiva”, uma “taxa razoável” poderá ser aplicada para que a solicitação seja atendida ou a solicitação poderá ser recusada. Em ambos os cenários, a decisão terá que ser legitimamente justificada. Se a solicitação for recusada, o indivíduo deverá ser informado (com uma justificativa) sem qualquer atraso desnecessário e dentro de um mês do recebimento da solicitação.

O direito de oposição

Segundo o GDPR, usuários têm o direito de oposição às atividades de tratamento de seus dados pessoais realizadas pelo controlador de dados. Em resumo, o usuário pode se opor ao tratamento de seus dados sempre que o tratamento estiver baseado em legítimo interesse do controlador de dados ou no desempenho de uma atividade de interesse público/exercício de autoridade pública, ou também, para efeitos de pesquisa científica/histórica e estatística. O usuário deve justificar sua objeção, a menos que o tratamento de dados seja realizado para fins de marketing direto. Neste caso, nenhuma motivação é necessária para exercer este direito.

Se a objeção ao tratamento de dados pessoais for recebida e não houver nenhuma justificativa para recusá-la, a atividade de tratamento deve ser cessada. Embora a atividade de tratamento (incluindo armazenamento) deva ser cessada para aquela atividade recusada pelo usuário, a exclusão pode não ser necessária se os dados forem tratados para outras finalidades (incluindo o cumprimento de obrigações legais e contratuais), considerando que os dados devem ser retidos para tais finalidades.

As solicitações devem ser atendidas sem atrasos indevidos e, no mais tardar, dentro de um mês do recebimento da solicitação. As solicitações podem ser estendidas por mais dois meses se forem complexas ou se várias solicitações forem recebidas do mesmo indivíduo. O indivíduo deve ser informado, dentro de um mês do recebimento da solicitação, com uma explicação do porquê desta extensão de prazo ser necessária.

Geralmente, as organizações devem atender a uma solicitação de objeção (quando não houver justificativa para recusar esta objeção) sem cobrar taxas. No entanto, se a solicitação for considerada “manifestamente infundada ou excessiva”, uma “taxa razoável” poderá ser aplicada para que a solicitação seja atendida ou a solicitação poderá ser recusada. Em ambos os cenários, a decisão terá que ser legitimamente justificada. Se a solicitação for recusada, o indivíduo deverá ser informado (com uma justificativa) sem qualquer atraso desnecessário e dentro de um mês do recebimento da solicitação.

O direito à portabilidade

Usuários devem ter o direito de obter (em formato eletrônico e legível) seus dados pessoais com a finalidade de transferi-los de um controlador para outro, sem quaisquer obstáculos por parte do processador de dados. Tanto os dados “fornecidos” pelo usuário quanto os dados “observados” estão inclusos nesta previsão. Este direito se aplica apenas a dados pessoais e, por isso, não se aplica a dados autenticamente anônimos (dados que não podem levar ao rastreamento do indivíduo).

As solicitações devem ser atendidas sem atrasos indevidos e, no mais tardar, dentro de um mês do recebimento da solicitação. As solicitações podem ser estendidas por mais dois meses se forem complexas ou se várias solicitações forem recebidas do mesmo indivíduo. O indivíduo deve ser informado dentro de um mês do recebimento da solicitação com uma explicação do porquê desta extensão de prazo ser necessária.

Na maioria das vezes, as organizações devem atender a uma solicitação sem cobrar taxas. No entanto, se a solicitação for considerada “manifestamente infundada ou excessiva”, uma “taxa razoável” poderá ser aplicada para que a solicitação seja atendida ou a solicitação poderá ser recusada. Em ambos os cenários, a decisão terá que ser legitimamente justificada. Se a solicitação for recusada, o indivíduo deverá ser informado (com uma justificativa) sem qualquer atraso desnecessário e dentro de um mês do recebimento da solicitação.

O direito à exclusão

Quando os dados não forem mais relevantes para seu propósito original, quando os usuários retirarem o consentimento ou quando dados pessoais forem ilegalmente tratados, os usuários devem ter o direito de solicitar que seus dados sejam excluídos e toda a distribuição cessada. As solicitações devem ser atendidas sem atrasos indevidos e, no mais tardar, dentro de um mês do recebimento da solicitação.

As solicitações podem ser estendidas por mais dois meses se forem complexas ou se várias solicitações forem recebidas do indivíduo. O indivíduo deve ser informado dentro de um mês do recebimento da solicitação com uma explicação do porquê desta extensão de prazo ser necessária.

O direito à exclusão pode ser recusado:

  • quando dados pessoais forem tratados para fins de arquivo do interesse público (por exemplo, para pesquisa científica);
  • quando dados forem necessários para defesa judicial;
  • para cumprir com obrigações legais;
  • para desempenhar uma tarefa no exercício do interesse público;
  • para o exercício da autoridade pública investida no controlador;
  • quando os dados forem necessários para exercer o direito de liberdade de expressão;
  • quando os dados estiverem sendo tratados por razões de saúde no interesse público.

O direito à limitação do tratamento

Usuários têm o direito à limitação do tratamento de seus dados pessoais nos casos em que:

  • a exatidão dos dados foi contestada;
  • o usuário recusou o tratamento e a organização está avaliando se ela tem uma razão legítima para continuar com as atividades de tratamento;
  • o tratamento é ilegal, mas o usuário solicita a limitação ao invés da eliminação;
  • os dados não são mais necessários, mas o usuário precisa deles para iniciar, proceder ou apresentar defesa em uma ação judicial.

A restrição deve ser informada para todos os terceiros destinatários envolvidos no tratamento dos dados em questão – a menos que isto seja impossível ou extremamente difícil. Se for solicitado pelo usuário, a organização deve também informá-lo sobre estes terceiros destinatários.

As solicitações devem ser atendidas sem atrasos indevidos e, no mais tardar, dentro de um mês do recebimento da solicitação. As solicitações podem ser estendidas por mais dois meses se forem complexas ou se várias solicitações forem recebidas do mesmo indivíduo. O indivíduo deve ser informado dentro de um mês do recebimento da solicitação com uma explicação do porquê desta extensão de prazo ser necessária.

Geralmente, as organizações devem atender a uma solicitação sem cobrar taxas. No entanto, se a solicitação for considerada “manifestamente infundada ou excessiva”, uma “taxa razoável” poderá ser aplicada para que a solicitação seja atendida ou a solicitação poderá ser recusada. Em ambos os cenários, a decisão terá que ser legitimamente justificada. Se a solicitação for recusada, o indivíduo deverá ser informado (com uma justificativa) sem qualquer atraso desnecessário e dentro de um mês do recebimento da solicitação.

Direitos relacionados à tomada de decisão automatizada e definição de perfis ou perfilamento (“profiling”)

Os usuários têm o direito de não serem submetidos a processos de tomada de decisão baseada no tratamento ou definição de perfis (perfilamento) automatizados e, que produzam efeitos jurídicos ou quaisquer efeitos igualmente significativos ao usuário.

Organizações podem somente executar tomada de decisão automatizada se for necessário para a execução de um contrato; autorizado pela legislação de um país da UE ao controlador de dados, sem efeitos jurídicos ou de relevância semelhante para o usuário ou com base no consentimento explícito do interessado. É possível tomar decisões automatizadas sobre categorias especiais de dados somente com o consentimento explícito do usuário ou por razões de interesse público significativo.

Transferência internacional de dados

O GDPR permite a transferência de dados de cidadãos da UE fora do Espaço Econômico Europeu (EEE) somente quando determinadas condições forem atendidas.

Nestas condições, o país para o qual os dados são transferidos deve ter um nível “adequado” de proteção de dados pessoais, em conformidade com as normas da União Europeia. Caso contrário, as transferências ainda podem ser permitidas na presença de cláusulas contratuais padrão (SCC) ou regras vinculativas aplicáveis às empresas (BCR).

Com relação à transferência de dados aos Estados Unidos, todas as transferências exigem que o usuário dê seu consentimento (neste caso, o consentimento deve ser fornecido com base em informações suficientemente precisas, incluindo aquelas relativas a qualquer falta de proteção do outro país).

Privacidade por design e privacidade por padrão

A proteção de dados deve ser considerada desde a concepção do projeto, desenvolvimento dos processos e da infraestrutura empresarial. Isso significa que as configurações de privacidade devem ter um “alto” nível de proteção como padrão e devem ser adotadas medidas adequadas para garantir que o ciclo de vida do tratamento dos dados ​​esteja em conformidade com os requisitos do GDPR.

Notificação de violação de dados

O controlador de dados deve notificar a autoridade reguladora ​​dentro de 72 horas após tomar conhecimento da ocorrência de violação de dados pessoais. Se o tratamento for efetuado por um processador em nome do controlador, o processador deve notificar o controlador imediatamente após ter conhecimento do fato. Segundo esta regra, os usuários devem também ser notificados da violação de dados (no mesmo prazo), a menos que os dados violados estejam criptografados (portanto, são ilegíveis para terceiros não autorizados) ou, a menos que a violação, de forma geral, dificilmente resulte em um risco para os direitos e liberdades dos titulares dos dados. Em todo caso, o controlador de dados deve manter um registro das violações ocorridas, a fim de demonstrar o cumprimento dessas disposições à autoridade supervisora.

Encarregado da Proteção de Dados (EPD)

O Encarregado da Proteção de Dados (EPD) é uma pessoa com profundo conhecimento da legislação de proteção de dados, cuja função inclui assistência ao controlador ou ao processador no que tange ao monitoramento da conformidade com o GDPR, supervisão e implementação da estratégia de proteção de dados. O EPD deve também ter conhecimento sobre gerenciamento de processos de TI, segurança de dados e outras questões críticas relacionadas ao tratamento de dados pessoais e sensíveis.

O GDPR requer designação de um EPD especialmente nos seguintes casos:

  • Quando houver atividades de monitoramento regular e sistemático dos titulares dos dados em grande escala;
  • Quando o tratamento for realizado por uma autoridade pública (exceto por tribunais e autoridades judiciais independentes);
  • Quando a organização estiver realizando operações complexas com os dados dos usuários (principalmente dados sensíveis).

A nomeação de um DPO é, portanto, não somente baseada no número de empregados, mas na essência da atividade de tratamento de dados. Se a sua organização não se enquadra nestas categorias, então não é mandatório que você nomeie um DPO.

Armazenamento de registros das atividades de tratamento

O GDPR exige que o controlador e o processador mantenham atualizado um registro “completo e extensivo” das atividades específicas de tratamento de dados que realizam.

O registro completo e extensivo é expressamente exigido quando as atividades de tratamento de dados:

  • não são ocasionais; ou
  • podem resultar em um risco aos direitos e liberdades dos titulares de dados ou de terceiros; ou
  • incluem o tratamento de dados sensíveis ou dados das “categorias especiais de dados”; ou
  • são realizados por uma organização com mais de 250 funcionários.

Na verdade, isso se aplica a quase todos os controladores e processadores.

Os registros das atividades de tratamento devem ser mantidos por escrito. Formulários eletrônicos e impressos destes registros são aceitáveis. No entanto, o formato eletrônico é considerado uma boa prática, pois facilita sua atualização e alteração.

Os registros do controlador dos dados devem incluir:

  • O nome e as informações de contato do controlador de dados e, se aplicável, dos representantes do controlador e do EPD;
  • A finalidade das atividades de tratamento;
  • Descrição das várias categorias de usuários e de dados;
  • As categorias de destinatários de dados, incluindo outros países destinatários (não membros da UE) ou organizações internacionais;
  • Qualquer transferência de dados pessoais para um país não pertencente à UE, identificando o país terceiro ou organização internacional para o qual os dados são transferidos, incluindo a documentação relativa às medidas de segurança adotadas (quando aplicável);
  • Os prazos previstos para apagar as várias categorias de dados (quando possível);
  • Uma descrição geral das medidas técnicas e organizacionais de segurança adotadas (quando possível).

Os registros do processador devem incluir:

  • O nome e as informações de contato do controlador de dados e dos processadores agindo em seu nome e, quando aplicável, de seus representantes, além do EPD;
  • As categorias de tratamento realizadas por cada controlador;
  • Qualquer transferência de dados pessoais para um país não pertencente à UE, identificando o país terceiro ou organização internacional para o qual os dados são transferidos, incluindo a documentação relativa às medidas de segurança adotadas (quando aplicável);
  • Os prazos previstos para apagar as várias categorias de dados (quando possível);
  • Uma descrição geral das medidas técnicas e organizacionais de segurança adotadas (quando possível).
Atenção

Mesmo que suas atividades de tratamento não se encaixem nestas situações, sua obrigação de informar os usuários exige que você mantenha um registro básico contendo os dados coletados, a finalidade, todas as partes envolvidas e o período de retenção dos dados — isso é obrigatório para todos.

Você pode descobrir que é, de fato, muito útil a realização de auditorias periódicas sobre os dados mantidos por sua organização: esta prática é recomendada não apenas para cumprir as obrigações de registro, mas também para facilitar a revisão e otimização dos procedimentos de tratamento de dados.

Nossa solução do Registro das atividades de processamento de dados (Gestão de Privacidade Interna) é muito útil nesse sentido, pois simplifica o processo de criação e manutenção de seus registros das atividades de tratamento. Clique aqui para saber mais ou aqui para encontrar o guia do usuário e assistir ao nosso vídeo.

Avaliação de Impacto à Proteção de Dados (AIPD)

A Avaliação de Impacto à Proteção de Dados (Data Protection Impact Assessment, em inglês) é um processo utilizado para ajudar organizações a cumprir efetivamente com o GDPR e garantir que os princípios de responsabilidade, “privacy by design” e “privacy by default” sejam efetivamente colocados em prática pela organização. O processo de AIPD deve ser documentado por escrito. Embora a publicação da AIPD geralmente não seja uma obrigação formal imposta pelo GDPR, é recomendável que os Responsáveis pelo Tratamento considerem a possibilidade de publicar seu AIPD, no todo ou em parte, como um sinal de transparência e prestação de contas, especialmente nos casos em que haja entidades públicas envolvidas (por exemplo, quando a AIPD for realizada por um órgão público).

Uma AIPD bem desenvolvida também é útil para atender aos requisitos de “Privacy by design”, pois permite ao proprietário identificar e resolver problemas em um estágio inicial, reduzindo assim os riscos para a segurança dos dados do usuário, o risco de incorrer em multas, sanções e danos à reputação e imagem. A AIPD é obrigatória apenas nos casos em que a atividade de tratamento de dados possa representar um alto risco para os usuários (isto se aplica em particular à introdução de novas tecnologias de tratamento).

No entanto, se você não tem certeza se sua atividade de tratamento se enquadra no que é considerado um “alto risco”, é recomendável realizar uma AIPD de qualquer maneira, pois é uma ferramenta útil para garantir o cumprimento da lei.

As atividades de tratamento de dados de “alto risco” incluem:

  • Tratamento de dados sensíveis em larga escala;
  • Monitoramento sistemático de uma área acessível ao público (por exemplo, através de um circuito fechado de televisão);
  • Situações em que são realizadas análises automatizadas de dados pessoais para influenciar significativamente decisões que podem ser relevantes para a vida do usuário.

A realização de um AIPD também pode ser necessária em outras circunstâncias (a serem avaliadas caso a caso), como o tratamento de dados relativos a indivíduos vulneráveis ​​(por exemplo, crianças ou idosos), a transferência de dados para fora da UE o tratamento de dados para fins de perfilamento (por exemplo, análise de crédito). Se você estiver interessado, pode ler mais sobre os critérios aqui [PDF].

A AIPD deve incluir:

  • Descrições completas dos dados tratados;
  • A finalidade da atividade de tratamento (e, quando aplicável, informações sobre o legítimo interesse do controlador dos dados);
  • Uma avaliação sobre o escopo e a necessidade das atividades de tratamento em relação a sua finalidade;
  • Uma avaliação dos riscos incorridos aos usuários;
  • Medidas aplicadas para mitigação destes riscos.

Consequências da não conformidade

As consequências jurídicas da não conformidade com o GDPR consistem em multas de até 20 milhões de euros ou até 4% da receita anual da organização ao nível mundial (o que for maior destes dois valores). Entretanto, outras medidas igualmente relevantes podem ser implementadas contra organizações que cometeram uma violação. Estas medidas incluem advertências oficiais (para violações primárias), auditorias periódicas de proteção de dados e responsabilização por danos.

As consequências jurídicas da não conformidade com o GDPR consistem em multas até 20 milhões de euros ou até 4% da receita anual da organização ao nível mundial.

O GDPR garante aos usuários o direito explícito de apresentar uma reclamação a uma autoridade reguladora se eles acreditarem que o tratamento de seus dados pessoais foi realizado em desacordo com disposições do regulamento. Por exemplo, se for submetido um relatório à autoridade sobre um caso de violação do regulamento, a autoridade poderá fazer uma auditoria nos processos de tratamento de dados realizados pela organização. Se for verificado que algumas atividades de tratamento foram realizadas ilegalmente, não só será aplicada uma sanção financeira, mas também a organização poderá ser proibida de usar os dados da reclamação e dados adquiridos por mecanismos semelhantes. Isso significa que, se o uso indevido envolver, por exemplo, a coleta de um endereço de e-mail, a organização arrisca não poder usar todo o banco de dados de e-mail em sua posse.

O GDPR também dá aos usuários o direito à indenização por quaisquer danos resultantes do não cumprimento das regras por uma organização, tornando assim os infratores suscetíveis a eventuais processos judiciais.

Como a iubenda pode ajudar

Em relação à conformidade, uma das primeiras etapas é garantir que seus documentos estejam em conformidade com a lei. Na iubenda, adotamos uma abordagem abrangente para o cumprimento da legislação de proteção de dados. Desenvolvemos soluções considerando as mais rigorosas disposições, oferecendo serviços completos e customizáveis ​​de acordo com suas necessidades. Desta forma, a iubenda auxilia no cumprimento das obrigações legais, reduzindo assim o risco de litígios, protegendo seus clientes e auxiliando na construção de confiança e credibilidade.

Veja abaixo uma lista do que é necessário para se adaptar:

Política de Privacidade

Este documento legal deve indicar como seu website ou app coleta, trata, armazena, compartilha e protege os dados do usuário, as finalidades do tratamento e os direitos dos usuários a esse respeito.

Com nosso Gerador de Política de Privacidade e de Cookies você pode criar uma política de privacidade impecável, precisa, desenvolvida por advogados e que facilmente se integre com seu website ou app. Você pode simplesmente adicionar cláusulas pré-definidas com o clique de um botão ou criar suas cláusulas customizadas utilizando a forma built-in (já incorporadas).

A política de privacidade também tem uma opção de incluir política de cookies (que é necessária se seu website ou app utiliza cookies). As políticas de privacidade e cookies são customizáveis para suas necessidades e atualizadas a distância por uma equipe jurídica internacional.

Para mais informações sobre políticas de privacidade, clique aqui.

Privacy Controls and Cookie Solution

Dado que o uso de cookies envolve tanto o tratamento de dados do usuário quanto a instalação de tecnologias de rastreamento, este se torna um fator considerável no contexto da proteção dos dados pessoais dos usuários. Por esse motivo, é de extrema importância que seu website ou app cumpra com a Diretiva de Privacidade Eletrônica (Lei dos Cookies). Em resposta a esta necessidade, desenvolvemos o Privacy Controls and Cookie Solution, uma solução completa para cumprir as disposições da legislação europeia sobre o tratamento de cookies. Isto facilita a implementação de uma política de cookies e da solução de consentimento para cookies (incluindo gerenciamento de banners) de forma rápida e sem investimentos caros.

Para mais informações sobre nossa solução de Privacy Controls and Cookie Solution , clique aqui.

Registro das atividades de processamento de dados

A adaptação ao GDPR, na prática, representa um verdadeiro desafio. Isso se aplica principalmente no gerenciamento de conformidade de privacidade interna. Para estar em conformidade, você precisa rastrear e descrever:

  • quais dados você coleta;
  • para quais finalidades esses dados são coletados;
  • qual a base legal para o tratamento desses dados;
  • as políticas de retenção de dados para cada atividade de tratamento;
  • as partes envolvidas (dentro e fora de sua organização);
  • medidas de segurança;
  • transferências de dados para fora da UE, se este for o caso; e
  • outros detalhes da empresa, incluindo dados de funcionários.

Nossa solução ajuda você a registrar e gerenciar facilmente todas as atividades de tratamento de dados em sua organização, de modo a atender a todos os requisitos e cumprir as obrigações legais. Permite que você crie um registro das atividades de tratamento, escolhendo entre mais de 1.700 opções pré-definidas, e dividindo-as por suas áreas de tratamento (ou seja, as áreas dentro das quais as atividades de tratamento de dados são as mesmas), identificando processadores e outros membros, e documentando as bases legais e outras informações exigidas pelo GDPR.

Importante: Ainda que suas atividades de tratamento não se enquadrem nas situações mencionadas anteriormente neste guia, suas obrigações de informar os usuários (artigos 13 e 14) exigem que você mantenha um registro básico contendo os dados coletados por você, suas finalidades, todas as partes envolvidas e o prazo de retenção de dados — isso é obrigatório para todos.

Além disso, mesmo que o GDPR seja o principal motivo para incentivar o gerenciamento de privacidade interna nas empresas, nossa ferramenta não é feita apenas para o GDPR. Na verdade, ele pode ser usado para gerenciamento de privacidade interna em geral, mesmo por empresas fora da UE que não trabalham com usuários ou clientes europeus.

Para uma lista completa das funcionalidades da ferramenta de Registro das atividades de processamento de dados clique aqui ou leia este guia.

Gerenciar e arquivar consentimentos em detalhes

Para cumprir as leis de privacidade, especialmente o GDPR, as empresas precisam armazenar uma prova de consentimento para poderem demonstrar que o consentimento foi coletado. Essas evidências devem incluir:

  • quando o consentimento foi dado;
  • quem deu o consentimento;
  • quais preferências foram expressas pelo titular dos dados no momento da coleta do consentimento;
  • quais documentos ou informações legais foram apresentados ao titular dos dados no momento da coleta do consentimento;
  • o formulário de consentimento apresentado à parte interessada no momento em que o consentimento foi coletado.

Nossa solução de consentimento simplifica esse processo, permitindo que você registre e gerencie facilmente a prova de consentimento para cada um de seus usuários. Ela permite que você: rastreie todos os aspectos do consentimento (incluindo documentos ou avisos legais e formulários de consentimento apresentados no momento da coleta do consentimento), bem como as preferências definidas pelo usuário.

Para usá-lo, basta ativar a Consent Database e obter sua chave API. Em seguida, prossiga com a configuração via API HTTP ou via widget JS. Você pode recuperar imediatamente os consentimentos salvos e mantê-los atualizados.

Veja a lista com todos os recursos da Consent Database aqui ou leia o nosso guia .

Adapte seu site ao GDPR em minutos

Comece agora

Importante: de tempos em tempos, as leis podem ser alteradas ou atualizadas. Portanto, é necessário garantir que seus documentos atendam aos requisitos mais recentes. Por esta razão, nós usamos a integração direta e não copiamos e colamos. Desta forma, você pode garantir que sua política de privacidade está atualizada e sendo gerenciada remotamente por nossa equipe jurídica.

Veja também