Virginia Consumer Data Protection Act (VCDPA): o âmbito, o propósito e como cumprir
A Virginia Consumer Data Protection Act (VCDPA) entrou em vigor a 1 de janeiro de 2023 e concede aos consumidores direitos significativos sobre os...
GDPR significa General Data Protection Regulation. O GDPR é um regulamento de proteção da União Europeia que entrou em vigor a 25 de maio de 2018. Aplica-se a todas as organizações que tratam dados pessoais de residentes na UE. Isto significa que tanto empresas na UE como no estrangeiro são afetadas. O GDPR é o regulamento de proteção de dados pessoais mais rigoroso e complexo do mundo.
Tipos de dados
Existem dois tipos de dados — pessoais e não pessoais.
- Dados pessoais
Dados pessoais são quaisquer informações que podem direta ou indiretamente conduzir a uma pessoa singular identificada ou identificável. O General Data Protection Regulation usa o termo "informação" em vez de "dados", uma vez que os dados tendem a ter um valor informativo. Qualquer tipo de informação pessoal pode ser ligado a uma pessoa viva específica.
- Dados não pessoais
Os dados não pessoais nunca estão ligados a uma pessoa singular identificada ou identificável. Esta categoria inclui dados que foram anteriormente classificados como pessoais, embora a ligação a uma pessoa singular tenha sido removida.
O que é o tratamento de dados pessoais
Vários tipos de ações com dados pessoais são considerados tratamento de dados pessoais: recolha, registo, organização, estruturação, conservação, adaptação ou alteração, recuperação, consulta, utilização, divulgação por transmissão, difusão ou disponibilização, alinhamento ou combinação, restrição, apagamento ou destruição .
As regras do GDPR aplicam-se a empresas que tratam dados pessoais total ou parcialmente, utilizando processamento automatizado ou manual, ou se os dados fizerem parte de um sistema de ficheiros estruturado.
Exemplos de dados pessoais
O General Data Protection Regulation aplica-se ao tratamento de dados pessoais. As empresas precisam de proteger os seguintes dados pessoais:
- Dados pessoais de colaboradores (nome, morada, data de nascimento, etc.)
- Informação sobre clientes, pacientes ou residentes (bases de dados de marketing, registos médicos, listas de contactos)
- Dados pessoais não públicos de parceiros e fornecedores
- Dados pessoais que são transferidos e tratados por terceiros (livros de contabilidade, registos de crédito, marketing direto)
- Imagens e gravações de som
- Dados encriptados (endereços IP, endereços MAC, cookies se puderem ser ligados a uma pessoa singular)
- Fotografias de pessoas
- Gravações de vídeo
A finalidade do GDPR
A finalidade do General Data Protection Regulation é proteger a privacidade dos cidadãos. Por isso, as empresas são obrigadas a proteger os dados pessoais destes cidadãos e não podem tratá-los nem vendê-los a terceiros sem o seu consentimento.
No passado, as empresas vendiam dados umas às outras sem o consentimento dos titulares dos dados. O GDPR visa criar uma norma uniforme e padronizada para a proteção de dados pessoais dentro da UE.
Outra finalidade do GDPR é modernizar as antigas regras para que se alinhem com a sociedade digital moderna.
Direitos do indivíduo
O GDPR destina-se a ajudar os cidadãos da UE a compreender como os seus dados estão a ser usados e a saber como apresentar reclamações. O objetivo é dar às pessoas o controlo sobre os seus dados pessoais. Os cidadãos têm os seguintes direitos:
- direito a serem informados
- direito de acesso
- direito de retificação
- direito ao apagamento / direito ao esquecimento
- direito a restringir o tratamento
- direito à portabilidade dos dados
- direito de oposição e direitos relacionados com a tomada de decisão automatizada e profiling
O âmbito do GDPR
O General Data Protection Regulation impacta todas as organizações que tratam dados pessoais de cidadãos da UE, incluindo todas as empresas que oferecem bens e serviços ou empregam pessoas na UE, mesmo que a entidade esteja sediada fora da UE.
O GDPR aplica-se a empresas, associações, organizações, autoridades e, em alguns casos, pessoas singulares.
O GDPR cobre toda a União Europeia, aplica-se a todos os Estados-Membros e abrange os países do Espaço Económico Europeu, como a Islândia, o Liechtenstein, a Noruega e o Reino Unido.
Violações do GDPR — coimas
No caso de uma violação do GDPR, existem dois tipos de coimas que as empresas podem ser obrigadas a pagar.
- O nível mais baixo é até 10 milhões de euros, ou 2 % da receita anual mundial do ano anterior, consoante o que for mais elevado. Violações ligadas à manutenção de registos, segurança de dados, etc.
- O nível mais alto é até 20 milhões de euros, ou 4 % da receita total mundial do exercício fiscal anterior, consoante o que for mais elevado. Estas coimas são geralmente aplicadas para violações relacionadas com os princípios da proteção de dados, com a base legal para o tratamento, com a proibição do tratamento de dados sensíveis, com a recusa dos direitos dos titulares dos dados ou com a transferência de dados para países fora da UE.
As coimas do GDPR aplicam-se a todos os tipos de empresas, das maiores às mais pequenas.
As coimas são definidas para cada caso individual e devem ser eficazes, proporcionadas e dissuasoras. Existe um catálogo de critérios usado para definir uma coima adequadamente elevada. São considerados os seguintes critérios:
- se a violação foi intencional
- o número de pessoas afetadas
- que tipo de medidas a empresa tomou para mitigar os danos
- o nível de colaboração com as autoridades, etc.
Diferenças no GDPR dentro da UE
A BDSG da Alemanha
Quando o GDPR entrou em vigor, entrou também a nova Lei de Privacidade da Alemanha (BDSG-new). Complementa, especifica e modifica o GDPR e foca-se em tópicos específicos. A BDSG-new aplica-se a empresas privadas sediadas na Alemanha e que tratam dados pessoais na Alemanha, mas também a empresas que oferecem bens e serviços na Alemanha ou monitorizam o comportamento de titulares de dados na Alemanha.
Cinco leis de privacidade no mundo semelhantes ao GDPR
Brasil
O Brasil lançou a LGPD em setembro de 2020, logo após o GDPR. São muito semelhantes em termos de âmbito e aplicabilidade. As empresas que queiram fazer negócios na economia do Brasil têm de cumprir a LGPD.
África do Sul
O Protection of Personal Information Act (POPIA) da África do Sul aplica-se desde julho de 2020. Há algumas diferenças entre o GDPR e a POPIA quanto ao rigor das leis. O GDPR tem coimas mais elevadas, mas a POPIA inclui sanções penais.
Turquia
A Lei de Proteção de Dados Pessoais da Turquia (LPDP) foi alterada várias vezes desde 2016 e está a aproximar-se do GDPR, especialmente no que toca ao tratamento de dados pessoais.
EUA
Cada estado tem as suas próprias leis de privacidade. No Estado de Nova Iorque existe a 23 NYCRR 500, que se aplica a instituições financeiras a operar em Nova Iorque. Na Califórnia, existe a California Consumer Privacy Act (CCPA), que se assemelha bastante ao GDPR.
A CCPA destina-se a alargar o direito constitucional dos consumidores à privacidade, dando-lhes uma forma eficaz de controlar a sua informação pessoal. O diploma foi aprovado pela Assembleia Legislativa do Estado da Califórnia e entrou em vigor em janeiro de 2020.
Tailândia
Em fevereiro de 2019 foi aprovado o Thailand Personal Data Protection Act (PDPA), mas a data de entrada em vigor foi adiada. A lei está em vigor desde 1 de junho de 2022. A PDPA é semelhante ao GDPR, na medida em que inclui uma definição ampla de dados pessoais, a obrigação de estabelecer uma base legal para a recolha e utilização de dados pessoais, e sanções elevadas em caso de violação. As coimas são mais baixas, embora exista a possibilidade de pena de prisão.
As 3 maiores coimas do GDPR
#1 Amazon — coima de 746 milhões de euros
Foi aplicada uma coima de 746 milhões de euros pela Comissão Nacional de Proteção de Dados do Luxemburgo (CNDP) à Amazon.com Inc. Foi aberta uma investigação devido a uma queixa apresentada por 10 000 pessoas contra a Amazon em maio de 2018. A CNDP concluiu que a Amazon tinha violado o GDPR quando o seu sistema de segmentação de publicidade falhou em obter o devido consentimento dos utilizadores.
#2 WhatsApp — coima de 225 milhões de euros
A Comissão de Proteção de Dados da Irlanda (DPC) aplicou uma coima do GDPR à WhatsApp Ireland a 2 de setembro de 2021. O princípio da transparência foi violado pela WhatsApp Ireland Ltd, e a empresa não forneceu informação adequada aos utilizadores. Em 2021, a WhatsApp atualizou o seu Aviso de Privacidade do Utilizador para aumentar a transparência sobre o tratamento dos dados pessoais dos utilizadores.
#3 Google LLC — coima de 90 milhões de euros
A CNIL (Commission nationale de l'informatique et des libertés) aplicou uma coima de 90 milhões de euros à Google LLC. Os utilizadores do YouTube em França não podiam recusar cookies tão facilmente como aceitá-los. Quando os utilizadores são desencorajados de recusar cookies, a empresa beneficia, e isso é considerado uma violação do GDPR.
Como alinhar com o GDPR com a Safetica
A Safetica ajuda-o a monitorizar o fluxo de dados dentro do seu ambiente de TI, bem como quando estes saem do perímetro da sua empresa. Pode definir regras específicas que o ajudam a cumprir o GDPR. Conseguirá ver como os colaboradores trabalham com dados pessoais e outros dados sensíveis, e poderá eliminar o risco de utilização indevida ou de violação acidental de políticas. O sistema notifica-o em tempo real em caso de ameaça à segurança.
A privacidade e a proteção de dados pessoais devem ser um direito absoluto de todos no mundo moderno. É por isso que, na Safetica, colocamos estas proteções no centro de cada um dos nossos produtos ,
diz o CISO da Safetica, Radim Trávníček.
Se quiser saber mais sobre conformidade regulamentar e a Safetica, consulte esta hiperligação ou marque uma demonstração com os nossos especialistas em segurança.