Resumo GDPR
9 pág.

Resumo GDPR


DisciplinaPrivacidade Crime Internet Segurnça4 materiais8 seguidores
Pré-visualização4 páginas
General Data Protection Regulation (GDPR)
Exin Privacy and Data Protection Foundation
REGULAMENTO E FUNDAMENTOS DE PRIVACIDADE E PROTEÇÃO DE DADOS
Privacidade: Direito ao respeito pela vida privada de uma pessoa em seu âmbito familiar e de suas correspondência.
Proteção de dados pessoais: É um meio de garantir a privacidade (medidas necessárias). O direito à proteção de dados é parte da privacidade. Não se pode ter privacidade sem proteção de dados.
Segurança da Informação: É um requisito básico para qualquer organização que deseja proteger sua confidencialidade, integridade e disponibilidade de todos os seus dados.
Privacidade de dados: Vai além da segurança da informação, pois considera todo o ciclo de vida dos dados pessoais e dos processos de negócios que os utilizam.
Diretiva 95/46/CE: 
Foi revogada. 
É relativa à proteção das pessoas no que diz respeito ao tratamento de dados pessoais e à livre circulação deles (adaptada em 1995). 
Podia ser adaptada a lei dos Estados-Membros da UE.
GDPR - General Data Protection Regulation: 
Está em Forma de lei funcional em toda UE. 
Todos os Estados-Membros precisam cumprir. 
Entrou em Vigor em 25 de maio de 2018.
Objetivos da GDPR:
Fortalecer e unificar a proteção de dados para indivíduos na UE.
Proteção de pessoas físicas no que diz respeito ao processamento de dados pessoais;
Normas para livre circulação/transmissão de dados pessoais;
Proteção de direitos e liberdades de pessoas físicas e, em particular, proteção de dados pessoais;
A livre circulação de dados pessoais dentro da UE não pode ser restringida nem proibida.
Escopo da GDP (Art. 3)
Aplica-se ao tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante situado no território da União, independentemente de o tratamento ocorrer dentro ou fora da União;
O presente regulamento aplica-se ao tratamento de dados pessoais de titulares residentes no território da União, efetuado por responsável pelo tratamento ou subcontratante não estabelecido na União, quando as atividades de tratamento estejam relacionadas com:
A oferta de bens ou serviços a esses titulares de dados da União, independentemente da exigência de os titulares dos dados procederem a um pagamento;
O controle do seu comportamento, desde que esse comportamento tenha lugar na União.
Dados Pessoais: Qualquer informação relativa a uma pessoa singular identificada ou identificável (\u201ctitular de dados\u201d).
Dados Pessoais Direto: 
Podem ser atribuídos a um titular especifico sem o uso de informações adicionais;
Exemplos: nome completo, números de identidade(RG), CPF, carteira de trabalho e passaporte, biometria, foto/vídeo, DNA, e-mail, dados do cartão de crédito;
Dados Pessoais Indireto:
Não podem ser atribuídos a um titular especifico sem o uso de informações adicionais.
Exemplos: endereço IP, matricula do carro, etc.
Dados Pessoais Pseudonimizado:
Pseudonimização de dados significa o processamento de dados pessoais de tal maneira que eles não possam mais ser atribuídos a um titular especifico sem o uso de informações adicionais.
Dados pseudonimizados são considerados dados pessoais. 
Titular dos Dados: Uma pessoa física que pode ser identificada, direta ou indiretamente, por um ou mais fatores como nome, número de identificação, dados de localização, biometria, dados de saúde, genéticos, de opiniões politicas, crenças religiosas ou filosóficas, de orientação sexual, econômicos, entre outros.
Categorias especiais de dados pessoais (\u201csensíveis\u201d): 
Dados que revelam origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, adesão sindical, dados genéticos, dados biométricos processados com a finalidade de identificar unicamente uma pessoa física, dados relativos à saúde, à vida sexual ou orientação sexual de uma pessoa singular.
Processamento de dados pessoais: É qualquer operação ou conjunto de operações que são realizadas com dados pessoais ou em conjuntos de dados pessoais, sendo ou não feitas de modo automatizado.
Partes envolvidas e suas responsabilidades:
Titular dos Dados: Pessoa física a quem os dados fazem referência (exceção: pessoa falecida).
Controlador: Pessoa física ou jurídica, autoridade pública, agencia ou outro organismo que determina os objetivos/finalidades e os meios do tratamento de dados pessoais. Implementar e garantir medidas técnicas e organizacionais apropriadas para o processamento de dados, afim de atender plenamente os requisitos do GDPR. PRIMEIRA AÇÃO: Verificar possibilidade de dados de caráter sensível terem sido acessados.
Processador: Pessoa física ou jurídica, autoridade pública, agencia ou outro organismo que processe dados pessoais em nome do responsável pelo tratamento (Controlador). Implementar os 7 princípios de proteção de dados desde a concepção (by design).
Terceiro: Pessoa física ou jurídica que não seja o Titula de Dados, o Controlador ou o Processador e que esteja autorizada a processar dados pessoais (\u201cSubprocessador\u201d).
Destinatário: Pessoa física ou jurídica, autoridade pública, agencia ou outro organismo para quem os dados pessoais são divulgados, terceiros ou não.
Encarregado pela Proteção de Dados (Data Protection Officer \u2013 DPO): Orienta a implementação de medidas apropriadas para Compliance (conformidade/adequação legal) do controlador ou processador.
Representante legal: Pessoa física ou jurídica (na UE) designada pelo Controlador ou Processador para representa-lo perante a autoridade supervisora e os titulares dos dados.
Autoridade supervisora: Autoridade pública independente estabelecida por um Estado Membro da EU. Uma das atribuições centrais é o monitoramento e o acompanhamento da aplicação do GDPR e de seu cumprimento por parte dos controladores e processadores. Supervisionar o processamento dos dados que são controlados por um controlador da Área Econômica. Avaliar códigos de conduta para setores específicos em relação ao processamento de dados pessoais.
Fundamentos legítimos e limitação de propósito:
Seis motivos legítimos para o processamento de dados pessoais:
O Titular dos Dados deu o seu consentimento ao processamento dos seus dados pessoais para um ou mais fins específicos, explícitos e legítimos (Deve existir uma base legitima para o processamento de dados);
O processamento é necessário para execução de um contrato no qual o Titular dos Dados é parte ou para tomar medidas a pedido do Titular dos Dados antes de celebrar um contrato;
O processamento é necessário para o cumprimento de uma obrigação legal a que o controlador está sujeito;
O tratamento é necessário para proteger um interesse vital da pessoa em causa ou de outra pessoa singular;
O tratamento é necessário para o desempenho de uma tarefa realizada no interesse público ou no exercício da autoridade oficial conferida ao responsável pelo tratamento;
O tratamento é necessário para os interesses legítimos prosseguidos pelo responsável pelo tratamento ou por um terceiro. A exceção é se esses interesses forem sobrepostos pelos interesses ou direitos e liberdades fundamentais do Titular dos Dados os quais exijam a proteção dos dados pessoais, em especial quando uma criança é o sujeito dos dados.
Comunicando a finalidade para o Titular dos Dados: O GDPR estabelece a necessidade de se expor ao Titular dos Dados a(s) finalidade(s) especifica(s) para o processamento de seus dados pessoais. Essas finalidades devem ser: Especificas, Explicitas, Legitimas e Declaradas antes de qualquer dado pessoal ser processado.
Subsidiariedade: Os dados pessoais só possam ser processados se não houver outros meios para alcançar os objetivos, devendo-se utilizar os meios menos invasivos possíveis, em todas ocasiões. Deve ser usados os meios menos transgressores da privacidade possíveis.
Proporcionalidade: Não devem ser reunidos mais dados do que o estritamente necessário.
Direitos dos titulares dos dados:
Direito de acesso (inspeção): O titular dos Dados terá o direito de obter confirmação