O que é o Regulamento Geral de Proteção de Dados (GDPR)?

O Regulamento Geral de Proteção de Dados (GDPR) é uma lei abrangente de proteção de dados aprovada pela União Européia (UE).

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Explicar as principais exigências do Regulamento Geral de Proteção de Dados (GDPR)
  • Descrever os direitos que os indivíduos têm de acordo com o GDPR
  • Compreender a importância do GDPR para a privacidade dos dados

Conteúdo relacionado


Quer saber mais?

Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.

Consulte a política de privacidade da Cloudflare para saber como coletamos e processamos seus dados pessoais.

Copiar o link do artigo

O que é o Regulamento Geral de Proteção de Dados (GDPR)?

O Regulamento Geral de Proteção de Dados (GDPR), que entrou em vigor em 25 de maio de 2018, é uma lei abrangente de privacidade de dados que estabelece uma estrutura para a coleta, processamento, armazenamento e transferência de dados pessoais. Ele exige que todos os dados pessoais sejam processados de forma segura e inclui multas e penalidades para empresas que não cumpram esses requisitos. Também fornece aos indivíduos uma série de direitos em relação aos seus dados pessoais.

À medida que a tecnologia avança e a coleta de dados se torna mais prevalente, a privacidade dos dados tem sido colocada em destaque. Na época de sua aprovação, o GDPR era o regulamento de privacidade de dados mais abrangente. Ele harmonizou regulamentos separados de proteção de dados de toda a União Europeia (UE). Também ampliou o alcance desses regulamentos para se aplicar a organizações não pertencentes à UE, se elas processarem dados pessoais coletados na UE.

O GDPR se aplica a qualquer empresa ou organização, independentemente da localização geográfica, se a empresa ou organização oferecer bens e serviços a pessoas na UE ou monitorar seu comportamento na UE.

Como o GDPR define "dados pessoais"?

O GDPR ampliou o escopo do que era considerado dados pessoais para incluir qualquer informação relacionada a uma pessoa física identificável. Isso inclui detalhes que são obviamente pessoais, como nome e endereço, mas também qualquer outra informação que possa ser usada para identificar alguém, incluindo seu endereço de IP e determinados identificadores de cookies associados a uma sessão de navegação na web.

Quais são os requisitos do GDPR para controladores e processadores de dados?

O GDPR define controladores de dados como entidades que tomam decisões sobre os meios e propósitos para os quais os dados pessoais são coletados e processados, e define processadores de dados como entidades que processam dados pessoais, normalmente em nome de um controlador de dados.

O GDPR também estabelece sete princípios-chave sobre como os controladores e processadores de dados devem lidar com dados pessoais:

  • Licitude, justiça e transparência
  • Limitação de finalidade
  • Minimização de dados
  • Precisão
  • Limitação de armazenamento
  • Integridade e confidencialidade (segurança)
  • Responsabilidade

Além de descrever esses princípios em detalhes, o GDPR determina várias ações específicas que os controladores e processadores de dados precisam adotar. Algumas delas incluem:

  • Manutenção de registros: os processadores de dados devem manter registros de suas atividades de processamento.
  • Medidas de segurança: os controladores e processadores de dados devem usar e testar regularmente as medidas de segurança adequadas para proteger os dados que coletam e processam.
  • Notificação de violação de dados: os controladores de dados que sofrem uma violação de dados pessoais devem notificar as autoridades competentes dentro de 72 horas, com algumas exceções. Normalmente, eles também devem notificar as pessoas cujos dados pessoais foram afetados pela violação.
  • Data Protection Officer (DPO): As empresas que processam dados podem precisar contratar um Data Protection Officer (DPO). O DPO lidera e supervisiona todos os esforços de conformidade com o GDPR.

Os requisitos completos para controladores e processadores de dados são descritos no GDPR.

Quais direitos os titulares dos dados têm de acordo com o GDPR?

O GDPR define um titular dos dados como "uma pessoa física identificada ou identificável". Os titulares dos dados têm os seguintes direitos:

  • Direito de ser informado: os titulares dos dados devem receber informações fáceis de entender sobre como seus dados pessoais são coletados e processados
  • Direito à portabilidade dos dados: os titulares dos dados podem transferir seus dados de um controlador de dados para outro
  • Direito de acesso: os titulares dos dados têm o direito de obter uma cópia dos dados pessoais coletados
  • Direito de retificação: os titulares dos dados podem corrigir dados imprecisos sobre si mesmos
  • Direito ao apagamento: Os titulares dos dados podem solicitar que seus dados sejam excluídos (também chamado de direito ao esquecimento)
  • Direito de restringir o processamento: sob certas circunstâncias, os titulares dos dados podem limitar a forma como os seus dados pessoais são tratados
  • Direito de oposição: os titulares dos dados têm o direito de se opor ao tratamento dos seus dados pessoais e, em determinadas circunstâncias, o controlador de dados ou processador de dados será obrigado a cumprir a objeção do titular dos dados
  • Direito de oposição a automatizar o processamento: os titulares dos dados podem se opor a uma decisão que os afete legalmente com base exclusivamente no processamento automatizado de dados

Quais são as penalidades por violar o GDPR?

O GDPR descreve as multas que devem ser impostas às empresas que violam suas políticas.

Existem dois níveis de multas de acordo com o GDPR, com cada nível correspondendo a uma categoria diferente de violação:

  • Primeiro nível: uma violação que resulta em uma multa máxima de € 10 milhões ou 2% da receita anual mundial da empresa, o que for maior.
  • Segundo nível: Uma violação que resulta em uma multa máxima de € 20 milhões ou 4% da receita anual mundial da empresa, o que for maior.

Além dessas multas, os titulares dos dados podem buscar indenização por danos quando uma empresa viola o GDPR.

A Cloudflare e a privacidade de dados

A missão da Cloudflare é ajudar a construir uma internet melhor e a privacidade dos dados é essencial para essa missão. A Cloudflare desenvolve seus produtos com uma mentalidade de "privacidade por design" e lançou vários serviços para aumentar a privacidade do usuário (incluindo o Data Localization Suite da Cloudflare). A Cloudflare também obteve a validação de privacidade do Código de Conduta da UE, o primeiro código de conduta do RGPD oficialmente reconhecido pela UE. Saiba mais sobre a Cloudflare e o RGPD.