INTEGRE. AUTOMATIZE. CUMPRA
Agende uma Demo
secure privacy badge logo
Soluções
GDPR (Europa)ePrivacy (Europa)LGPD (Brasil)CCPA (Califórnia)PDPA (Tailândia)UK Data Protection ActIAB TCF (Europa)PIPEDA (Canada)CNIL (França)
uniao europeia flag badge
Recursos
Cookie BannerCentro de Preferências Política de Cookie e de PrivacidadeLogs de ConsentimentoCookie & SSL ScannerSuporte +70 idiomas
Gerador Cookie Banner
Tecnologias
HubspotWordpressMagentoAdobe Tag ManagerWixShopifyDrupalGoogle Tag ManagerWeeblySquarespaceWebviewSitecoreUmbracoJoomlaSharepointBigcommerceModo de Consentimento GoogleVue.Js
Hubspot badge
Planos
Pequenas EmpresasBenefícios para EnterprisesTorne-se um Revendedor
suporte
November 2, 2021

O que é GDPR?

O que é o GDPR e por que ele é relevante para sua empresa? Saiba mais sobre o GDPR, dados pessoais e multas do GDPR aqui!

O que é GDPR?

O GDPR (Regulamento Geral de Proteção de Dados) da União Europeia é a lei de proteção de dados da União Europeia.

Quando entrou em vigor em 2018, foi a mudança mais significativa na proteção de dados em décadas desde a Diretiva ePrivacy e é a lei mais abrangente em todo o mundo que trata de questões de privacidade online.

Ele impõe deveres significativos às empresas para proteger os dados pessoais dos usuários. Isso inclui uma série de obrigações para a coleta, processamento, uso e transferência de dados, bem como a implementação de medidas de segurança de dados. Mais importante ainda, exige que as empresas não rastreiem os usuários sem obter seu consentimento explícito.

Além disso, o GDPR concede aos usuários direitos em relação aos seus próprios dados pessoais que todas as empresas devem respeitar.

Qualquer empresa que faça negócios na Europa e/ou com cidadãos europeus precisa estar em conformidade com o GDPR.

O não cumprimento do GDPR resulta nas maiores multas monetárias já estabelecidas por uma lei de proteção de dados.

Por que o GDPR?

Antes do GDPR, as leis de proteção de dados estavam desatualizadas e eram inconsistentes entre os estados membros da UE. O GDPR substituiu essas inconsistências por um regulamento obrigatório para todos os estados-membros da UE.

Como resultado, as leis entre os países da UE são unificadas. Se você cumprir o GDPR, significa que está em conformidade com as leis nacionais de proteção de dados de todos os países da UE.

Dados pessoais de acordo com o GDPR

Dados pessoais são quaisquer informações relacionadas a uma pessoa física que podem ser identificadas ou são identificáveis ​​por essas informações, direta ou indiretamente.

Isso significa que:

  • Qualquer informação pode ser considerado dado pessoal, desde que possam ser relacionadas a uma pessoa. Podem ser dados em formato textual, áudio ou vídeo. Pode ser nome pessoal, endereço de e-mail, endereço residencial, número de IP, número de ID, etc.
  • A informação tem que ser relacionada a uma pessoa. Os dados da empresa e os dados da pessoa falecida não são dados pessoais GDPR.
  • A pessoa pode ser identificada ou identificável. A pessoa é identificável se os dados forem pseudônimos ou desidentificados, mas podem ser revertidos. Por outro lado, dados irreversivelmente anônimos não são dados pessoais.
  • Se a pessoa puder ser identificada indiretamente, por exemplo, combinando vários dados, isso também é um dado pessoal no GDPR. Um exemplo de identificação indireta é o comportamento de compra como dados.

Exemplos de dados pessoais incluem nome, sobrenome, endereços de e-mail como nome.sobrenome@empresa.com, endereço residencial, número do cartão de identificação, ID do cookie, Protocolo de Internet (IP).

Exemplos de dados não considerados dados pessoais incluem um número de registro da empresa, endereços de e-mail como info@empresa.com e dados anônimos.

Como comparar CCPA e GDPR?

Tanto o CCPA quanto o GDPR são leis de proteção de dados, mas os requisitos de cada um deles tendem a ser bastante diferentes.

Embora existam algumas semelhanças, principalmente em relação à transparência e aos direitos dos titulares dos dados, as duas leis diferem muito. Portanto, se você estiver em conformidade com o CCPA, isso não o tornará compatível com o GDPR e vice-versa.

Se a CCPA e o GDPR se aplicarem à sua empresa, você deve determinar o que cada um deles exige de sua empresa e agir de acordo para cumprir.

O que é a política de privacidade do GDPR

Uma política de privacidade GDPR é um documento com o qual a empresa informa o usuário sobre suas práticas de privacidade. Embora não seja explicitamente exigida pelo GDPR, a política de privacidade é a maneira mais comum de ser transparente para os usuários sobre o uso de seus dados.

Uma política de privacidade compatível com GDPR deve conter certos elementos para estar em conformidade. Esses elementos incluem:

  • Sua identidade e detalhes de contato
  • As categorias de dados pessoais que você processa
  • Como você coleta e processa dados pessoais
  • Por que você coleta e processa dados
  • Detalhes sobre transferências de dados internacionais, se houver
  • Direitos do titular dos dados
  • Como exercer os direitos do titular dos dados
  • Detalhes de contato do oficial de proteção de dados, se houver

Essas são apenas as informações mínimas necessárias que o GDPR exige que você forneça. Você pode adicionar mais, se quiser. Leia mais sobre como tornar seu site compatível com o GDPR.

Direitos do titular dos dados e DSAR

Os usuários de sites e aplicativos são chamados de titulares de dados no GDPR. O GDPR concede a eles direitos de titular dos dados. Esses direitos capacitam os usuários a proteger sua privacidade de dados contra a empresa que tem seus dados coletados.

Os direitos do titular dos dados incluem o direito a:

  • Ser informado
  • Acesso
  • Correção
  • Exclusão (direito de ser esquecido)
  • Portabilidade de dados
  • Restringir processamento
  • Objeto de processamento
  • Não estar sujeito a processamento automatizado de dados, incluindo criação de perfil.

Todas as empresas da UE devem esses direitos a todos os seus usuários. Todas as empresas fora da UE devem esses direitos a todos os seus usuários da UE.

Os usuários podem exercer seus direitos enviando solicitações de titulares de dados, incluindo solicitações DSAR. Ao verificar a identidade do usuário, você deve atender a sua solicitação e atendê-la.

A Secure Privacy fornece às empresas um centro DSAR para conformidade total com as solicitações dos titulares dos dados.

Multas e aplicação do GDPR

O GDPR prescreve as maiores penalidades do mundo relacionadas à proteção de dados. Leia mais sobre multas e restrições do GDPR em nosso post.

Cada país aponta uma autoridade administrativa independente responsável por garantir a proteção de dados pessoais. Por exemplo, na França temos a CNIL (Commission Nationale de l’informatique et des Libertés).

Transferência de dados GDPR

Leia tudo sobre a transferência de dados GDPR em nossa postagem do blog.

Transferência de dados fora da UE

A transferência de dados é o processo em que os dados pessoais fluem de uma empresa para outra ou do usuário para a empresa. Quando isso é uma transferência através das fronteiras internacionais, é uma transferência internacional de dados.

Leia tudo sobre a transferência de dados para fora da UE nesta postagem do blog.

Precisamos de um oficial de proteção de dados no GDPR?

O GDPR exige que apenas algumas das empresas designem um DPO (oficial de proteção de dados).

Você deve nomear um DPO se for uma empresa cujas atividades principais envolvam:

  • As atividades principais de uma organização envolvem processamento requer monitoramento regular e sistemático de pessoas em grande escala, ou
  • As atividades principais de uma organização consistem no processamento em grande escala de categorias especiais de dados ou dados relacionados a condenações criminais e infrações.

As autoridades públicas também são obrigadas a nomear um DPO em qualquer caso.

Em todos os outros casos, você não é obrigado a nomear um DPO.

Um DPO pode ser o proprietário da empresa, qualquer funcionário, um contratante independente ou uma organização para a qual você terceiriza os processos.

Precisamos de um representante do GDPR na UE?

Você precisa de um representante legal na UE se:

  • Sua empresa não tem escritórios na UE e
  • Você processa regularmente dados pessoais em grande escala, processa dados pessoais confidenciais ou dados relacionados a condenações criminais.

Em todos os outros casos, você não precisa nomear um representante legal na UE.

O que fazer em caso de violação

Uma violação de dados ocorre quando os dados pelos quais sua empresa/organização é responsável sofrem um incidente de segurança que resulta em uma violação de confidencialidade, disponibilidade ou integridade.

Na maioria dos casos, você precisa informar a autoridade de proteção de dados relevante. Você deve notificá-los em 72 horas após tomar conhecimento do incidente, ou mais tarde, se houver motivos razoáveis ​​para o atraso.

Se a violação representar um risco para os direitos e liberdades dos titulares dos dados cujos dados foram violados, você também deve notificar os titulares dos dados.

Em alguns casos raros, onde a violação é insignificante e não representa nenhum risco para ninguém, você pode não ter que informar ninguém.

Se sua empresa/organização for uma processadora de dados, ela deve notificar todas as violações de dados ao controlador de dados.

Secure Privacy dashboard

Quer experimentar a

Secure Privacy?

Tenha o seu banner de cookies grátis instalado e funcionando hoje!

Agende uma Demo