Aplica-se a controladores e processadores de dados incorporados ou registrados no QFC, bem como a aqueles que processam dados através de entidades no QFC, salvo quando o processamento for ocasional (p. 936; §1)
Controlador: define os propósitos e meios do processamento; Operador: processa dados em nome do controlador (p. 937; §1)
Qualquer informação relacionada a um sujeito de dados, como nome, número de identificação, localização, etc. (p. 937; §1)
Dados que revelam raça, afiliação política, religião, saúde, vida sexual, e biometria, entre outros (p. 937; §2)
Consentimento, execução de contrato, cumprimento de obrigações legais, proteção de interesses vitais, entre outros (p. 938; §1)
Medidas técnicas e organizacionais adequadas devem ser implementadas, incluindo criptografia, resiliência dos sistemas e testes regulares das medidas de segurança (p. 940; §2)
Direitos incluem acesso, retificação, apagamento, portabilidade e objeção ao processamento de dados (p. 941; §1)
Permitidas para países com nível adequado de proteção aprovado pela DPO, ou com salvaguardas adequadas, como regras corporativas vinculativas (p. 939; §1)
Não é obrigatório nomear DPO, mas é recomendado para organizações que operam em grande escala ou que realizam monitoramento sistemático (p. 938; §2)
Notificação à DPO deve ser feita em até 72 horas após a descoberta do incidente. Os titulares de dados também devem ser notificados se houver risco significativo (p. 940; §1)
“Sem informação” (p. 941; §1)
Multas e outras medidas corretivas podem ser impostas pela DPO por violações ao DPL e DPR (p. 941; §2)
2024 | Cyber Law Brasil | Todos os Direitos Reservados