Regulamento Geral de Proteção de Dados ou GDPR
O Regulamento Geral de Proteção de Dados (GDPR) é uma legislação que atualiza e unifica as leis de privacidade de dados em toda a União Europeia (UE). O GDPR foi aprovado pelo Parlamento da UE em 14 de abril de 2016 e entrou em vigor naquela jurisdição em 25 de maio de 2018.
Na Europa, o GDPR substitui a Diretiva de Proteção de Dados da UE de 1995. A nova diretiva se concentra em manter as empresas mais transparentes e expandir os direitos de privacidade dos titulares dos dados. Quando uma violação grave de informações é detectada, o regulamento exige que a empresa notifique todas as pessoas afetadas e a autoridade supervisora em 72 horas. Os mandatos do regulamento aplicam-se a todos os dados produzidos por cidadãos da UE, independentemente de a empresa que recolhe as informações em questão estar localizada na UE ou não, bem como todas as pessoas cujos dados são armazenados na UE, independentemente de serem ou não serem, na verdade, cidadãos da União Europeia.
De acordo com o GDPR, as empresas não podem processar legalmente as informações de identificação pessoal de qualquer pessoa, sem atender, pelo menos, uma das seis condições abaixo:
- Expressar o consentimento do titular dos dados;
- O processamento é necessário para a execução de um contrato com o interessado ou para a celebração de um contrato;
- O processamento é necessário para cumprir uma obrigação legal;
- O processamento é necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa;
- O processamento é necessário para o desempenho de uma tarefa de interesse público ou no exercício da autoridade oficial conferida ao controlador;
- O processamento é necessário para atender aos interesses legítimos do controlador ou de um terceiro, exceto quando tais interesses sejam anulados pelos interesses, direitos ou liberdades do titular dos dados.
Além disso, as empresas que realizam processamento de dados ou monitoram titulares de dados em grande escala devem nomear um responsável pela proteção de dados (DPO). DPO é a figura responsável pela governança dos dados e por garantir que a empresa cumpra com o GDPR. Se uma empresa não cumprir o regulamento, as consequências legais podem incluir multas de até 20 milhões de euros ou 4% do volume de negócios global anual da empresa.
De acordo com o GDPR, os direitos dos titulares dos dados incluem:
Direito ao esquecimento: os interessados podem solicitar o apagamento dos seus dados de identificação pessoal do armazenamento de uma empresa. A companhia tem o direito de rejeitar solicitações, se puder demonstrar com êxito a legalidade de sua rejeição;
Direito de acesso: as partes interessadas podem revisar os dados que uma organização armazenou sobre elas;
Direito de contestar: os titulares dos dados podem recusar a permissão de uma empresa para usar ou processar suas informações. A empresa pode ignorar a recusa se cumprir uma das condições legais para o tratamento dos dados pessoais do titular, mas deve notificá-lo e explicar suas razões;
Direito à retificação: os titulares dos dados podem esperar que informações pessoais imprecisas sejam corrigidas;
Direito de portabilidade: os titulares podem acessar os dados pessoais que uma empresa possui sobre eles e transferi-los.
Alguns críticos expressaram preocupações sobre a saída do Reino Unido da UE, questionando se isso afetará a conformidade do país com o GDPR. Neste momento, espera-se que o Reino Unido atualize a Lei de Proteção de Dados de 1998 com uma nova lei, chamada Lei de Proteção de Dados 2017. No entanto, como as empresas no Reino Unido costumam fazer negócios com clientes ou outras organizações em estados-membros da UE, espera-se que suas empresas cumpram com o regulamento geral de proteção de dados, seja diretamente ou por meio de um "teste de adequação" aceito pelas autoridades europeias.
