A DPA 2017 aplica-se a qualquer operação de processamento de dados pessoais realizada em Mauritius, assim como a controladores ou processadores que não estão estabelecidos em Mauritius, mas que processam dados pessoais de indivíduos dentro de Mauritius (p. 755; § 1)
O controlador é a entidade que determina os propósitos e meios de processamento de dados, enquanto o operador processa dados em nome do controlador. Ambos devem se registrar com a Data Protection Office e seguir obrigações específicas (p. 756; § 1)
Dados pessoais são definidos como qualquer informação relacionada a um indivíduo identificado ou identificável, incluindo nome, número de identificação, dados de localização, etc. (p. 755; § 2)
Dados sensíveis incluem dados que revelam origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos, etc. (p. 755; § 3)
As bases legais incluem o consentimento, cumprimento de obrigações legais, proteção de interesses vitais, execução de contratos, interesse público, entre outros (p. 759; § 1)
Medidas de segurança apropriadas devem ser implementadas para proteger dados pessoais contra destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso, e outras formas de processamento ilegal (p. 759; § 2)
Direitos incluem acesso, retificação, exclusão, restrição de processamento, portabilidade de dados, e o direito de objeção ao processamento para marketing direto (p. 759; § 3)
Transferências internacionais são permitidas se o controlador ou processador fornecer provas de salvaguardas apropriadas, se o titular dos dados der consentimento explícito, ou se a transferência for necessária para a execução de um contrato, entre outras condições (p. 759; § 4)
Todos os controladores e processadores devem nomear um DPO, que é responsável por monitorar a conformidade, treinar funcionários e servir como ponto de contato com a autoridade supervisora (p. 757; § 1)
A violação de dados deve ser notificada ao Data Protection Office dentro de 72 horas após a descoberta, e, se necessário, comunicar também ao titular dos dados (p. 760; § 2)
Sem informação
As penalidades podem incluir multas de até 200,000 Mauritian rupees ou prisão por até cinco anos por não cumprimento das obrigações legais (p. 757; § 2)
2024 | Cyber Law Brasil | Todos os Direitos Reservados