Escolar Documentos
Profissional Documentos
Cultura Documentos
Inserir GDPRAqui
Inserir Título Aqui
GDPR: Estudo Teórico
Revisão Textual:
Prof. Me. Luciano Vieira Francisco
GDPR: Estudo Teórico
Objetivo
• Conhecer o Regulamento Geral de Proteção de Dados – General Data Protection Regulation
(GDPR) – da União Europeia e a sua sistemática internacional, para planejamento e enten-
dimento organizacional dos dados.
Caro Aluno(a)!
Normalmente, com a correria do dia a dia, não nos organizamos e deixamos para o úl-
timo momento o acesso ao estudo, o que implicará o não aprofundamento no material
trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas.
Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você
poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns
dias e determinar como o seu “momento do estudo”.
Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de
discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de
propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de
troca de ideias e aprendizagem.
Bons Estudos!
UNIDADE
GDPR: Estudo Teórico
Contextualização
Na década de 1960 o educador, intelectual e filósofo canadense, Marshall McLuhan
(1911-1980), um dos principais estudiosos sobre os meios de comunicação e a relação com
a sociedade, já profetizava sobre a popularização de tecnologias como a internet e um
mundo digital sem fios. Afirmava que os meios eram extensões do ser humano e davam
ao homem novas formas de perceber e modificar o mundo à sua volta (COSTA, 2011).
Talvez você ainda não tivesse nascido, mas na década de 1980 fazia muito sucesso,
no Brasil, um desenho chamado Os Jetsons, que encantava com a tecnologia do futuro.
Naquela época, para nós que assistíamos ao desenho, parecia surreal ou impossível
imaginar a convivência em meio a tanta tecnologia, tais como videochamadas ou robôs
que cuidam da casa.
Uma delas, por exemplo, é o robô aspirador de pó; fazemos videochamadas e fala-
mos com pessoas de qualquer canto do mundo. Atualmente temos à disposição uma
infinidade de ferramentas que nos dão comodidade graças à tecnologia.
Com a utilização de dados pessoais cada vez maior por empresas e entidades públicas
e privadas, vários países adotaram leis de proteção para regulamentar o uso. Uma das
pioneiras é o GDPR, ou Regulamento Geral sobre a Proteção de Dados, válido para países
da União Europeia e empresas que tratam dados de titulares que moram nessa região.
A União Europeia até tinha leis relacionadas à privacidade, mas eram de 1995 (Dire-
tiva n.º 95/46 CE) e não correspondiam ao cenário tecnológico atual.
6
Disposições Gerais
O Regulamento Geral sobre a Proteção de Dados (GDPR) surgiu em um momento
em que o mundo passou a discutir a necessidade de ferramentas para regular o uso in-
discriminado no universo virtual.
O GDPR é válido para os países que compõem a União Europeia (UE) e empresas
que tratam dados de titulares que moram nessa região. Só para lembrar, a UE é o maior
bloco econômico do mundo, formado por 27 Estados-Membros independentes, situados
na Europa, onde há livre circulação de bens, pessoas e mercadorias.
O GDPR estabelece as regras relativas ao tratamento, por uma pessoa, uma empresa
ou organização, de dados pessoais relativos a pessoas na UE. Não se aplica ao tratamen-
to de dados pessoais de pessoas falecidas ou de pessoas coletivas.
7
7
UNIDADE
GDPR: Estudo Teórico
O GPR é um regulamento – e não uma diretiva –, de modo que não é necessário que os Es-
tados-Membros aprovem legislação adicional. O GDPR é diretamente aplicável a todos os
Estados-Membros da UE, ao contrário da antiga diretiva. Portanto, vincula toda e qualquer
organização que ofereça bens ou serviços que coletem dados pessoais relacionados à UE.
Princípios
Conforme o GDPR, ao processar dados pessoais, os responsáveis devem se nortear
pelos seguintes princípios básicos:
• Licitude, lealdade e transparência: todos os titulares devem ser informados dos
principais elementos de tratamento de seus dados pessoais de forma clara, facil-
mente acessível, concisa, transparente e inteligível;
• Adequação e limitação da finalidade: os dados devem ser tratados com uma fi-
nalidade específica e, subsequentemente, utilizados apenas na medida em que esse
uso não seja incompatível com a finalidade;
• Necessidade ou minimização: prevê que os dados pessoais devem ser adequa-
dos, pertinentes e limitados em relação aos fins para os quais serão processados.
O objetivo é diminuir a quantidade de dados, coletando apenas aqueles que sejam
essenciais para o produto ou serviço ofertado;
8
• Qualidade dos dados ou exatidão: os dados devem ser exatos e, quando ne-
cessário, objetos de atualização, além de adequados, pertinentes e não excessivos
relativamente às finalidades para as quais são tratados;
• Limitação da conservação: os dados não devem ser conservados mais tempo do
que o necessário;
• Segurança, integridade e confidencialidade: qualquer entidade que proceda ao
tratamento de dados pessoais deve assegurar que tais dados serão tratados de
modo a garantir a sua segurança;
• Prestação de contas ou responsabilização: exige que as organizações implemen-
tem medidas técnicas e organizacionais apropriadas, assim como sejam capazes de
prestar contas e demonstrar eficácia, quando solicitadas.
Entre os direitos dos indivíduos, pode-se remover o consentimento de ter os seus dados
retificados ou definitivamente removidos após o encerramento da relação entre as partes.
Os titulares também têm direito à limitação do tratamento de seus dados por parte das em-
presas e entidade, podendo limitar a utilização enquanto houver equívocos em seus registros.
9
9
UNIDADE
GDPR: Estudo Teórico
Para compreender melhor os direitos do titular dos dados, acesse o guia do cidadão para a
proteção de dados na UE. Disponível em: https://bit.ly/3eTFZrp
Outra leitura interessante é a notícia publicada pelo jornal O Estado de São Paulo, cujo
título é Casos na Europa levantaram discussão sobre direito ao esquecimento. A matéria
cita, entre outros casos, a história de Costeja González, que entrou com uma ação – e
ganhou –, exigindo que o Google excluísse os resultados de buscas sobre uma dívida tri-
butária municipal. Disponível em: https://bit.ly/2QWbfOz
10
• Exemplo de responsáveis conjuntos pelo tratamento: uma empresa/organiza-
ção oferece serviços de baby-sitter através de uma plataforma on-line. Simultane-
amente, tem um contrato com outra empresa que presta serviços como a possibili-
dade de os pais também alugarem jogos e filmes para a babá. Ambas as empresas
participam da configuração técnica da plataforma e as duas usam e partilham os
dados dos clientes. Portanto, as duas empresas são responsáveis conjuntas pelo tra-
tamento porque não só concordaram em oferecer a possibilidade dos serviços com-
binados, como também conceberam e utilizam uma plataforma comum.
11
11
UNIDADE
GDPR: Estudo Teórico
Para você entender como funciona, na prática, uma DPIA para operações que provavel-
mente envolveriam riscos, a Microsoft explica como funciona este e outros pontos do GDPR.
Disponível em: https://bit.ly/33dhMqq
12
Tais códigos de conduta devem oferecer garantias à proteção de dados dos indivídu-
os. A elaboração é feita pelos responsáveis pelo tratamento e o projeto deve ser elabo-
rado às autoridades competentes, que avaliam, aprovam e publicam. Os códigos podem
especificar a aplicação do Regulamento como, por exemplo:
• O tratamento equitativo e transparente;
• Os legítimos interesses dos responsáveis pelo tratamento em contextos específicos;
• A recolha de dados pessoais;
• A pseudonimização dos dados pessoais;
• A informação prestada ao público e aos titulares dos dados;
• O exercício dos direitos dos titulares dos dados;
• As informações prestadas às crianças e a sua proteção, assim como o modo pelo qual
o consentimento do titular das responsabilidades parentais da criança deve ser obtido;
• As medidas e os procedimentos destinados a garantir a segurança do tratamento;
• A notificação de violações de dados pessoais às autoridades de controle e a comu-
nicação dessas violações de dados pessoais aos titulares dos dados;
• A transferência de dados pessoais para países terceiros ou organizações internacionais;
• As ações extrajudiciais e outros procedimentos de resolução de litígios entre os res-
ponsáveis pelo tratamento e os titulares dos dados em relação ao tratamento, sem
prejuízo dos direitos dos titulares dos dados.
Para comprovar a conformidade com o regulamento, o responsável pelo tratamento
deverá adotar orientações internas e aplicar medidas que respeitem, em especial, os prin-
cípios da proteção de dados já citados, desde a concepção à proteção de dados por defeito.
Quem supervisiona a conformidade com um código de conduta nos termos do Regu-
lamento pode ser um organismo com um nível adequado de competência e que esteja
autorizado pela autoridade de controle.
E como saber se a empresa está em conformidade com o Regulamento? Os Estados-
-Membros, as autoridades de controle, o Comitê e a Comissão promovem a criação de
procedimentos de certificação, bem como selos e marcas de proteção de dados.
A certificação é emitida pelos organismos creditados pelos Estados-Membros ou pela
autoridade competente e subcontratantes por um período máximo de três anos e pode
ser renovada nas mesmas condições, desde que os requisitos aplicáveis continuem a
estar reunidos.
Transferências de Dados
Pessoais para Países Terceiros
ou Organizações Internacionais
Nos termos do Regulamento, especificamente no Artigo 3º (Âmbito de aplicação terri-
torial), aplica-se o tratamento de dados pessoais efetuado no contexto das atividades de um
estabelecimento de um responsável pelo tratamento ou de um subcontratante situado no
território da União, independentemente de o tratamento ocorrer dentro ou fora da União.
13
13
UNIDADE
GDPR: Estudo Teórico
O GDPR traz regras rígidas para que os dados pessoais coletados possam circular in-
ternacionalmente, exigindo, cada qual com as suas particularidades, o cumprimento de
determinados requisitos, vinculados à manutenção da proteção dessas informações no
país estrangeiro, como condicionante para que seja autorizado o seu fluxo transfronteiri-
ço. Significa que as regras que protegem os dados pessoais são aplicadas independente-
mente da localização dos dados. Aplicam-se também quando os dados são transferidos
para um país que não seja membro da UE (país terceiro).
Para não comprometer o nível de proteção das pessoas, o Regulamento propõe re-
gras para enquadrar as transferências de dados de um país da União Europeia para um
terceiro. Estas regras são as seguintes:
• Em certos casos, pode declarar-se que um país terceiro oferece um nível adequado
de proteção através de uma decisão da Comissão Europeia (decisão de adequação),
o que significa que é possível transferir dados para uma empresa situada no país ter-
ceiro sem que o exportador dos dados tenha de apresentar garantias suplementares
e sem que esteja sujeito a condições adicionais. Significa que as transferências para
um país terceiro são semelhantes a uma transmissão de dados no interior da UE;
• Na falta de uma decisão de adequação, a transferência pode ser efetuada mediante a
apresentação de garantias adequadas e na condição de as pessoas gozarem de direitos
oponíveis e de medidas jurídicas corretivas eficazes. As garantias adequadas são estas:
» No caso de um grupo de empresas ou de grupos de empresas envolvidos em uma
atividade econômica conjunta, as empresas podem transferir dados pessoais com
base nas regras vinculativas aplicáveis às empresas;
» Disposições contratuais com o destinatário dos dados pessoais, utilizando, por
exemplo, as cláusulas-tipo de proteção de dados adotadas pela Comissão Europeia;
» Código de conduta ou um procedimento de certificação, acompanhado de com-
promissos vinculativos e com força executiva assumidos pelos destinatários no
sentido de aplicarem as garantias adequadas para proteger os dados transferidos.
• Se estiver prevista uma transferência de dados pessoais para um país terceiro que
não esteja sujeito a uma decisão de adequação e na ausência de garantias adequa-
das, a transferência pode ser efetuada com base em um conjunto de derrogações
aplicáveis em situações específicas, por exemplo, se uma pessoa tiver consentido
expressamente na transferência proposta após ter recebido todas as informações
necessárias sobre os riscos associados à mesma.
Para se aprofundar neste assunto sobre a transferência de dados pessoais para países ter-
ceiros, leia o artigo disponível em: https://bit.ly/3nLiuVz
14
autoridades de controle, tem a responsabilidade de fiscalizar e aplicar o Regulamento e
prezar pela defesa dos direitos fundamentais das pessoas naturais relativos à proteção
de dados pessoais.
15
15
UNIDADE
GDPR: Estudo Teórico
Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:
Leitura
Exin privacy e data protection – privacidade, dados pessoais e GDPR
https://bit.ly/3tjwdUP
Falta de privacidade mata mais que terrorismo: o surpreendente alerta de professora de Oxford
https://bbc.in/2Rs1siV
GDPR – 101 controles básicos para a conformidade
https://bit.ly/3nLspu6
GDPR: entenda o que é o Regulamento Geral de Proteção de Dados
https://bit.ly/3nLlnFM
Transferência de dados entre Europa e Brasil: análise da adequação da legislação brasileira
https://bit.ly/3nKhMrE
Um ano de GDPR: o que podemos aprender com os erros e acertos da Europa
https://bit.ly/3ej73Bj
16
Referências
COSTA, M. Marshall McLuhan: os estágios da história da humanidade / o meio é a
mensagem / aldeia global. 29 maio 2011. Disponível em: <http://aprendendoteoriada-
comunicacao.blogspot.com.br/2011/05/marshall-mcluhan-os-estagios-da.html>. Aces-
so em: 25/01/2021.
Site Visitado
UNIÃO EUROPEIA. Disponível em: <https://europa.eu/european-union/index_pt>.
Acesso em: 25/01/2021.
17
17