GDPR significa General Data Protection Regulation. O GDPR é um regulamento de proteção da União Europeia que entrou em vigor a 25 de maio de 2018. Aplica-se a todas as organizações que tratam dados pessoais de residentes na UE. Isto significa que tanto empresas na UE como no estrangeiro são afetadas. O GDPR é o regulamento de proteção de dados pessoais mais rigoroso e complexo do mundo.
Existem dois tipos de dados — pessoais e não pessoais.
Dados pessoais são quaisquer informações que podem direta ou indiretamente conduzir a uma pessoa singular identificada ou identificável. O General Data Protection Regulation usa o termo "informação" em vez de "dados", uma vez que os dados tendem a ter um valor informativo. Qualquer tipo de informação pessoal pode ser ligado a uma pessoa viva específica.
Os dados não pessoais nunca estão ligados a uma pessoa singular identificada ou identificável. Esta categoria inclui dados que foram anteriormente classificados como pessoais, embora a ligação a uma pessoa singular tenha sido removida.
Vários tipos de ações com dados pessoais são considerados tratamento de dados pessoais: recolha, registo, organização, estruturação, conservação, adaptação ou alteração, recuperação, consulta, utilização, divulgação por transmissão, difusão ou disponibilização, alinhamento ou combinação, restrição, apagamento ou destruição .
As regras do GDPR aplicam-se a empresas que tratam dados pessoais total ou parcialmente, utilizando processamento automatizado ou manual, ou se os dados fizerem parte de um sistema de ficheiros estruturado.
O General Data Protection Regulation aplica-se ao tratamento de dados pessoais. As empresas precisam de proteger os seguintes dados pessoais:
A finalidade do General Data Protection Regulation é proteger a privacidade dos cidadãos. Por isso, as empresas são obrigadas a proteger os dados pessoais destes cidadãos e não podem tratá-los nem vendê-los a terceiros sem o seu consentimento.
No passado, as empresas vendiam dados umas às outras sem o consentimento dos titulares dos dados. O GDPR visa criar uma norma uniforme e padronizada para a proteção de dados pessoais dentro da UE.
Outra finalidade do GDPR é modernizar as antigas regras para que se alinhem com a sociedade digital moderna.
O GDPR destina-se a ajudar os cidadãos da UE a compreender como os seus dados estão a ser usados e a saber como apresentar reclamações. O objetivo é dar às pessoas o controlo sobre os seus dados pessoais. Os cidadãos têm os seguintes direitos:
O General Data Protection Regulation impacta todas as organizações que tratam dados pessoais de cidadãos da UE, incluindo todas as empresas que oferecem bens e serviços ou empregam pessoas na UE, mesmo que a entidade esteja sediada fora da UE.
O GDPR aplica-se a empresas, associações, organizações, autoridades e, em alguns casos, pessoas singulares.
O GDPR cobre toda a União Europeia, aplica-se a todos os Estados-Membros e abrange os países do Espaço Económico Europeu, como a Islândia, o Liechtenstein, a Noruega e o Reino Unido.
No caso de uma violação do GDPR, existem dois tipos de coimas que as empresas podem ser obrigadas a pagar.
As coimas do GDPR aplicam-se a todos os tipos de empresas, das maiores às mais pequenas.
As coimas são definidas para cada caso individual e devem ser eficazes, proporcionadas e dissuasoras. Existe um catálogo de critérios usado para definir uma coima adequadamente elevada. São considerados os seguintes critérios:
Quando o GDPR entrou em vigor, entrou também a nova Lei de Privacidade da Alemanha (BDSG-new). Complementa, especifica e modifica o GDPR e foca-se em tópicos específicos. A BDSG-new aplica-se a empresas privadas sediadas na Alemanha e que tratam dados pessoais na Alemanha, mas também a empresas que oferecem bens e serviços na Alemanha ou monitorizam o comportamento de titulares de dados na Alemanha.
O Brasil lançou a LGPD em setembro de 2020, logo após o GDPR. São muito semelhantes em termos de âmbito e aplicabilidade. As empresas que queiram fazer negócios na economia do Brasil têm de cumprir a LGPD.
O Protection of Personal Information Act (POPIA) da África do Sul aplica-se desde julho de 2020. Há algumas diferenças entre o GDPR e a POPIA quanto ao rigor das leis. O GDPR tem coimas mais elevadas, mas a POPIA inclui sanções penais.
A Lei de Proteção de Dados Pessoais da Turquia (LPDP) foi alterada várias vezes desde 2016 e está a aproximar-se do GDPR, especialmente no que toca ao tratamento de dados pessoais.
Cada estado tem as suas próprias leis de privacidade. No Estado de Nova Iorque existe a 23 NYCRR 500, que se aplica a instituições financeiras a operar em Nova Iorque. Na Califórnia, existe a California Consumer Privacy Act (CCPA), que se assemelha bastante ao GDPR.
A CCPA destina-se a alargar o direito constitucional dos consumidores à privacidade, dando-lhes uma forma eficaz de controlar a sua informação pessoal. O diploma foi aprovado pela Assembleia Legislativa do Estado da Califórnia e entrou em vigor em janeiro de 2020.
Em fevereiro de 2019 foi aprovado o Thailand Personal Data Protection Act (PDPA), mas a data de entrada em vigor foi adiada. A lei está em vigor desde 1 de junho de 2022. A PDPA é semelhante ao GDPR, na medida em que inclui uma definição ampla de dados pessoais, a obrigação de estabelecer uma base legal para a recolha e utilização de dados pessoais, e sanções elevadas em caso de violação. As coimas são mais baixas, embora exista a possibilidade de pena de prisão.
Foi aplicada uma coima de 746 milhões de euros pela Comissão Nacional de Proteção de Dados do Luxemburgo (CNDP) à Amazon.com Inc. Foi aberta uma investigação devido a uma queixa apresentada por 10 000 pessoas contra a Amazon em maio de 2018. A CNDP concluiu que a Amazon tinha violado o GDPR quando o seu sistema de segmentação de publicidade falhou em obter o devido consentimento dos utilizadores.
A Comissão de Proteção de Dados da Irlanda (DPC) aplicou uma coima do GDPR à WhatsApp Ireland a 2 de setembro de 2021. O princípio da transparência foi violado pela WhatsApp Ireland Ltd, e a empresa não forneceu informação adequada aos utilizadores. Em 2021, a WhatsApp atualizou o seu Aviso de Privacidade do Utilizador para aumentar a transparência sobre o tratamento dos dados pessoais dos utilizadores.
A CNIL (Commission nationale de l'informatique et des libertés) aplicou uma coima de 90 milhões de euros à Google LLC. Os utilizadores do YouTube em França não podiam recusar cookies tão facilmente como aceitá-los. Quando os utilizadores são desencorajados de recusar cookies, a empresa beneficia, e isso é considerado uma violação do GDPR.
A Safetica ajuda-o a monitorizar o fluxo de dados dentro do seu ambiente de TI, bem como quando estes saem do perímetro da sua empresa. Pode definir regras específicas que o ajudam a cumprir o GDPR. Conseguirá ver como os colaboradores trabalham com dados pessoais e outros dados sensíveis, e poderá eliminar o risco de utilização indevida ou de violação acidental de políticas. O sistema notifica-o em tempo real em caso de ameaça à segurança.
A privacidade e a proteção de dados pessoais devem ser um direito absoluto de todos no mundo moderno. É por isso que, na Safetica, colocamos estas proteções no centro de cada um dos nossos produtos ,
diz o CISO da Safetica, Radim Trávníček.
Se quiser saber mais sobre conformidade regulamentar e a Safetica, consulte esta hiperligação ou marque uma demonstração com os nossos especialistas em segurança.