Regulamento Geral sobre a Proteção de Dados (GDPR) e Lei nº 190/2018

Nome da Lei
Regulamento Geral sobre a Proteção de Dados (GDPR) e Lei nº 190/2018
Autoridade Supervisora
Autoridade Nacional de Supervisão da Proteção de Dados Pessoais (ANSPDCP)
Escopo de aplicação/Extraterritorialidade

Aplica-se a todas as organizações estabelecidas na UE, incluindo a Romênia, e a organizações fora da UE que processem dados de indivíduos na UE, se o processamento estiver relacionado à oferta de bens/serviços ou ao monitoramento do comportamento dentro da UE (p. 945; §1)

Diferenciação entre controlador e operador

Diferencia “Controlador” (quem decide sobre o tratamento de dados) e “Operador” (quem processa dados em nome do Controlador), ambos têm obrigações diretas (p. 946; §3)

Dados Pessoais

Qualquer informação relacionada a uma pessoa identificada ou identificável, como nome, número de identificação, localização, etc. (p. 946; §1)

Dados Sensíveis

Dados que revelam origem racial, opiniões políticas, religião, saúde, genética, biometria, vida sexual, entre outros (p. 946; §1)

Bases legais de tratamento de dados

Consentimento, execução de contrato, cumprimento de obrigações legais, proteção de interesses vitais, interesse público, entre outros (p. 947; §1)

Requisitos de Segurança

Medidas técnicas e organizacionais adequadas devem ser implementadas, incluindo criptografia, resiliência dos sistemas e testes regulares das medidas de segurança (p. 948; §1)

Direitos do Titular de Dados

Direitos incluem acesso, retificação, apagamento, portabilidade e objeção ao processamento de dados, além do direito de não ser sujeito a decisões automatizadas que produzam efeitos legais (p. 948; §2)

Transferências internacionais de dados

Permitidas para países com nível adequado de proteção aprovado pela Comissão Europeia, ou com salvaguardas adequadas, como cláusulas contratuais padrão (p. 954; §1)

Encarregado de Proteção de Dados/DPO

Nomeação obrigatória de DPO para organizações públicas e aquelas que realizam monitoramento sistemático em grande escala ou processam dados sensíveis em grande escala. O DPO deve ser comunicado à ANSPDCP (p. 948; §3)

Notificação de incidentes

Notificação à ANSPDCP dentro de 72 horas após a descoberta do incidente. Se o risco for alto, os titulares de dados também devem ser informados sem demora (p. 955; §1)

Dados de menores

Processamento de dados de menores requer consentimento dos pais ou responsáveis e deve seguir as mesmas regras aplicáveis a dados sensíveis (p. 953; §3)

Penalidades e sanções

Multas podem chegar a 20 milhões de euros ou 4% do faturamento anual global, o que for maior. Sanções podem incluir advertências, restrições de processamento e outras medidas corretivas (p. 956; §2)

Nosso compromisso é com a qualidade e a acessibilidade da informação

Suporte

Contato

Institucional

2024 | Cyber Law Brasil | Todos os Direitos Reservados