A Lei de Proteção de Dados (DPA) aplica-se ao processamento de dados pessoais em Botsuana, incluindo tanto o processamento automatizado quanto o manual. A lei regula atividades realizadas dentro de Botsuana, e a transferência de dados pessoais para fora do país só pode ocorrer com garantias adequadas e autorização da autoridade supervisora. (p. 145; § 1)
O “Controlador de Dados” é definido como a entidade ou pessoa que determina as finalidades e os meios de processamento de dados pessoais. O “Operador de Dados” refere-se à entidade ou pessoa que processa dados pessoais em nome do Controlador, seguindo as instruções deste. (p. 146; § 2)
Dados pessoais referem-se a qualquer informação relacionada a uma pessoa identificada ou identificável, como nome, endereço, identificação numérica, dados econômicos, culturais ou sociais. (p. 145; § 1)
Dados sensíveis incluem informações que revelem a origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, filiação a sindicatos, saúde física ou mental, vida sexual, informações financeiras pessoais, e dados genéticos ou biométricos. (p. 146; § 1)
As bases legais para o tratamento de dados incluem: consentimento explícito do titular, necessidade para a execução de um contrato, cumprimento de uma obrigação legal, proteção de interesses vitais do titular ou de outra pessoa, desempenho de uma tarefa realizada no interesse público ou no exercício de uma autoridade oficial, e para fins de interesses legítimos do controlador ou de terceiros, desde que tais interesses não prevaleçam sobre os direitos e liberdades fundamentais do titular dos dados. (p. 147; § 2)
Controladores de dados devem implementar medidas técnicas e organizacionais apropriadas para garantir a segurança dos dados pessoais, protegendo-os contra destruição, perda, alteração, divulgação ou acesso não autorizado, e outras formas de processamento ilegal ou não autorizado. Estas medidas devem ser proporcionais aos riscos envolvidos no processamento de dados. (p. 150; § 2)
Os titulares de dados têm o direito de acessar seus dados pessoais, solicitar correção de dados imprecisos, solicitar a exclusão de dados desnecessários ou excessivos, e se opor ao tratamento de seus dados em determinadas circunstâncias, como quando os dados são processados para marketing direto. (p. 146; § 1)
A transferência de dados pessoais para fora de Botsuana é proibida, a menos que seja para países que ofereçam um nível adequado de proteção ou que tenham recebido aprovação prévia do Comissário, com garantias adequadas de proteção. (p. 150; § 3)
Os controladores de dados podem nomear um Encarregado de Proteção de Dados (DPO) para garantir o cumprimento das obrigações legais de proteção de dados. A nomeação de um DPO também pode isentar o controlador de certas obrigações de notificação ao Comissário. (p. 147; § 2)
Em caso de violação de dados pessoais, o controlador e o operador de dados devem notificar imediatamente o Comissário, fornecendo detalhes sobre a natureza da violação, os dados afetados e as medidas tomadas para mitigar os danos. (p. 151; § 1)
A legislação não fornece informações específicas sobre a proteção de dados de menores, portanto, essa informação não está disponível. (sem informação)
As penalidades por violação da DPA incluem multas que podem chegar a BWP 500.000, prisão por até nove anos, ou ambas as penas, dependendo da gravidade da infração. (p. 150; § 3)
2024 | Cyber Law Brasil | Todos os Direitos Reservados