General Data Protection Regulation (Regulamento (UE) 2016/679) e Lei nº 78-17 de 6 de janeiro de 1978 (Lei de Informática e Liberdades)

Nome da Lei
General Data Protection Regulation (Regulamento (UE) 2016/679) e Lei nº 78-17 de 6 de janeiro de 1978 (Lei de Informática e Liberdades)
Autoridade Supervisora
Commission Nationale de l’Informatique et des Libertés (CNIL)
Escopo de aplicação/Extraterritorialidade

Aplica-se a organizações estabelecidas na UE e, extraterritorialmente, a entidades fora da UE que processam dados de titulares localizados na UE (p. 390; §1).

Diferenciação entre controlador e operador

Controlador: Define os meios e fins do processamento; Operador: Processa dados em nome do controlador (p. 391; §1).

Dados Pessoais

Informações que identifiquem uma pessoa, direta ou indiretamente, incluindo identificadores online (IP, cookies, etc.) (p. 392; §1).

Dados Sensíveis

Dados que revelem origem racial, opiniões políticas, crenças religiosas, vida sexual, saúde, genética, biometria, etc. (p. 392; §2).

Bases legais de tratamento de dados

Consentimento, execução de contrato, obrigação legal, proteção de interesses vitais, entre outros (p. 395; §1).

Requisitos de Segurança

Medidas técnicas e organizacionais proporcionais ao risco devem ser adotadas, incluindo criptografia e pseudonimização (p. 396; §1).

Direitos do Titular de Dados

Direitos incluem acesso, retificação, exclusão, portabilidade, entre outros, conforme GDPR (p. 399; §2).

Transferências internacionais de dados

Transferências permitidas para países com decisão de adequação ou mediante salvaguardas adequadas, conforme GDPR (p. 400; §1).

Encarregado de Proteção de Dados/DPO

Obrigatório em entidades públicas, ou onde o processamento de dados ocorre em grande escala ou envolve dados sensíveis (p. 394; §2).

Notificação de incidentes

Notificação obrigatória dentro de 72 horas para a CNIL; notificação aos titulares se houver alto risco (p. 400; §2).

Dados de menores

Consentimento dos pais necessário para menores de 15 anos (p. 399; §1).

Penalidades e sanções

Multas de até 20 milhões de euros ou 4% do faturamento anual global, conforme GDPR, além de sanções criminais que incluem até 5 anos de prisão e multas de até 300.000 euros para pessoas físicas e 1.500.000 euros para pessoas jurídicas (p. 402; §2).