À luz de um "Brexit" incerto - eu represento um controlador de dados no Reino Unido e quero saber se eu ainda devo continuar com o planejamento e a preparação do GDPR?
Se você processar dados sobre indivíduos no contexto da venda de bens ou serviços a cidadãos em outros países da UE, você precisará cumprir o GDPR, independentemente de o Reino Unido manter ou não o GDPR pós-Brexit. Se suas atividades estão limitadas ao Reino Unido, a posição (após o período de saída inicial) é muito menos clara. O Governo do Reino Unido indicou que implementará mecanismos legais equivalentes ou alternativos. Nossa expectativa é que qualquer legislação desse tipo siga em grande parte o GDPR, dado o apoio fornecido anteriormente ao GDPR pelo ICO e pelo Governo do Reino Unido como um padrão de privacidade efetivo, juntamente com o fato de o GDPR fornecer uma linha de base clara contra a qual o negócio do Reino Unido pode buscar Acesso contínuo ao mercado digital da UE. (Ref: http://www.lexology.com/library/detail.aspx?g=07a6d19f-19ae-4648-9f69-44ea289726a0)
Quem afeta o GDPR?
O GDPR não se aplica apenas a organizações localizadas na UE, mas também se aplica a organizações localizadas fora da UE, se ofereçam bens ou serviços ou monitorem o comportamento de indivíduos da informação da UE. Aplica-se a todas as empresas que processam e armazenam os dados pessoais das pessoas que residem na União Europeia, independentemente da localização da empresa.
Quais são as penalidades por incumprimento?
As organizações podem ser multadas em até 4% do volume de negócios global anual por violação de GDPR ou 20 milhões de euros. Esta é a multa máxima que pode ser imposta para as infracções mais graves, por exemplo, não tendo o consentimento suficiente do cliente para processar dados ou violar o núcleo dos conceitos de Privacidade por Design. Uma empresa pode ser multada em 2% por não ter seus registros em ordem (artigo 28), não notificando a autoridade de supervisão e a pessoa em causa sobre uma violação ou não realização de avaliação de impacto. É importante notar que essas regras se aplicam tanto a controladores quanto a processadores - o que significa que 'nuvens' não estarão isentas da execução do GDPR.
O que constitui dados pessoais?
Qualquer informação relacionada a uma pessoa física ou "Assunto de Dados", que pode ser usada para identificar direta ou indiretamente a pessoa. Pode ser qualquer coisa de um nome, uma foto, um endereço de e-mail, detalhes bancários, postagens em sites de redes sociais, informações médicas ou um endereço IP do computador.
Qual a diferença entre um processador de dados e um controlador de dados?
Um controlador é a entidade que determina os propósitos, condições e meios de processamento de dados pessoais, enquanto o processador é uma entidade que processa dados pessoais em nome do controlador.
Os processadores de dados precisam de um consentimento de assunto de dados "explícito" ou "inequívoco" e qual é a diferença?
As condições de consentimento foram fortalecidas, uma vez que as empresas não poderão mais utilizar termos e condições longas e ilegíveis cheios de leis, uma vez que o pedido de consentimento deve ser dado de forma inteligível e facilmente acessível, com o objetivo de processamento de dados anexado a Esse consentimento - o que significa que deve ser inequívoco. O consentimento deve ser claro e distinguível de outros assuntos e fornecido de forma inteligível e facilmente acessível, usando linguagem clara e simples. Deve ser tão fácil retirar o consentimento quanto o que é dar. O consentimento explícito é necessário apenas para o processamento de dados pessoais sensíveis - neste contexto, nada menos do que "optar" será suficiente. No entanto, para dados não sensíveis, o consentimento "inequívoco" será suficiente.
E quanto aos sujeitos de dados menores de 16 anos?
O consentimento dos pais será necessário para processar os dados pessoais de crianças menores de 16 anos para serviços on-line; Os Estados membros podem legislar para uma menor idade de consentimento, mas isso não será menor que 13 anos.
Qual é a diferença entre um regulamento e uma diretiva?
Um regulamento é um ato legislativo vinculativo. Deve ser aplicado na íntegra em toda a UE, enquanto uma directiva é um ato legislativo que estabelece um objetivo que todos os países da UE devem alcançar. No entanto, compete aos países individuais decidir como. É importante notar que o GDPR é um regulamento, em contraste com a legislação anterior, que é uma diretiva.
O meu negócio precisa nomear um oficial de proteção de dados (DPO)?
Os DPOs devem ser nomeados no caso de: (a) autoridades públicas, (b) organizações que realizam monitoramento sistemático em larga escala, ou (c) organizações que se envolvem em processamento em grande escala de dados pessoais sensíveis (Art. 37). Se a sua organização não se enquadra em uma dessas categorias, não precisa nomear um DPO.
Como o GDPR afeta a política em torno de violações de dados?
Os regulamentos propostos em torno de violações de dados referem-se principalmente às políticas de notificação das empresas que foram violadas. As violações de dados que podem representar um risco para os indivíduos devem ser notificadas ao DPA no prazo de 72 horas e aos indivíduos afetados, sem demoras injustificadas.
O GDPR configurará um balcão único para regulamentação de privacidade de dados?
As discussões em torno do princípio de balcão único estão entre as mais bem debatidas e ainda não estão claras, pois as posições em pé são altamente variadas. O texto da Comissão tem uma decisão bastante simples e concisa a favor do princípio, o Parlamento também promove um DPA principal e acrescenta mais envolvimento de outros DPAs preocupados, a visão do Conselho reduz a capacidade do DPA principal ainda mais. Uma análise mais aprofundada do debate de política de balcão único pode ser encontrada aqui.
Ver 10 medidas que deve implementar para cumprir o novo regulamento