Aplica-se a todas as organizações estabelecidas na UE, incluindo Portugal, e a organizações fora da UE que processem dados de indivíduos na UE, quando oferecem bens/serviços ou monitoram comportamentos dentro da UE (p. 917; §1)
Diferencia “Controlador” (quem decide sobre o tratamento de dados) e “Operador” (quem processa os dados em nome do Controlador), ambos têm obrigações diretas (p. 920; §5)
Qualquer informação relacionada a uma pessoa identificada ou identificável, como nome, número de identificação, localização, etc. (p. 918; §1)
Dados sobre origem racial, opiniões políticas, religião, saúde, genética, biometria, vida sexual, entre outros (p. 919; §2)
Consentimento, execução de contrato, cumprimento de obrigações legais, proteção de interesses vitais, entre outros (p. 918; §1)
Devem ser implementadas medidas técnicas e organizacionais adequadas para garantir a segurança dos dados, incluindo criptografia, pseudonimização e testes regulares das medidas (p. 926; §1)
Direitos incluem acesso, retificação, apagamento, limitação, portabilidade e objeção ao processamento, além do direito de não ser sujeito a decisões automatizadas que produzam efeitos legais (p. 921; §1)
Transferências internacionais são permitidas para países com decisão de adequação da Comissão Europeia ou mediante garantias adequadas, como cláusulas contratuais padrão (p. 925; §1)
Nomeação obrigatória de DPO para organizações públicas e aquelas que realizam monitoramento sistemático em grande escala ou processam dados sensíveis em grande escala. O DPO deve ser comunicado à CNPD (p. 921; §2)
Notificação à CNPD dentro de 72 horas após a descoberta do incidente. Se o risco for alto, os titulares de dados também devem ser informados sem demora (p. 926; §1)
“Sem informação” (p. 928; §1)
Multas podem chegar a 20 milhões de euros ou 4% do faturamento anual global, o que for maior. Sanções podem ser impostas tanto a empresas quanto a indivíduos em posições de gerência (p. 928; §2)
2024 | Cyber Law Brasil | Todos os Direitos Reservados