GDPR - Regulamento Geral de Proteção de Dados

O Regulamento Geral de Protecção de Dados ( PIBR ) (UE) 2016/679 é uma regulação na legislação da UE sobre a protecção de dados e privacidade para todos os indivíduos dentro da União Europeia e do Espaço Económico Europeu . Aborda também a exportação de dados pessoais para fora da UE e do EEE. O GDPR visa principalmente dar controle aos cidadãos e residentes sobre seus dados pessoais e simplificar o ambiente regulatório para negócios internacionais , unificando o regulamento dentro da UE.

Substituindo a Directiva de Protecção de Dados , o regulamento contém disposições e requisitos relativos ao processamento de informação de identificação pessoal dos titulares de dados dentro da União Europeia, e aplica-se a todas as empresas, independentemente da localização, que estejam a negociar com o Espaço Económico Europeu. Os processos de negócios que lidam com dados pessoais devem ser criados com a proteção de dados por design e por padrão , o que significa que os dados pessoais devem ser armazenados usando pseudonimização ou anonimização completa.e use as configurações de privacidade mais altas possíveis por padrão, para que os dados não fiquem disponíveis publicamente sem o consentimento explícito e não possam ser usados ​​para identificar um assunto sem informações adicionais armazenadas separadamente. Nenhum dado pessoal pode ser processado, a menos que seja feito de acordo com uma base legal especificada pelo regulamento, ou se o controlador de dados ou processador tiver recebido consentimento explícito e opcional do proprietário dos dados. O proprietário dos dados tem o direito de revogar essa permissão a qualquer momento.

Um processador de dados pessoais deve divulgar claramente qualquer coleta de dados, declarar a base legal e a finalidade do processamento de dados, por quanto tempo os dados estão sendo retidos e se estão sendo compartilhados com terceiros ou fora da UE. Os usuários têm o direito de solicitar uma cópia portátil dos dados coletados por um processador em um formato comum e o direito de ter seus dados apagados sob certas circunstâncias. As autoridades públicas e as empresas cujas principais atividades se concentram no processamento regular ou sistemático de dados pessoais são obrigadas a contratar um diretor de proteção de dados (DPO), responsável por gerenciar a conformidade com o GDPR. As empresas devem relatar quaisquer violações de dados dentro de 72 horas, se tiverem um efeito adverso na privacidade do usuário.

Foi adotado em 14 de abril de 2016,e depois de um período de transição de dois anos, tornou-se executável em 25 de maio de 2018. Como o GDPR é um regulamento, não uma diretiva , não exige que os governos nacionais passem qualquer legislação habilitante e seja diretamente vinculante e aplicável.Como o Reino Unido é deixando a União Europeia em 2019 , concedeu aprovação real a uma lei de proteção de dados equivalente 2018 em 23 de maio de 2018, que contém regulamentos e proteções semelhantes.

Conteúdo

O regulamento contém os seguintes requisitos principais:

Escopo

O regulamento se aplica se o controlador de dados (uma organização que coleta dados de residentes da UE), ou processador (uma organização que processa dados em nome de um controlador de dados como provedores de serviços em nuvem ), ou o assunto dos dados (pessoa) estiver baseado na UE. . Em determinadas circunstâncias [9], o regulamento também se aplica a organizações sediadas fora da UE se recolherem ou tratarem dados pessoais de indivíduos localizados na UE.

De acordo com a Comissão Européia , “dados pessoais são quaisquer informações relativas a um indivíduo, sejam elas relacionadas à sua vida privada, profissional ou pública. Pode ser qualquer coisa, desde um nome, um endereço residencial, uma foto, um endereço de e-mail, dados bancários, postagens em sites de redes sociais , informações médicas ou um endereço IP do computador . ”

O regulamento não pretende aplicar-se ao tratamento de dados pessoais para atividades de segurança nacional ou para aplicação da lei da UE; no entanto, grupos setoriais preocupados em enfrentar um potencial conflito de leis questionaram se o Artigo 48O GDPR poderia ser invocado para tentar impedir que um controlador de dados sujeito às leis de um terceiro país cumprisse uma ordem legal das autoridades policiais, judiciais ou de segurança nacional desse país para divulgar a essas autoridades os dados pessoais de uma pessoa da UE, independentemente de os dados residirem dentro ou fora da UE. O Artigo 48 estabelece que qualquer sentença de um tribunal ou qualquer decisão de uma autoridade administrativa de um país terceiro que exija que um controlador ou processador transfira ou divulgue dados pessoais pode não ser reconhecida ou exequível de qualquer maneira a menos que baseada em um acordo internacional, como um tratado de assistência jurídica mútuaem vigor entre o terceiro país (não UE) requerente ea UE ou um Estado-Membro. O pacote de reforma da proteção de dados também inclui uma Diretiva de Proteção de Dados separada para o setor de polícia e justiça criminal que fornece regras sobre o intercâmbio de dados pessoais nos níveis nacional, europeu e internacional.

Um único conjunto de regras será aplicado a todos os estados membros da UE. Cada estado membro estabelecerá uma autoridade supervisora ​​independente (SA) para ouvir e investigar reclamações, sancionar infrações administrativas, etc. As SAs em cada estado membro cooperarão com outras SAs, prestando assistência mútua e organizando operações conjuntas. Se uma empresa tiver múltiplos estabelecimentos na UE, terá uma única SA como sua “autoridade principal”, com base na localização de seu “estabelecimento principal” onde as principais atividades de processamento ocorrem. A autoridade principal actuará como um “ balcão único ” para supervisionar todas as actividades de processamento dessa empresa em toda a UE [13] [14] (artigos 46.º a 55.º do GDPR). Um Conselho Europeu para a Proteção de Dados (EDPB) coordenará os SAs. EDPB irá substituir oArtigo 29.º Grupo de Protecção de Dados . Há exceções para dados processados ​​em um contexto de emprego ou em segurança nacional que ainda possam estar sujeitos à regulamentação individual do país (Artigo 2 (2) (a) e 88 do GDPR).

Base legal para processamento

A menos que um titular de dados forneça consentimento explícito para o processamento de dados para um ou mais propósitos, os dados pessoais não poderão ser processados, a menos que exista pelo menos uma base legal para isso. Eles incluem:

• Realizar uma tarefa no interesse público ou na autoridade oficial.
• Cumprir as obrigações legais do controlador de dados.
• Para cumprir as obrigações contratuais com um titular de dados.
• Para executar tarefas a pedido de um titular de dados que está em processo de entrar em um contrato com o controlador.
• Proteger os interesses vitais de um titular de dados ou de outra pessoa.
• Para os interesses legítimos de um controlador de dados ou de um terceiro, a menos que seja anulado pela Carta dos Direitos Fundamentais .

Se o consentimento for usado como base legal para o processamento, o consentimento deve ser explícito para os dados coletados e para os quais os dados de finalidades são usados ​​(Artigo 7; definido no Artigo 4). Consentimento para criançasdeve ser dada pelos pais ou guardião da criança, e verificável (Artigo 8). Os controladores de dados devem ser capazes de provar “consentimento” (opt-in) e o consentimento pode ser retirado.

A área de consentimento do GDPR tem várias implicações para empresas que registram chamadas como uma questão de prática. As “chamadas são gravadas para fins de treinamento e segurança” não serão mais suficientes para obter o consentimento para registrar as chamadas. Além disso, quando a gravação tiver começado, caso o chamador retire seu consentimento, o agente que receber a chamada deverá ser capaz de interromper uma gravação iniciada anteriormente e garantir que a gravação não seja armazenada.

Responsabilidade e prestação de contas

Para poder demonstrar conformidade com o GDPR, o controlador de dados deve implementar medidas que atendam aos princípios de proteção de dados por design e por padrão. A proteção de dados por projeto e por padrão (Artigo 25) exige que medidas de proteção de dados sejam projetadas no desenvolvimento de processos de negócios para produtos e serviços. Tais medidas incluem o pseudónimo de dados pessoais, pelo responsável pelo tratamento, o mais rapidamente possível (considerando 78). É da responsabilidade e da responsabilidade do responsável pelo tratamento de dados aplicar medidas eficazes e demonstrar a conformidade das atividades de processamento, mesmo que o processamento seja efetuado por um processador de dados em nome do responsável pelo tratamento (considerando 74).

Quando os dados são recolhidos, os utilizadores devem ser claramente informados sobre a extensão da recolha de dados, a base jurídica para o processamento de dados pessoais, a duração dos dados, se os dados estão a ser transferidos para terceiros e / ou fora da UE e divulgação de qualquer tomada de decisão automatizada que seja feita em uma base exclusivamente algorítmica . Os usuários devem receber os detalhes de contato do controlador de dados e de seu responsável pela proteção de dados, quando aplicável. Os usuários também devem ser informados dos seus direitos de privacidade sob PIBR, incluindo o seu direito de revogar o consentimento para processamento de dados a qualquer momento, o seu direito de ver os seus dados pessoais e acessar uma visão geral de como ele está sendo processado , o seu direito de obter uma cópia portátil dos dados armazenados, o direito de apagar dados sob determinadas circunstâncias , o direito de contestar qualquer tomada de decisão automatizada que foi feita em uma base exclusivamente algorítmica e o direito de registrar reclamações com uma Autoridade de Proteção de Dados.

As avaliações de impacto da proteção de dados (artigo 35.º) têm de ser realizadas quando ocorrem riscos específicos aos direitos e liberdades das pessoas em causa. A avaliação e a mitigação de riscos são necessárias e a aprovação prévia das autoridades nacionais de proteção de dados (DPAs) é necessária para altos riscos.

Proteção de dados por design e por padrão

A proteção de dados por design e por padrão (Artigo 25) exige que a proteção de dados seja projetada para o desenvolvimento de processos de negócios para produtos e serviços. As configurações de privacidade devem, portanto, ser definidas em alto nível por padrão, e medidas técnicas e de procedimento devem ser tomadas pelo controlador para garantir que o processamento, durante todo o ciclo de vida de processamento, esteja em conformidade com o regulamento. Os controladores também devem implementar mecanismos para garantir que os dados pessoais não sejam processados, a menos que sejam necessários para cada finalidade específica.

Um relatóriopela Agência da União Europeia para a Segurança das Redes e da Informação elabora o que deve ser feito para obter privacidade e proteção de dados por padrão. Ele especifica que as operações de criptografia e descriptografia devem ser realizadas localmente, não por serviço remoto, porque as chaves e os dados devem permanecer no poder do proprietário dos dados, caso alguma privacidade seja alcançada. O relatório especifica que o armazenamento de dados terceirizado em nuvens remotas é prático e relativamente seguro se apenas o proprietário dos dados, e não o serviço em nuvem, tiver as chaves de descriptografia.

Pseudonimização

O GDPR refere-se à pseudonimização como um processo que é necessário quando os dados são armazenados (como uma alternativa à outra opção de anonimização de dados completa )Transformar os dados pessoais de tal forma que os dados resultantes não possam ser atribuídos a um sujeito de dados específico sem o uso de informações adicionais. Um exemplo é a criptografia , que torna os dados originais ininteligíveis e o processo não pode ser revertido sem acesso à chave de descriptografia correta . O GDPR exige que as informações adicionais (como a chave de decodificação) sejam mantidas separadamente dos dados sob pseudônimo.

Outro exemplo de pseudonimização é a tokenização , que é uma abordagem não matemática para proteger dados em repouso que substitui dados sensíveis por substitutos não sensíveis, chamados de tokens. Os tokens não têm significado ou valor extrínseco ou explorável. A tokenização não altera o tipo ou o comprimento dos dados, o que significa que eles podem ser processados ​​por sistemas legados, como bancos de dados que podem ser sensíveis ao tamanho e ao tipo de dados.

Isso requer muito menos recursos computacionais para processar e menos espaço de armazenamento em bancos de dados do que dados tradicionalmente criptografados. Isso é conseguido mantendo dados específicos total ou parcialmente visíveis para processamento e análise, enquanto informações confidenciais são mantidas ocultas.

Recomenda-se a pseudonimização para reduzir os riscos para os titulares de dados em causa e também para ajudar os responsáveis ​​pelo tratamento e os processadores a cumprir as suas obrigações em matéria de proteção de dados (considerando 28).

Direito de acesso

O direito de acesso (Artigo 15) é um direito de um titular de dados.Dá aos cidadãos o direito de acessar seus dados pessoais e informações sobre como esses dados pessoais estão sendo processados. Um controlador de dados deve fornecer, a pedido, uma descrição geral das categorias de dados que estão a ser processadas (artigo 15.º, n.º 1, alínea b)), bem como uma cópia dos dados reais (artigo 15.º, n.º 3). Além disso, o responsável pelo tratamento dos dados tem de informar a pessoa em causa sobre os dados relativos ao tratamento, como os fins do tratamento (artigo 15.º, n.º 1, alínea a)), com os quais os dados são partilhados (artigo 15.º, n.º 1, alínea c)). ) e como adquiriu os dados (Artigo 15 (1) (g)).

Um titular de dados deve ser capaz de transferir dados pessoais de um sistema de processamento eletrônico para outro, sem ser impedido pelo controlador de dados. Os dados que foram suficientemente anonimizados são excluídos, mas os dados que foram apenas identificados, mas que continuam sendo possíveis de vincular ao indivíduo em questão, como fornecer o identificador relevante, não são.Ambos os dados sendo "fornecidos" pelo titular dos dados e os dados sendo "observados", como o comportamento, são incluídos. Além disso, os dados devem ser fornecidos pelo controlador em um formato eletrônico padrão estruturado e comumente usado. O direito à portabilidade de dados é fornecido pelo Artigo 20 do GDPR. Os peritos legais vêem na versão final desta medida um “novo direito” criado que “ultrapassa o âmbito da portabilidade de dados entre dois controladores conforme estipulado no [Artigo 20]”. .

Direito de apagar

Um direito a ser esquecido foi substituído por um direito de apagamento mais limitado na versão do PIBR que foi adotada pelo Parlamento Europeu em março de 2014.O Artigo 17 estabelece que o titular dos dados tem o direito de solicitar o apagamento dos dados pessoais que lhes dizem respeito por um ou vários motivos, incluindo o não cumprimento do Artigo 6 (1) (legalidade) que inclua um caso (f) se os interesses legítimos do controlador é substituído pelos interesses ou direitos e liberdades fundamentais do titular dos dados, que exigem a proteção de dados pessoais (ver também Google Spain SL, Google Inc. contra Agencia Española de Protección de Datos, Mario Costeja González ).

Registros de atividades de processamento

Devem ser mantidos registros de atividades de processamento que incluam finalidades do processamento, categorias envolvidas e prazos previstos. Os registros devem ser disponibilizados à autoridade de supervisão mediante solicitação (Artigo 30).

Oficial de proteção de dados

Veja também: Diretor de Proteção de Dados da Comissão Européia

Se o tratamento for efectuado por uma autoridade pública, com excepção dos tribunais ou das autoridades judiciárias independentes quando actuem no exercício das suas funções judiciais ou se, no sector privado, o tratamento for realizado por um responsável cujas actividades principais consistam em operações de tratamento que requeiram acompanhamento sistemático dos titulares dos dados ou tratamento em grande escala de categorias especiais de dados nos termos do artigo 9.º e dados pessoais relativos a condenações penais e infracções previstas no artigo 10.º, uma pessoa com conhecimento especializado de leis e práticas de proteção de dados deve ajudar o controlador ou processador a monitorar a conformidade interna com este regulamento.

O DPO é semelhante a um responsável pela conformidade e também deve ser proficiente no gerenciamento de processos de TI, segurança de dados (incluindo lidar com ataques cibernéticos ) e outros problemas críticos de continuidade de negócios em torno da manutenção e processamento de dados pessoais e confidenciais. O conjunto de habilidades necessário se estende além do entendimento da conformidade legal com leis e regulamentos de proteção de dados. Mais detalhes sobre a função e o papel do responsável pela proteção de dados foram dados em 13 de dezembro de 2016 (revisado em 5 de abril de 2017) em um documento de diretrizes.

Nos termos do artigo 27.º, as organizações sediadas fora da UE devem também designar uma pessoa com sede na UE como representante e ponto de contacto para as suas obrigações relativas ao RPDD. Este é um requisito separado e distinto de um DPO, embora haja sobreposição de responsabilidades que sugerem que esse papel também pode ser mantido pelo DPO designado. O Artigo 27 não se aplica se a empresa estiver envolvida apenas no processamento “ocasional” de dados pessoais, não estiver realizando processamento em larga escala de dados relacionados a condenações criminais ou categorias especiais, e o processamento “não é susceptível de resultar em risco para a empresa”. direitos e liberdades das pessoas singulares ”.

Violações de dados

Sob o GDPR, o controlador de dados tem a obrigação legal de notificar a autoridade supervisora ​​sem demora indevida, a menos que a violação seja improvável que resulte em um risco aos direitos e liberdades dos indivíduos. Há um máximo de 72 horas após tomar conhecimento da violação de dados para fazer o relatório (Artigo 33). Os indivíduos devem ser notificados se o impacto adverso for determinado (Artigo 34). Além disso, o processador de dados terá que notificar o controlador sem atrasos indevidos após tomar conhecimento de uma violação de dados pessoais (Artigo 33).

No entanto, o aviso aos titulares de dados não é necessário se o controlador de dados implementou medidas de proteção técnicas e organizacionais apropriadas que tornem os dados pessoais ininteligíveis a qualquer pessoa que não esteja autorizada a acessá-los, como criptografia (artigo 34).

Sanções

As seguintes sanções podem ser impostas:

• um aviso por escrito em casos de não-conformidade inicial e não intencional
• auditorias regulares periódicas de proteção de dados
• multa até 10 milhões de euros ou até 2% do volume de negócios anual do exercício anterior, no caso de uma empresa, o que for maior, se tiver havido violação das seguintes disposições: (Artigo 83, nº 5 e 6)
  • as obrigações do responsável pelo tratamento e do processador nos termos dos artigos 8º, 11º, 25º a 39º e 42º e 43º.
  • as obrigações do organismo de certificação nos termos dos artigos 42 e 43
  • as obrigações do organismo de controlo nos termos do n. o 4 do artigo 41.
• multa até 20 milhões de euros ou até 4% do volume de negócios anual do exercício anterior, no caso de uma empresa, o que for maior, se tiver havido violação das seguintes disposições: (Artigo 83, nº 4)
  • os princípios básicos do tratamento, incluindo as condições de consentimento, de acordo com os Artigos 5, 6, 7 e 9
  • direitos dos titulares de dados nos termos dos artigos 12.º a 22.º
  • as transferências de dados pessoais para um destinatário num país terceiro ou uma organização internacional nos termos dos artigos 44.º a 49.º
  • quaisquer obrigações previstas na legislação do estado membro adotada nos termos do Capítulo IX
  • Não-conformidade com uma ordem ou limitação temporária ou definitiva do tratamento ou suspensão do fluxo de dados pela autoridade de supervisão nos termos do artigo 58.o, n.o 2, ou a falta de acesso em violação do artigo 58.o, n.o 1

Marketing B2B

Dentro do GDPR existe uma diferença distinta entre o negócio para o consumidor ( B2C ) e o marketing B2B (business to business). Sob GDPR existem seis motivos para processar dados pessoais, estes são igualmente válidos. Existem dois destes que são relevantes para o marketing B2B direto, são consentimento ou interesse legítimo . O considerando 47 do RPGD afirma que “o tratamento de dados pessoais para fins de marketing direto pode ser considerado como tendo um interesse legítimo”.

Usar o interesse legítimo como base para o marketing B2B envolve garantir que as principais condições sejam atendidas:

• “O processamento deve estar relacionado aos interesses legítimos da sua empresa ou de um terceiro especificado, desde que os interesses ou direitos fundamentais da pessoa em causa não anulem o interesse legítimo da empresa.”
• “O processamento deve ser necessário para alcançar os interesses legítimos da organização.”

Além disso, o Artigo 6.1 (f) do GDPR declara que o processamento é lícito se for: “Necessário para os interesses legítimos perseguidos pelo controlador ou por um terceiro, exceto quando tais interesses forem sobrepostos pelos interesses ou interesses. direitos e liberdades fundamentais do indivíduo que exigem proteção de informações pessoais, em particular quando o indivíduo é uma criança ”

A Comissão da UE declarou que “as leis unificadas de privacidade de dados criarão oportunidades extraordinárias e motivarão a inovação para empresas não somente dentro da Europa, mas também para a organização que está disposta a fazer negócios com estados europeus ou já administrar seus negócios em estados europeus”. visa que as empresas mantenham comunicações e construam regulamentos que apoiem as relações entre si para garantir melhores práticas de dados por meio de verificações legítimas de saldo

Restrições

Os seguintes casos não são abrangidos pelo regulamento:

• Interceptação legal, segurança nacional, militar, policial, justiça
• Análise estatística e científica
• Pessoas falecidas estão sujeitas à legislação nacional
• Existe uma lei dedicada sobre relações empregador-empregado
• Processamento de dados pessoais por uma pessoa natural no curso de uma atividade puramente pessoal ou doméstica

Por outro lado, uma entidade ou, mais precisamente, uma “empresa” deve estar envolvida em “atividade econômica” a ser coberta pelo GDPR. [a] A atividade econômica é amplamente definida no âmbito do direito da concorrência da União Europeia .

Recepção

A proposta do novo regulamento deu origem a muita discussão e controvérsia. Milhares de alterações foram propostas.

Os profissionais de TI esperam que a conformidade com o GDPR exija investimento adicional em geral: mais de 80% dos gastos esperados com GDPRs pesquisados ​​serão de pelo menos US $ 100.000.As preocupações foram repetidas em um relatório encomendado pelo escritório de advocacia Baker & McKenzie que descobriu que “cerca de 70% dos entrevistados acreditam que as organizações precisarão investir orçamento / esforço adicional para cumprir com o consentimento, mapeamento de dados e requisitos de transferência de dados transfronteiriços O custo total para as empresas da UE é estimado em cerca de € 200 bilhões, enquanto para as empresas dos EUA a estimativa é de US $ 41,7 bilhões. Tem sido argumentado que empresas menores e empresas iniciantes podem não ter recursos financeiros para cumprir adequadamente o GDPR , ao contrário das maiores empresas internacionais de tecnologia (como Facebook e Google) A intenção óbvia do regulamento é visar, em primeiro lugar e acima de tudo. A falta de conhecimento e compreensão dos regulamentos tem sido também uma preocupação no período que antecedeu a sua adopção.

Os regulamentos, incluindo se uma empresa deve ter um responsável pela proteção de dados, foram criticados por possíveis encargos administrativos e requisitos de conformidade pouco claros.Embora a minimização de dados seja um requisito, com a pseudonimização sendo um dos meios possíveis, a regulamentação não fornece nenhuma orientação sobre como ou o que constitui um esquema efetivo de desidentificação de dados, com uma área cinza sobre o que seria considerado como pseudonimização inadequada sujeita à Seção 5 Há também preocupação com a implementação do GDPR em sistemas blockchain , pois o registro transparente e fixo de transações blockchain contradiz a própria natureza do GDPR.

Muitos meios de comunicação comentaram sobre a introdução de um “ direito à explicação ” de decisões algorítmicas, mas os estudiosos do direito argumentaram desde então que a existência de tal direito é altamente incerta sem testes judiciais e é, na melhor das hipóteses, limitada.

Impacto

A partir da data efetiva do GDPR, muitas empresas e websites mudaram suas políticas de privacidade e recursos em todo o mundo (ver efeito Bruxelas ) para cumprir com seus requisitos e fornecer notificação por e-mail e no local das alterações, apesar de tendo tido pelo menos dois anos para se preparar e fazê-lo. Isto tem sido criticado por eventualmente levar a uma forma de fadiga de alarme , devido à massa crítica de sites fazendo isso antes da data de vigência de 25 de maio de 2018, enquanto golpes de phishing também surgiram usando versões falsificadas de tais e-mails. Alguns sites internacionais (incluindo alguns jornais e emissoras norte-americanas, como o Los Angeles Times , o Chicago Tribune e oNew York Daily News ) começou a bloquear usuários da UE ou redirecioná-los para versões com recursos limitados do site, a fim de remover suas responsabilidades. Alguns sites (como o Klout ), empresas (incluindo Unroll.me) e videogames online (incluindo os servidores europeus do Ragnarok Online e todos os servidores do Super Monday Night Combat ) encerraram as operações para coincidir com sua implementação, citando o GDPR como um fardo sobre suas operações continuadas.

Timeline

• 25 de janeiro de 2012: a proposta para o GDPR foi lançado.
• 21 de outubro de 2013: A Comissão do Parlamento Europeu para as Liberdades Cívicas, Justiça e Assuntos Internos (LIBE) votou a sua orientação.
• 15 de dezembro de 2015: as negociações entre o Parlamento Europeu , o Conselho e a Comissão ( reunião do Trílogo Formal ) resultaram numa proposta conjunta.
• 17 de dezembro de 2015: A Comissão LIBE do Parlamento Europeu votou pelas negociações entre as três partes.
• 8 de abril de 2016: Adopção pelo Conselho da União Europeia.O único Estado membro que votou contra foi a Áustria, que argumentou que o nível de proteção de dados em alguns aspectos é curto em comparação com a diretiva de 1995.
• 14 de abril de 2016: Adoção pelo Parlamento Europeu.
• 24 de maio de 2016: O regulamento entrou em vigor 20 dias após a sua publicação no Jornal Oficial da União Europeia .
• 25 de maio de 2018: Suas disposições serão diretamente aplicáveis ​​em todos os Estados membros, dois anos após a entrada em vigor da regulamentação.

Mercado Único Digital da UE

A estratégia da UE para o mercado único digital diz respeito às atividades de " economia digital " relacionadas com empresas e pessoas na UE.Como parte da estratégia, o PIBR ea Directiva NIS serão todos aplicáveis a partir de 25 de maio de 2018. A proposta de regulamento ePrivacy também está previsto para ser aplicável a partir de 25 de maio de 2018. O eIDAS regulamento também faz parte da estratégia.

Fonte: Wikipedia

Em 4 de maio de 2016, os dois atos normativos que fazem parte do pacote legislativo relativo à proteção de dados a nível da UE foram publicados no Jornal Oficial da União Europeia:

O Regulamento (UE) 2016/679 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46 / CE (regulamento geral de proteção de dados),

Diretiva (UE) 2016/680 relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes de aplicação da lei.

O Regulamento (UE) 2016/679 atualiza os princípios estabelecidos há duas décadas pela Diretiva 95/46 / CE, que será revogada pelo regulamento.

O Regulamento Geral de Proteção de Dados entrou em vigor no dia 25 de maio de 2016 e será diretamente aplicável a partir de 25 de maio de 2018.

Regulamento (UE) 2016/679 relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e que revoga a Directiva 95/46 / CE (Regulamento Geral de Protecção de Dados)

Direitos dos titulares dos dados - Excepto o Regulamento (UE) 2016/679

Orientações para a aplicação do Regulamento Geral de Protecção de Dados pelos responsáveis ​​pelo tratamento de dados

Artigo 29.º Orientações do grupo de trabalho - Regulamento geral de proteção de dados (GDPR)

Durante a reunião plenária de dezembro, o Grupo de Trabalho do artigo 29.º adotou 3 orientações elaboradas para assegurar uma aplicação harmonizada do Regulamento Geral de Proteção de Dados, com início em 25 de maio de 2018.

Assim, essas diretrizes estão disponíveis para consulta pública e para comentários / propostas adicionais até o final de janeiro de 2017:

• Diretrizes sobre o direito à portabilidade de dados, de acordo com o Artigo 20 do GDPR
• Diretrizes sobre Diretores de Proteção de Dados (DPO), de acordo com os Artigos 37-39 do GDPR
• Diretrizes para identificar uma autoridade supervisora ​​principal do controlador ou do processador .

Até agora, essas diretrizes estão disponíveis em inglês.

As orientações finais do grupo de trabalho do artigo 29.

Durante o Plenário do Grupo de Trabalho do artigo 29.º, realizado em abril de 2017, foram finalizadas e adotadas 3 orientações destinadas a assegurar a aplicação uniforme do Regulamento Geral sobre a Proteção de Dados, com início em 25 de maio de 2017.

Assim, na sequência da consulta pública lançada em dezembro do ano passado e da análise das propostas recebidas, foram adotadas as seguintes diretrizes:

• Diretrizes sobre o direito à portabilidade de dados
• Diretrizes sobre Diretores de Proteção de Dados ('DPOs')
• Diretrizes para identificar a autoridade supervisora ​​principal de um controlador ou processador

Além disso, mencionamos que, durante este Plenário, o Parecer 1/2017 sobre a Proposta de Regulamento do Regulamento ePrivacidade.

Durante o mesmo Plenário, o empenho do Grupo de Trabalho do Artigo 29.º sobre a revisão do Regulamento n.º 45/2001 relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e organismos comunitários e à livre circulação desses dados foi também adotado.

Fonte: dataprotection.ro