O que preciso saber sobre a legislação GDPR?

Legislação de privacidade

A legislação sobre privacidade não é novidade. Dentro da União Europeia (UE), cada Estado-membro possui atualmente sua própria lei de privacidade. Essas leis nacionais são todas baseadas na Diretiva Europeia de Privacidade de 1995. Nos Países Baixos, a implementação nacional dessa diretiva é a Lei de Proteção de Dados Pessoais (Wbp).

A partir de 25 de maio de 2018, o Regulamento Geral de Proteção de Dados (RGPD) entrou em vigor. Isso significa que, a partir dessa data, apenas uma lei de privacidade se aplica em toda a UE. A Lei de Proteção de Dados da Holanda (Wbp) deixou de ser aplicável, mas os princípios básicos dessa legislação ainda constituem o núcleo do novo RGPD. A Autoridade Holandesa de Proteção de Dados supervisiona o cumprimento das normas legais para a proteção de dados pessoais.

Qual é o objetivo geral do RGPD?

O objetivo geral do Regulamento Geral de Proteção de Dados (RGPD) é proteger os cidadãos da UE no âmbito das normas de privacidade e dos dados pessoais. O RGPD confere direitos relativos aos dados pessoais partilhados com as organizações que recolhem, armazenam e processam esses dados.

A quem se aplica o RGPD?

O RGPD aplica-se a qualquer organização que recolha dados pessoais de cidadãos da UE. Uma organização não precisa de estar estabelecida na UE para estar sujeita ao RGPD. Se uma organização estiver localizada fora da UE e recolher dados pessoais dentro da UE, o RGPD aplica-se a essa organização.

O que vai mudar?

O novo RGPD reforça as regulamentações da atual Lei de Proteção de Dados Pessoais. Em última análise, muita coisa permanece igual. A minimização de dados, o direito ao esquecimento, as obrigações de informação e os contratos de processamento de dados sempre fizeram parte da lei, embora por vezes com nomes diferentes.
Uma política de privacidade sólida, uma declaração de privacidade clara, contratos sólidos entre processadores e controladores de dados e um procedimento de violação de dados também continuam a ser importantes.

Muitas regras existentes foram significativamente reforçadas no novo RGPD, e diversas novas obrigações foram adicionadas. Dá-se maior ênfase à responsabilidade das próprias organizações em cumprir a lei e em ser capazes de demonstrar esse cumprimento.

O que posso fazer por mim mesmo?

Como organização, você já pode tomar medidas para estar em conformidade com o RGPD. Para ajudar, a Autoridade Holandesa de Proteção de Dados listou os 10 passos mais importantes.

O que são dados pessoais?

O RGPD especifica que dados pessoais são quaisquer informações relativas a uma pessoa singular identificada ou identificável. Existem muitos tipos de dados pessoais. Dados óbvios incluem o nome, endereço e local de residência de uma pessoa. Mas números de telefone e códigos postais com números de casas também são dados pessoais. Dados sensíveis, como a raça, religião ou saúde de uma pessoa, também são chamados de categorias especiais de dados pessoais. Estes recebem proteção adicional por lei.

O que implica o processamento de dados pessoais?

O termo "processamento" refere-se a todas as ações que uma organização pode realizar com dados pessoais, desde a coleta até a destruição. A lei lista os seguintes exemplos de processamento: coleta, registro, organização, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização, alinhamento ou combinação, restrição, eliminação e destruição de dados.
A lei estipula que uma organização só pode processar dados pessoais se isso for necessário para uma finalidade específica.

Princípios de processamento

O RGPD introduz princípios fundamentais que todo o tratamento de dados pessoais deve cumprir:

• Os dados pessoais devem ser tratados de forma justa, lícita e transparente;
• Os dados pessoais só podem ser tratados para uma finalidade específica e explícita;
• Somente os dados pessoais necessários para a finalidade específica podem ser processados;
• Os dados devem estar corretos e atualizados;
• Se a identificação não for mais necessária para a finalidade em questão, os dados pessoais deverão ser apagados ou anonimizados; e
• Os dados pessoais devem ser protegidos por meio de medidas técnicas e organizacionais.

Terminologia de controlador/processador

O RGPD utiliza os termos "controlador" e "operador" em vez dos termos "responsável" e "operador" da Lei de Proteção de Dados Pessoais (Wbp). A tradução holandesa do RGPD apresenta as seguintes definições:

Controlador de Dados:
Pessoa física ou jurídica, autoridade pública, agência ou outro organismo que, individualmente ou em conjunto com outros, determina as finalidades e os meios de tratamento de dados pessoais. Estes são os clientes da Teqa que i-Reserve adquirem

Processador:
Pessoa física ou jurídica, autoridade pública, agência ou outro organismo que processa dados pessoais em nome do controlador. Este é o nosso caso, enquanto organização, fornecedor do i-Reserve hospedagem i-Reserve.

O titular dos dados
é a pessoa cujos dados pessoais uma organização processa. Isso significa a pessoa a quem os dados pessoais se referem. São os seus clientes, os usuários finais.

Tratamento de dados pessoais sensíveis.
Além dos dados pessoais comuns, a lei também reconhece os dados pessoais sensíveis. Trata-se de dados tão sensíveis que o seu tratamento pode comprometer seriamente a privacidade de alguém. De acordo com o RGPD, o tratamento de dados pessoais sensíveis é proibido, salvo se se aplicar uma exceção.

Dados pessoais sensíveis são dados pessoais que revelem a origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos para fins de identificação inequívoca de uma pessoa, dados relativos à saúde, vida sexual ou orientação sexual. Portanto, tais dados só podem ser tratados sob condições muito rigorosas.

Quais são as mudanças mais importantes para as organizações?

Caso o Regulamento Geral de Proteção de Dados (RGPD) se aplique, as organizações que processam dados pessoais têm mais obrigações.

Consentimento:
Um novo requisito é que a organização deve ser capaz de demonstrar que obteve o consentimento válido dos indivíduos para processar seus dados pessoais. Além disso, deve ser tão fácil para as pessoas revogarem seu consentimento quanto concedê-lo. Essa revogação deve ser uma expressão de vontade inequívoca. Portanto, nada de caixas pré-marcadas! A solicitação de consentimento deve ser clara, compreensível e apresentada em linguagem simples.
Em última análise, como organização, você deve ser capaz de comprovar que o titular dos dados deu seu consentimento. O titular dos dados tem o direito de revogar o consentimento a qualquer momento e deve ser informado desse direito.

OBSERVAÇÃO:
Solicitar o consentimento para o registro de dados pessoais nem sempre é necessário. Por exemplo, desde que os dados registrados se limitem ao necessário para a execução do contrato firmado. Em outros casos, você deve solicitar o consentimento. Para saber o que se aplica a você, clique aqui.

Obrigação Administrativa:
O RGPD impõe uma obrigação de documentação, o que significa que a organização deve ser capaz de demonstrar que está atuando em conformidade com o RGPD. Isso inclui consentimento, informações fornecidas, direitos do titular dos dados, segurança de dados, minimização do processamento e contratos com processadores. Portanto: Mapeie as atividades de processamento de dados dentro da organização. Muitas organizações precisarão atualizar suas declarações de privacidade, e isso é importante. A ausência de uma declaração de privacidade (completa) resultará em multas elevadas.

Assim que o RGPD entrar em vigor, a obrigação, nos termos do Wbp, de notificar as operações de tratamento de dados à autoridade de controlo deixa de ser obrigatória. Em vez disso, as organizações devem manter, por conta própria, um registo das atividades de tratamento ("registo de tratamento") que ocorram sob a sua responsabilidade.

Contrato de Processamento de Dados:
A celebração de um contrato de processamento de dados não é novidade, visto que já é obrigatória pela Lei de Proteção de Dados Holandesa (Wbp). De acordo com o GDPR, este contrato passa a ser denominado contrato de processamento de dados e aplica-se entre o controlador dos dados pessoais e a entidade que processa esses dados (atualmente conhecida como processadora, em breve denominada processadora). A novidade, contudo, reside na especificação de diversos elementos obrigatórios para este contrato, incluindo:

• a finalidade do processamento;
• o tipo de dados pessoais que estão sendo processados;
• as categorias de titulares de dados;
• que serão tomadas as medidas de segurança adequadas;
• que o processador coopere com as auditorias para verificar se ele cumpre todas as obrigações;
• após o processamento, destruição ou devolução dos dados pessoais ao controlador

A partir de agora, o processador não poderá mais contratar terceiros para processar dados pessoais sem o consentimento prévio e por escrito do controlador.

A Avaliação de Impacto na Privacidade (AIP),
também conhecida como "gegevensbeschermingseffectbeoordeling" em holandês, é uma ferramenta indispensável para que as organizações estimem ou avaliem o impacto na privacidade. Por meio da AIP, a proteção de dados pessoais pode ser incorporada de forma estruturada ao equilíbrio de interesses e à tomada de decisões dentro das organizações.

A Lei de Proteção de Dados Pessoais (PIA) especifica por que, como e por quanto tempo os dados pessoais são processados. Uma Avaliação de Impacto sobre a Privacidade é obrigatória se o processamento de dados pessoais, especialmente por meio de novas tecnologias, representar riscos para os titulares dos dados.

Requisitos de Notificação de Violação de Dados:
Já temos esse requisito na legislação holandesa: notificação de violação de dados. Esse requisito também está incorporado ao GDPR e permanece praticamente inalterado. No entanto, o GDPR impõe requisitos mais rigorosos quanto ao seu próprio registro de violações de dados ocorridas em sua organização. Você é obrigado a documentar todas as violações de dados.

Evite o estresse planejando com antecedência como você responderá caso ocorra um risco de segurança. Por exemplo, como controlador de dados, em algumas situações você deve notificar a Autoridade Holandesa de Proteção de Dados sobre uma violação de dados em até 72 horas. Se a violação representar um alto risco para os indivíduos cujos dados foram afetados, eles também devem ser notificados. Portanto, defina um fluxo de trabalho para incidentes de segurança com antecedência, permitindo que as pessoas certas tomem decisões oportunas sobre as ações a serem tomadas.

A Autoridade Holandesa de Proteção de Dados publicou normas sobre a notificação de violações de dados.

Você pode precisar de um encarregado de proteção de dados.
Um encarregado de proteção de dados (DPO, na sigla em inglês) é uma pessoa independente dentro da organização que assessora e reporta sobre a conformidade com o RGPD (Regulamento Geral de Proteção de Dados). Embora o DPO não fosse obrigatório sob a Lei de Proteção de Dados Holandesa (Wbp), ele é exigido pelo RGPD em algumas situações. A lei exige um DPO quando você processa dados pessoais sensíveis, como dados de saúde, em larga escala, ou se você monitora pessoas regularmente (fisicamente ou digitalmente). Um DPO pode ser nomeado internamente, mas também pode ser nomeado externamente.

Direitos do titular dos dados
Os dados pessoais devem ser tratados de forma lícita, leal e transparente em relação ao titular dos dados. A transparência é fundamental: o titular dos dados deve ser informado sobre o que acontece com seus dados pessoais. Tudo deve ser comunicado em linguagem simples e clara.
Além dos já conhecidos direitos de acesso, retificação e oposição, o titular dos dados também possui, de acordo com o RGPD:

• o direito ao esquecimento,
• o direito à portabilidade de dados (também conhecido como portabilidade de dados),
• o direito de restringir o processamento e
• Direito de oposição a determinados tratamentos. O titular dos dados tem o direito de se opor, a qualquer momento, ao tratamento dos seus dados para fins de marketing direto. Caso o titular dos dados apresente tal objeção, os seus dados deixarão de ser tratados para fins de marketing.

Direito de acesso:
O titular dos dados tem o direito de obter do controlador a confirmação de que seus dados pessoais estão sendo processados. Quando os dados pessoais estiverem sendo processados, o titular dos dados tem o direito de ser informado sobre esses dados. O titular dos dados tem o direito de ser informado, entre outras coisas, sobre:

• as finalidades do processamento;
• as categorias de dados pessoais em questão;
• os destinatários a quem os dados pessoais são fornecidos;
• o período de armazenamento;
• o fato de o titular dos dados ter o direito de solicitar a retificação, o apagamento ou a restrição do processamento e o direito de se opor;
• o fato de o titular dos dados poder apresentar uma reclamação.

Direito à retificação e direito de oposição.
O titular dos dados tem o direito de obter do controlador a retificação de dados pessoais inexatos. Isso deve ser feito sem demora injustificada. O titular dos dados pode opor-se a certos tipos de tratamento de dados, o que pode levar à interrupção do tratamento dos seus dados pessoais. Considere uma organização que utiliza dados pessoais para fins de marketing. (Atualmente, já existe um direito absoluto de oposição ao marketing direto. Se um titular dos dados exercer esse direito, você não poderá mais contatá-lo para fins de marketing.)

Direito ao esquecimento.
Em algumas situações, o titular dos dados tem o direito de ter seus dados completamente apagados. O RGPD (Regulamento Geral sobre a Proteção de Dados) adiciona fundamentos adicionais para este último direito. O RGPD introduz o direito ao esquecimento. Isso significa que o controlador deve apagar os dados pessoais sem demora injustificada, por exemplo, quando os dados pessoais não forem mais necessários para os fins para os quais foram coletados ou estão sendo processados ​​posteriormente. Também é obrigatório informar as partes com quem os dados foram compartilhados em resposta a tal solicitação. Os nomes dessas partes devem, portanto, ser compartilhados com o titular dos dados. O controlador deve tomar medidas razoáveis ​​para apagar os dados, bem como para eliminar qualquer vínculo, cópia ou reprodução.

Confira também a opção de anonimizar no i-Reserve.

Direito à portabilidade de dados
O RGPD introduz o direito à portabilidade de dados, ou seja, à transferência de dados pessoais. Isso significa que você pode receber solicitações de seus clientes para disponibilizar seus dados pessoais. Isso se aplica a todos os dados digitais que uma organização processa com o consentimento do titular dos dados, além dos dados necessários para a execução de um contrato. O histórico de pesquisa ou dados de localização também estão abrangidos pelo direito à portabilidade. Como organização, você é legalmente obrigado a fornecer os dados em um formato "estruturado, de uso comum e legível por máquina". Você pode se preparar para isso pensando desde já em como disponibilizará os dados. Por exemplo, por meio de uma ferramenta que permita que seus clientes baixem seus dados diretamente de forma segura.

Se tecnicamente possível, o controlador deve encaminhar os dados diretamente para outro controlador. Isso pode ser feito, por exemplo, por meio de uma Interface de Programação de Aplicativos (API), que permite a conexão entre o seu sistema e um aplicativo de terceiros.

No i-Reserve seus próprios dados baixe, que o administrador exporte ou que os dados sejam encaminhados por meio de uma API .

Privacidade por padrão e Privacidade por concepção.
O RGPD introduz a obrigação de proteger os dados através de configurações padrão (Privacidade por padrão) e através de funcionalidades ajustáveis ​​(Privacidade por concepção) no software.

O requisito de Privacidade por Padrão significa que você deve implementar medidas técnicas e organizacionais para garantir que, por padrão, você processe apenas os dados pessoais necessários para a finalidade específica que pretende alcançar. Por exemplo, nos casos em que os usuários podem ajustar suas próprias configurações de privacidade, elas devem ser definidas para o nível mais alto por padrão.

A obrigação de Privacidade por Design significa que você deve garantir que os dados pessoais sejam protegidos ao projetar produtos, serviços e processos organizacionais.

Exemplos:

• Ao oferecer um aplicativo, não permita que os usuários registrem sua localização se isso não for necessário;
• Não marque previamente a caixa "Sim, quero receber ofertas" no site;
• Se alguém quiser se inscrever em uma newsletter, não peça mais dados do que o necessário.

Clique aqui para ver o que i-Reserve faz para proteger e garantir a segurança dos dados pessoais.

A segurança deve estar em ordem – e permanecer assim
. Proteger dados pessoais é crucial. Sem criptografia, autenticação de dois fatores e a capacidade de separar e apagar informações pessoais com segurança, sua organização corre um risco significativo.

Violações e Sanções:
A multa máxima por violação da atual Lei de Privacidade (Wbp) é de € 900.000. O RGPD concede às autoridades nacionais de supervisão maiores poderes para sancionar violações do RGPD. As multas são substanciais, podendo chegar a € 20 milhões ou 4% do faturamento anual global, caso uma organização não cumpra os requisitos da lei. As multas impostas nos Países Baixos são emitidas pela autoridade de supervisão designada: a Autoridade Holandesa de Proteção de Dados (AP).
Para mais detalhes, consulte as respostas às perguntas frequentes em autoriteitpersoonsgegevens.nl.

Cookies, spam, e-mail, telemarketing e as
regras do RGPD para o tratamento de comunicações eletrónicas, como cookies, rastreamento por Wi-Fi, e-mail, etc., não estão previstos no RGPD. Estas questões encontram-se na Diretiva ePrivacy – legislação europeia existente que está a ser atualizada em 2018. A Diretiva ePrivacy também é conhecida como Lei dos Cookies. A União Europeia espera implementar as regras atualizadas juntamente com o RGPD, a fim de oferecer aos cidadãos uma maior proteção para as suas informações pessoais de uma só vez. De forma mais geral, este texto legal estabelece as regras que as organizações devem seguir para garantir a confidencialidade das comunicações digitais.