Capítulos 01 Em vigor: 25 de maio de 2018

GDPR

Regulamento Geral sobre a Proteção de Dados

Visão Geral

O Regulamento Geral sobre a Proteção de Dados (GDPR) é a pedra angular da legislação de proteção de dados da UE. Substituiu a Diretiva de Proteção de Dados 95/46/CE e fortaleceu significativamente os direitos dos indivíduos sobre seus dados pessoais, ao mesmo tempo em que impôs obrigações abrangentes aos controladores e processadores de dados.[1]

O GDPR aplica-se a qualquer organização que processe dados pessoais de indivíduos na UE, independentemente de onde a organização esteja estabelecida. Esse escopo extraterritorial tornou o GDPR um padrão global de fato para a proteção de dados.[2]

Quem Deve Cumprir

  • Controladores de Dados: Organizações que determinam as finalidades e os meios do processamento de dados pessoais
  • Processadores de Dados: Organizações que processam dados pessoais em nome dos controladores
  • Entidades fora da UE: Qualquer organização que ofereça bens/serviços a residentes da UE ou monitore seu comportamento
  • Todos os setores: Aplica-se a todos os setores com exceções limitadas para aplicação da lei e segurança nacional

Requisitos Principais para Desenvolvedores

Base Legal para o Processamento

Cada operação de processamento deve ter uma base legal válida conforme o Artigo 6:[3]

  1. Consentimento: Livre, específico, informado e inequívoco
  2. Contrato: Necessário para a execução de contrato com o titular dos dados
  3. Obrigação legal: Exigida por lei da UE ou Estado-Membro
  4. Interesses vitais: Proteção da vida do titular dos dados ou de outra pessoa
  5. Interesse público: Necessário para tarefa de interesse público ou autoridade oficial
  6. Interesses legítimos: Balanceados com os direitos do titular dos dados (não disponível para autoridades públicas)

Requisitos Técnicos

  • Minimização de dados: Coletar apenas o necessário para a finalidade especificada
  • Limitação de armazenamento: Reter dados pessoais apenas pelo tempo necessário
  • Integridade e confidencialidade: Implementar medidas de segurança apropriadas
  • Privacidade desde a concepção e por padrão: Incorporar proteção de dados nos sistemas desde o início (Artigo 25)[4]

Direitos dos Titulares dos Dados

As aplicações devem suportar os seguintes direitos:

DireitoDescriçãoTempo de Resposta
Acesso (Art. 15)Fornecer cópia dos dados pessoais e informações sobre o processamento1 mês
Retificação (Art. 16)Corrigir dados pessoais imprecisosSem demora injustificada
Eliminação (Art. 17)Excluir dados quando não forem mais necessáriosSem demora injustificada
Restrição (Art. 18)Limitar o processamento em circunstâncias específicasSem demora injustificada
Portabilidade (Art. 20)Fornecer dados em formato legível por máquina1 mês
Oposição (Art. 21)Opor-se ao processamento baseado em interesses legítimosSem demora injustificada

Notificação de Violação

  • À autoridade supervisora: Dentro de 72 horas após tomar conhecimento (Artigo 33)[5]
  • Aos titulares dos dados: Sem demora injustificada quando houver alto risco para direitos e liberdades (Artigo 34)
  • Documentação: Manter registros de todas as violações independentemente da exigência de notificação

Penalidades

O GDPR estabelece uma estrutura de penalidades escalonada:

  • Escalão inferior: Até €10 milhões ou 2% do faturamento global anual, o que for maior
  • Escalão superior: Até €20 milhões ou 4% do faturamento global anual, o que for maior[6]

Multas significativas aplicadas incluem:

  • Amazon (Luxemburgo, 2021): €746 milhões
  • Meta/Facebook (Irlanda, 2023): €1,2 bilhões
  • Google (França, 2022): €90 milhões

Lista de Verificação para Implementação

  • Identificar todas as atividades de processamento de dados pessoais
  • Estabelecer base legal para cada operação de processamento
  • Implementar gestão de consentimento quando aplicável
  • Criar avisos de privacidade que atendam aos requisitos de transparência
  • Construir mecanismos para atendimento de solicitações dos titulares dos dados
  • Implementar medidas de segurança apropriadas
  • Estabelecer procedimentos de detecção e notificação de violações
  • Realizar Avaliações de Impacto sobre a Proteção de Dados para processamentos de alto risco
  • Nomear Encarregado de Proteção de Dados se necessário
  • Manter Registros das Atividades de Processamento (RoPA)

Fontes e Referências

[1]
Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho. EUR-Lex: Texto Oficial do GDPR
[2]
Escopo territorial do GDPR, Artigo 3. GDPR.eu: Escopo Territorial
[3]
Licitude do processamento, Artigo 6. GDPR-Info: Artigo 6
[4]
Proteção de dados desde a concepção e por padrão, Artigo 25. GDPR-Info: Artigo 25
[5]
Notificação de violação de dados pessoais, Artigo 33. GDPR-Info: Artigo 33
[6]
Multas administrativas, Artigo 83. GDPR-Info: Artigo 83