Num mundo digital onde os dados pessoais se tornaram um recurso precioso, o Regulamento Geral de Proteção de Dados (RGPD) da União Europeia&rsquo desempenha um papel crucial. Adotado em 2016 e implementado em 2018, o RGPD visa proteger a privacidade dos cidadãos da UE. Este artigo explora este regulamento em pormenor, explicando os seus objectivos, âmbito e requisitos fundamentais. Também analisaremos cinco regras essenciais para garantir a conformidade com o RGPD e evitar multas pesadas.
Definição do RGPD
O Regulamento Geral de Proteção de Dados (RGPD) é uma legislação europeia que entrou em vigor em maio de 2018. O seu principal objetivo é reforçar a proteção dos dados pessoais dos cidadãos da União Europeia’e conceder-lhes um maior controlo sobre as suas informações privadas. O RGPD impõe regras rigorosas sobre a recolha, o tratamento e o armazenamento de dados pessoais. Isto aplica-se tanto a empresas como a organismos públicos. Define também os direitos dos indivíduos. Por exemplo, o direito à informação, ao acesso, à retificação e ao apagamento dos seus dados. As violações do GDPR podem resultar em multas significativas.
Âmbito de aplicação do RGPD
O âmbito de aplicação do RGPD é vasto. Diz respeito a qualquer organização que processe os dados pessoais dos residentes da União Europeia. Isto é independente da localização da organização’s. Isto inclui:
Empresas e organizações
Todas as empresas, grandes ou pequenas, localizadas dentro ou fora da UE, que processam dados pessoais de residentes da UE no decurso da sua atividade.
Dados pessoais
O RGPD aplica-se a qualquer informação relativa a uma pessoa singular identificada ou identificável (o ” titular dos dados “), como o nome, endereço, endereço de correio eletrónico, endereço IP, etc.
Territorialidade
O RGPD também se aplica a empresas localizadas fora da UE que ofereçam bens ou serviços a residentes da UE, ou que monitorizem o seu comportamento, por exemplo, através de rastreio online.
Princípios fundamentais do RGPD
Estes são :
Consentimento e transparência
O GDPR exige que as organizações obtenham um consentimento claro e específico antes de processar dados pessoais. Este consentimento deve ser informado, dado livremente e pode ser retirado em qualquer altura. Além disso, as empresas devem informar os indivíduos sobre a forma como os seus dados serão utilizados. Isto garante total transparência no tratamento dos dados pessoais.
Minimização de dados
Este princípio estabelece que as organizações devem recolher e processar apenas os dados pessoais de que necessitam para os seus objectivos. Além disso, devem garantir que esses dados são adequados, relevantes e limitados ao objetivo do processamento. Isto também inclui uma redução do tempo de retenção de dados para o que é necessário para atingir esses objectivos
.
Exatidão e limitação do armazenamento:
O RGPD exige que as organizações mantenham os dados pessoais exactos e actualizados. Elas devem tomar medidas razoáveis para garantir que os dados imprecisos sejam retificados ou excluídos sem demora. Além disso, os dados pessoais não devem ser mantidos por mais tempo do que o necessário para atingir os objectivos para os quais foram recolhidos. Esta limitação do armazenamento ajuda a reduzir os riscos para a segurança e a privacidade das pessoas.
Direitos dos titulares dos dados
Estes são :
Direito à informação
Os indivíduos têm o direito de saber como os seus dados pessoais são recolhidos, utilizados e processados. As organizações devem fornecer informações claras e completas sobre estas actividades de processamento de dados.
Direitos de acesso e retificação:
Os indivíduos têm o direito de aceder aos seus dados pessoais detidos por uma organização e de solicitar a retificação de dados inexactos ou incompletos.
Direito ao apagamento (ou direito a ser esquecido):
Os indivíduos têm o direito de solicitar o apagamento dos seus dados pessoais quando estes já não forem necessários para os fins para que foram recolhidos, quando o consentimento for retirado ou quando o tratamento for ilícito.
Esses direitos permitem que os indivíduos controlem seus dados pessoais de acordo com o GDPR.
Obrigações dos responsáveis pelo tratamento de dados
Estes são :
Segurança dos dados
Os processadores são obrigados a implementar medidas técnicas e organizacionais adequadas para garantir a segurança dos dados pessoais, a fim de proteger contra perda, uso indevido, acesso não autorizado e divulgação.
Notificação de violação de dados
Em caso de violação de dados pessoais suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, os responsáveis pelo tratamento de dados devem notificar a violação às autoridades de controlo competentes e, em alguns casos, às pessoas em causa.
Responsável pela proteção de dados (RPD)
Os subcontratantes devem nomear um responsável pela proteção de dados (RPD) em certos casos específicos, por exemplo, quando o tratamento é efectuado por uma autoridade pública, ou quando as actividades principais do responsável pelo tratamento’consistem num tratamento que exige um controlo em grande escala, regular e sistemático das pessoas em causa.
Conformidade com a DGPD
A conformidade com o Regulamento Geral de Proteção de Dados (RGPD) é essencial para qualquer organização que processe dados pessoais de residentes da União Europeia.
Para estar em conformidade, uma organização deve obter um consentimento válido e explícito para o processamento de dados. Deve também garantir a segurança dos dados e respeitar os direitos dos indivíduos. Isto, incluindo o direito de acesso e retificação, bem como a notificação das violações de dados às autoridades competentes. O incumprimento pode resultar em coimas substanciais, o que sublinha a importância crucial do cumprimento dos requisitos rigorosos do RGPD&rsquo.
Penalidades por incumprimento
Em caso de incumprimento do Regulamento Geral de Proteção de Dados (RGPD), as autoridades de controlo podem impor sanções financeiras significativas. As coimas podem atingir 20 milhões de euros ou até 4% das vendas mundiais anuais do ano anterior, consoante o que for mais elevado. Estas sanções podem ser aplicadas em caso de infracções graves. Por exemplo, o não cumprimento dos princípios básicos do RGPD, o tratamento ilícito de dados ou o não respeito pelos direitos das pessoas em causa.
