Glossário UE-GDPR de Termos

Autor: Snezhana Dubrovskaya

Legislação

Diretiva de proteção de dados

A Diretiva Europeia 95/46 / CE rege o processamento de dados pessoais na UE e será substituída pelo GDPR a partir de 25 de maio de 2018. A Diretiva introduziu normas mínimas, que tiveram de ser implementadas por legislação separada em cada Estado Membro da UE. Estado. Tal conferiu aos Estados-Membros a possibilidade de alargar o âmbito de aplicação da directiva ou manter normas mais elevadas pré-existentes ou decidir não tirar pleno partido das derrogações, o que explica a aplicação de normas de protecção de dados diferentes em toda a Europa. Pode ser encontrada em linha: http://ec.europa.eu/justice/policies/privacy/docs/95-46-ce/dir1995-46_part1_en.pdf

EU GDPR

O Regulamento Geral de Proteção de Dados (GDPR) foi adotado como Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho em 27 de abril de 2016.

Contrariamente à Diretiva Proteção de Dados, o RGPD destina-se a ser aplicado diretamente em cada Estado-Membro da UE, sem a necessidade de implementar legislação, e a criar um quadro dentro do qual regras mais detalhadas possam ser feitas. Isto harmoniza a legislação em toda a Europa [ver o âmbito territorial ]. Por exemplo, o requisito de notificar o DPA [ver DPA ] do novo processamento será abolido (exceto em um número limitado de casos) e será substituído por uma obrigação de documentar todos os processos. Controladores [consulte Controlador de dados ] e processadores [consulte Processador de dados ] devem concordar com as responsabilidades entre eles; caso contrário, eles serão conjunta e severamente responsáveis. O regulamento pode ser encontrado online:http://eur-lex.europa.eu/legal-content/PT/TXT/

Diretiva e-Privacy

A Directiva relativa à privacidade electrónica foi adoptada pela primeira vez como Directiva 2002/58 / CE do Parlamento Europeu e do Conselho. Atualmente, está controlando os direitos de privacidade aplicados à tecnologia e ao conteúdo das comunicações eletrônicas. A diretiva pode ser encontrada em linha: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do

Regulamento de Privacidade Eletrônica

Após a adoção do GDPR, a Diretiva e-Privacy será revisada para cumprir o GDPR e abordar as inovações tecnológicas criadas desde a última emenda da Diretiva em 2009. Um projeto de proposta do Regulamento intitulado “Regulação em Privacidade e Comunicações Eletrônicas” foi lançado em 10 de janeiro de 2017. O Regulamento será aplicável a qualquer prestador de serviços de comunicações eletrónicas ou a qualquer entidade que processe dados de comunicações eletrónicas. Isso terá impacto na forma como as organizações interagem eletronicamente com os cidadãos da UE, incluindo rastreamento de usuários, coleta de dados em dispositivos de usuários e marketing direto. O projecto de regulamento e os documentos conexos podem ser consultados em linha: https://ec.europa.eu/digital-single-market/en/news/proposal-regulation-privacy-and-electronic-communications

Organismos GDPR

EDPS

A Autoridade Europeia para a Proteção de Dados (AEPD) foi criada em 2004 com o objetivo de garantir que as instituições e órgãos da UE respeitem o direito das pessoas à privacidade no processamento dos seus dados pessoais. Nas suas funções principais, a AEPD (1) supervisiona o tratamento de dados pessoais por parte da administração da UE, a fim de garantir o cumprimento das regras de privacidade, tratar das queixas e realizar inquéritos; e (2) aconselha instituições e órgãos da UE sobre todos os aspectos do processamento de dados pessoais e políticas e legislação relacionadas.

Grupo de trabalho do artigo 29.º

O Grupo de Trabalho do Artigo 29 (“A29WP”) é um organismo não regulador de proteção de dados. A sua principal função é fornecer aconselhamento especializado e fazer recomendações aos Estados-Membros e ao público em matéria de proteção de dados e tratamento de dados pessoais. O próprio organismo é composto por representantes das autoridades nacionais de proteção de dados da UE, da Autoridade Europeia para a Proteção de Dados (“AEPD”) e da Comissão Europeia. Foi transformado no “European Data Protection Board” (“EDPB”) sob o GDPR.

EDPB

O Conselho Europeu para a Proteção de Dados substituirá o Grupo de Trabalho do Artigo 29, e suas funções incluirão assegurar consistência na aplicação do PIBR, aconselhar a Comissão da UE, emitir diretrizes, códigos de prática e recomendações, credenciar organismos de certificação e emitir pareceres sobre projetos de lei. decisões das autoridades de supervisão.

Autoridade de Supervisão / Autoridade DPA / Autoridade Líder

As APDs são as autoridades nacionais de proteção de dados encarregadas da proteção da privacidade e dos dados pessoais. Cada Estado Membro nomeou um órgão da DPA para implementar e fazer cumprir a lei local de proteção de dados e para oferecer orientação. As APDs têm poderes de aplicação significativos, incluindo a capacidade de aplicar multas substanciais.

Terminologia GDPR

Assunto dos dados

Uma pessoa em causa é uma pessoa natural. Exemplos de um titular de dados podem ser um indivíduo, um cliente, um cliente em potencial, um funcionário, uma pessoa de contato etc.

Dados pessoais

Qualquer informação relativa a uma pessoa identificada / identificável, seja ela relacionada à sua vida privada, profissional ou pública. Pode ser qualquer coisa, desde um nome, foto, endereço de e-mail, dados bancários, postagens em sites de redes sociais, informações médicas, endereço IP ou uma combinação dos dados que identificam direta ou indiretamente a pessoa.

Dados pessoais sensíveis

O GDRR refere-se a dados pessoais sensíveis como “categorias especiais de dados pessoais”. As categorias especiais de dados incluem origem racial ou étnica, opiniões políticas, opiniões religiosas ou filosóficas, filiação a sindicatos, orientação sexual e saúde, dados genéticos e biométricos. processado para identificar exclusivamente um indivíduo. Os dados pessoais relativos a condenações criminais e crimes não estão incluídos, mas proteções extras semelhantes se aplicam ao seu processamento.

Controlador de dados

Qualquer organização, pessoa ou órgão que determine os propósitos e meios de processar dados pessoais, controla os dados e é responsável por eles, individualmente ou em conjunto. Exemplos quando o controlador de dados é um indivíduo incluem clínicos gerais, farmacêuticos e políticos, onde esses indivíduos mantêm informações pessoais sobre seus pacientes, clientes, constituintes etc. Exemplos de organizações podem ser controladores de dados, com ou sem fins lucrativos, privados ou governamentais. Grande ou pequeno, onde essas organizações mantêm informações pessoais sobre seus funcionários, clientes, etc.

Processador de dados

Um processador de dados processa os dados em nome do controlador de dados. Exemplos incluem empresas de folha de pagamento, contadores e empresas de pesquisa de mercado.

DPO

A nomeação de um responsável pela proteção de dados é obrigatória se: 1) o processamento for efetuado por uma autoridade pública; ou (2) as “atividades essenciais” de um controlador de dados / processador de dados requerem “o monitoramento regular e sistemático de dados em grande escala”, ou consistem no processamento de categorias especiais de dados ou dados sobre condenações criminais “em um grande escala."

Prestação de contas

Prestação de contas é a capacidade de demonstrar conformidade com o GDPR. O regulamento afirma explicitamente que esta é a responsabilidade da organização. Para demonstrar conformidade, medidas técnicas e organizacionais apropriadas devem ser implementadas. Ferramentas de melhores práticas, como avaliações de impacto de privacidade e privacidade por design, são agora legalmente exigidas em determinadas circunstâncias.

Consentimento

Consentimento é qualquer “dado livre, específico, informado e não ambíguo” indicação dos desejos do indivíduo pelo qual o titular dos dados, seja por uma declaração ou por uma clara ação afirmativa, significa concordância com dados pessoais relativos a eles serem processados ​​por um ou mais finalidades.

A ação afirmativa, ou um opt-in positivo, significa que o consentimento não pode ser inferido do silêncio, caixas pré-marcadas ou inatividade. Também deve ser separado dos termos e condições e ter uma maneira simples de retirá-lo. As autoridades públicas e os empregadores precisarão prestar atenção especial para assegurar que o consentimento seja dado livremente.

Os consentimentos existentes não precisam ser atualizados automaticamente em preparação para o GDPR, mas eles precisam atender ao padrão GDPR para serem específicos, granulares, claros, opt-in, devidamente documentados e facilmente retirados. Caso contrário, altere seus mecanismos de consentimento e procure um novo consentimento compatível com GDPR ou encontre uma alternativa para consentir.

Conceito one-stop-shop

Se uma empresa estiver estabelecida em mais do que um Estado-Membro, terá uma “autoridade principal”, determinada pelo local do seu “estabelecimento principal” na UE. Uma autoridade de supervisão que não seja uma autoridade principal também pode ter um papel regulador, por exemplo, quando o processamento afeta os titulares de dados no país em que essa autoridade supervisora ​​é a autoridade nacional.

Avaliação de impacto de privacidade (PIA)

O GDPR impõe uma nova obrigação aos controladores de dados e processadores de dados para conduzir uma Avaliação de Impacto de Proteção de Dados (também conhecida como avaliação de impacto de privacidade) antes de realizar qualquer processamento que apresente um risco de privacidade específico em virtude de sua natureza, escopo ou finalidades.

Em processamento

Processamento é qualquer operação executada em dados pessoais (conjuntos), como criação, coleta, armazenamento, visualização, transporte, uso, modificação, transferência, exclusão, etc., seja ou não por meios automatizados.

Profiling

Definição de perfil é qualquer forma de processamento automatizado de dados pessoais destinado a avaliar certos aspectos pessoais relacionados a um indivíduo, ou analisar ou prever em particular o desempenho dessa pessoa no trabalho, situação econômica, localização, saúde, preferências pessoais, confiabilidade ou comportamento.

Acesso ao assunto

Este é o direito dos titulares dos dados de obter, a pedido, do responsável pelo tratamento, determinadas informações relacionadas com o processamento dos seus dados pessoais.

Âmbito territorial

O âmbito territorial do RGPD inclui o Espaço Económico Europeu (EEE - todos os 28 estados membros da UE), a Islândia, o Liechtenstein e a Noruega, e não inclui a Suíça.

Terceiro

Um terceiro é qualquer pessoa singular ou colectiva, autoridade pública, agência ou qualquer outro organismo que não seja o titular dos dados, o responsável pelo tratamento, o processador e as pessoas que, sob a autoridade directa do responsável pelo tratamento ou do processador, estão autorizados a processar os dados.

Transferir

A transferência de dados pessoais para países fora do EEE ou para organizações internacionais está sujeita a restrições. Tal como acontece com a Diretiva de Proteção de Dados, os dados não precisam ser fisicamente transportados para serem transferidos. A visualização de dados hospedados em outro local equivaleria a uma transferência para fins de GDPR.

ARTIGOS RELACIONADOS