Nova lei de Protecção de Dados Europeia – GDPR

Já está preparado para a nova lei europeia?

 

SE TEM UM WEBSITE OU PROCESSA DADOS DE PESSOAS OU EMPRESAS ESTA INFORMAÇÃO É PARA SI.

É OBRIGATÓRIO ADAPTAR O SEU WEBSITE À NOVA LEI GDPR ATÉ MAIO 2018

O GDPR foi aprovado e adotado pelo Parlamento da UE em abril de 2016. O regulamento entrará em vigor após um período de transição de dois anos e, ao contrário de uma diretiva, não exige a aprovação de qualquer legislação por parte do governo; o que significa que estará em vigor em maio de 2018.

O GDPR não se aplica apenas a organizações localizadas dentro da UE, mas também se aplica a organizações localizadas fora da UE se oferecerem bens ou serviços para, ou monitorizarem o comportamento de, sujeitos a dados da UE. Aplica-se a todas as empresas que processam e detêm os dados pessoais dos titulares de dados residentes na União Europeia, independentemente da localização da empresa.

As organizações podem ser multadas em até 4% do faturamento global anual por violar o GDPR ou 20 milhões de euros. Essa é a multa máxima que pode ser imposta para as infrações mais graves, por exemplo, não ter o consentimento suficiente do cliente para processar dados ou violar o núcleo dos conceitos de Privacidade por Design. Existe uma abordagem escalonada para multas, uma empresa pode ser multada em 2% por não ter seus registos em ordem (artigo 28), não notificando a autoridade supervisora e o titular dos dados sobre uma violação ou não a avaliação de impacto. É importante observar que essas regras se aplicam tanto aos controladores quanto aos processadores – o que significa que as nuvens não estarão isentas da aplicação do GDPR.

Qualquer informação relacionada a uma pessoa física ou “Assunto dos Dados”, que possa ser usada para identificar direta ou indiretamente a pessoa. Pode ser qualquer coisa, desde um nome, uma foto, um endereço de e-mail, dados bancários, postagens em sites de redes sociais, informações médicas ou um endereço IP do computador.

Um controlador é a entidade que determina as finalidades, condições e meios do processamento de dados pessoais, enquanto o processador é uma entidade que processa dados pessoais em nome do controlador.

As condições de consentimento foram reforçadas, pois as empresas não poderão mais utilizar termos e condições longos e ilegíveis, cheios de legalistas, pois o pedido de consentimento deve ser dado de forma inteligível e de fácil acesso, com o objectivo de processamento de dados anexado. esse consentimento – o que significa que deve ser inequívoca. O consentimento deve ser claro e distinguível de outros assuntos e ser fornecido de uma forma inteligível e de fácil acesso, usando linguagem clara e clara. Deve ser tão fácil retirar o consentimento quanto é para dar-lhe consentimento explícito é necessário apenas para o processamento de dados pessoais sensíveis – neste contexto, nada menos do que “opt in” será suficiente. No entanto, para dados não sensíveis, o consentimento “inequívoco” será suficiente.

O consentimento dos pais será exigido para processar os dados pessoais de crianças menores de 16 anos para serviços online; os estados membros podem legislar para uma menor idade de consentimento, mas isso não será menor do que a idade de 13 anos.

Um regulamento é um ato legislativo vinculativo. Deve ser aplicado na sua totalidade em toda a UE, enquanto uma directiva é um acto legislativo que estabelece um objectivo que todos os países da UE devem alcançar. No entanto, cabe aos países individuais decidir como. É importante notar que o GDPR é um regulamento, em contraste com a legislação anterior, que é uma directiva.

As DPDs devem ser nomeadas no caso de: (a) autoridades públicas, (b) organizações que se envolvam em monitoramento sistemático em larga escala, ou (c) organizações que se envolvam no processamento em larga escala de dados pessoais sensíveis (Art. 37). Se sua organização não se enquadra em uma dessas categorias, não é necessário nomear um DPD.

Os regulamentos propostos relacionados a violações de dados referem-se principalmente às políticas de notificação de empresas que foram violadas. Violações de dados que possam representar um risco para os indivíduos devem ser notificadas ao DPD dentro de 72 horas e aos indivíduos afectados sem demora indevida.