Aplica-se a organizações estabelecidas na UE e, de forma extraterritorial, a entidades fora da UE que processam dados de titulares localizados na UE (p. 296; §1).
Controlador: decide os meios e propósitos do tratamento; Operador: processa dados em nome do controlador, conforme suas instruções (p. 296; §1).
Inclui qualquer informação relacionada a uma pessoa identificável, como nome, número de identificação, localização, etc. (p. 296; §1).
Inclui dados sobre raça, religião, saúde, genética, biometria, entre outros (p. 296; §2).
Consentimento, cumprimento de contrato, obrigação legal, interesses vitais, interesse público, e interesse legítimo do controlador (p. 296; §3).
Medidas técnicas e organizacionais adequadas ao risco, como criptografia e pseudonimização, são exigidas (p. 297; §2).
Direitos incluem acesso, retificação, exclusão, portabilidade, entre outros, conforme GDPR (p. 297; §3).
Transferências permitidas para países com decisão de adequação ou mediante salvaguardas adequadas (p. 297; §4).
Obrigatório em condições específicas, como monitoramento em larga escala (p. 297; §5).
Notificação obrigatória dentro de 72 horas para a autoridade supervisora; notificação aos titulares se houver alto risco (p. 297; §6).
Sem informação
Multas de até 20 milhões de euros ou 4% do faturamento anual global, além de outras sanções conforme a gravidade da violação (p. 303; §1).
2024 | Cyber Law Brasil | Todos os Direitos Reservados