LGPD eTítulo

Inserir GDPRAqui
Inserir Título Aqui
GDPR: Estudo Teórico

Responsável pelo Conteúdo:

Prof. Esp. Mark William Ormenese Monteiro

Revisão Textual:
Prof. Me. Luciano Vieira Francisco
 GDPR: Estudo Teórico

Nesta unidade, trabalharemos os seguintes tópicos:

Fonte: Getty Images

• Disposições Gerais;
• Direitos do Titular dos Dados;
• Responsável pelo Tratamento e Subcontratante;
• Segurança dos Dados Pessoais;
• Avaliação de Impacto sobre a
Proteção de Dados e Consulta Prévia;
• Códigos de Conduta e Certificação;
• Transferências de Dados Pessoais para
Países Terceiros ou Organizações Internacionais;
• Autoridades de Controle Independentes.

Objetivo
• Conhecer o Regulamento Geral de Proteção de Dados – General Data Protection Regulation
(GDPR) – da União Europeia e a sua sistemática internacional, para planejamento e enten-
dimento organizacional dos dados.

Caro Aluno(a)!

Normalmente, com a correria do dia a dia, não nos organizamos e deixamos para o úl-
timo momento o acesso ao estudo, o que implicará o não aprofundamento no material
trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas.

Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você
poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns
dias e determinar como o seu “momento do estudo”.

No material de cada Unidade, há videoaulas e leituras indicadas, assim como sugestões

de materiais complementares, elementos didáticos que ampliarão sua interpretação e
auxiliarão o pleno entendimento dos temas abordados.

Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de
discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de
propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de
troca de ideias e aprendizagem.

Bons Estudos!
UNIDADE
GDPR: Estudo Teórico

Contextualização
Na década de 1960 o educador, intelectual e filósofo canadense, Marshall McLuhan
(1911-1980), um dos principais estudiosos sobre os meios de comunicação e a relação com
a sociedade, já profetizava sobre a popularização de tecnologias como a internet e um
mundo digital sem fios. Afirmava que os meios eram extensões do ser humano e davam
ao homem novas formas de perceber e modificar o mundo à sua volta (COSTA, 2011).

Os conceitos defendidos por esse intelectual começaram a se tornar realidade a par-

tir do lançamento do primeiro computador, em 1977. Com a evolução tecnológica e o
surgimento de soluções como a internet, telefone celular e as redes sociais, novas con-
figurações de relacionamentos e práticas de socialização foram estabelecidas, de modo
que atualmente é impossível se imaginar sem o smartphone, não é mesmo?

Talvez você ainda não tivesse nascido, mas na década de 1980 fazia muito sucesso,
no Brasil, um desenho chamado Os Jetsons, que encantava com a tecnologia do futuro.
Naquela época, para nós que assistíamos ao desenho, parecia surreal ou impossível
imaginar a convivência em meio a tanta tecnologia, tais como videochamadas ou robôs
que cuidam da casa.

Atualmente podemos dizer que a tecnologia vislumbrada no cotidiano de Os Jetsons não

estava tão longe de se tornar realidade, de modo que assista ao vídeo “15 tecnologias de
Os Jetsons que já existem hoje em dia”. Disponível em: https://youtu.be/ckaFBbhAKBU

Uma delas, por exemplo, é o robô aspirador de pó; fazemos videochamadas e fala-
mos com pessoas de qualquer canto do mundo. Atualmente temos à disposição uma
infinidade de ferramentas que nos dão comodidade graças à tecnologia.

Neste mundo hiperconectado, onde o trânsito de dados de usuários da internet é

cada vez maior, surgiram dilemas éticos e novos desafios que apontaram para a neces-
sidade de ferramentas para regular o uso indiscriminado de dados no universo virtual.

Com a utilização de dados pessoais cada vez maior por empresas e entidades públicas
e privadas, vários países adotaram leis de proteção para regulamentar o uso. Uma das
pioneiras é o GDPR, ou Regulamento Geral sobre a Proteção de Dados, válido para países
da União Europeia e empresas que tratam dados de titulares que moram nessa região.

A União Europeia até tinha leis relacionadas à privacidade, mas eram de 1995 (Dire-
tiva n.º 95/46 CE) e não correspondiam ao cenário tecnológico atual.

O projeto do GDPR foi iniciado em 2012 e aprovado em 2016, iniciando discussões

sobre a proteção de dados em vários cantos do Planeta. Inspirou, por exemplo, a criação
da CCPA – Lei de Privacidade do Consumidor da Califórnia – e da LGPD – Lei Geral de
Proteção de Dados – no Brasil.

Enfim, é sobre este regulamento que estudaremos nesta Unidade.

6
Disposições Gerais
O Regulamento Geral sobre a Proteção de Dados (GDPR) surgiu em um momento
em que o mundo passou a discutir a necessidade de ferramentas para regular o uso in-
discriminado no universo virtual.

A aprovação do Regulamento foi em abril de 2016 e após um período de transição,

entrou em vigor em maio de 2018.

O GDPR é válido para os países que compõem a União Europeia (UE) e empresas
que tratam dados de titulares que moram nessa região. Só para lembrar, a UE é o maior
bloco econômico do mundo, formado por 27 Estados-Membros independentes, situados
na Europa, onde há livre circulação de bens, pessoas e mercadorias.

E qual é a relação do GDPR como o Brasil? O Regulamento reúne um conjunto de

regras e procedimentos para o tratamento de dados privados e toda empresa, inclusive
brasileira, que atue na região ou forneça serviços/produtos para os europeus deste bloco
econômico devem seguir as normas severas para coletar, tratar, armazenar e compar-
tilhar os dados dos indivíduos. Significa que se você tem uma loja no Brasil que envia
algum produto para algum país desse bloco, deverá se adaptar e cumprir as regras,
tais como oferecer meios para deleção e migração de dados, manter logs de todas as
atividades. Deverá também nomear um Data Protection Officer (GPO) ou encarregado
de dados – adiante analisaremos os direitos dos titulares e você entenderá quais são as
obrigações das empresas para se adequar à legislação.

Quem assegura a aplicação do Regulamento é o Comitê Europeu de Proteção de Dados

(CEPD), organismo europeu independente formado por representantes das autoridades na-
cionais de proteção de dados dos países da UE e da Autoridade Europeia para a Proteção
de Dados (AEPD). Esse comitê orienta e aconselha a Comissão Europeia sobre questões
relacionadas à proteção dos dados pessoais e à nova legislação proposta na União Europeia.

A supervisão da aplicação das regras do Regulamento cabe às autoridades de pro-

teção de dados, sendo uma para cada Estado-Membro da UE. O DPO – Diretor de
Proteção de Dados – é o profissional responsável por prestar contas sobre a atividade da
entidade em que se encontra filiado, avaliando possíveis impactos aos titulares.

O descumprimento do GDPR pode gerar multas de até 20 milhões de euros, ou 4%

do valor global da empresa. O Regulamento é bem extenso. Além de 173 considerações,
há 11 capítulos e 99 artigos que estabelecem as regras relativas à proteção das pessoas
singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses
dados, de modo que nesta Unidade focaremos nos principais pontos do Regulamento.

O GDPR estabelece as regras relativas ao tratamento, por uma pessoa, uma empresa
ou organização, de dados pessoais relativos a pessoas na UE. Não se aplica ao tratamen-
to de dados pessoais de pessoas falecidas ou de pessoas coletivas.

As regras também não se aplicam ao tratamento de dados por motivos exclusiva-

mente pessoais ou no exercício de atividades domésticas, desde que não haja qualquer
ligação com uma atividade profissional ou comercial. Quando uma pessoa utiliza os
dados pessoais fora da sua esfera pessoal – por exemplo, para o exercício de atividades
socioculturais ou financeiras –, a legislação deve ser respeitada.

7
7
UNIDADE
GDPR: Estudo Teórico

O GPR é um regulamento – e não uma diretiva –, de modo que não é necessário que os Es-
tados-Membros aprovem legislação adicional. O GDPR é diretamente aplicável a todos os
Estados-Membros da UE, ao contrário da antiga diretiva. Portanto, vincula toda e qualquer
organização que ofereça bens ou serviços que coletem dados pessoais relacionados à UE.

Antes de prosseguirmos, cabe aqui o esclarecimento de algumas definições citadas

no Regulamento.

• Dados pessoais: informação relativa a uma pessoa singular identificada ou identificá-

vel (titular dos dados); é considerada identificável a pessoa singular que possa ser iden-
tificada, direta ou indiretamente, em especial por referência a um identificador como,
por exemplo, um nome, dados de localização, identificadores por via eletrônica ou a
um ou mais elementos específicos da identidade física, fisiológica, genética, mental,
econômica, cultural ou social dessa pessoa singular;
• Tratamento: operação ou um conjunto de operações efetuadas sobre dados pessoais
ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatiza-
dos, tais como a recolha, o registo, a organização, estruturação, conservação, adapta-
ção ou alteração, recuperação, consulta, utilização, divulgação por transmissão, difusão
ou qualquer outra forma de disponibilização, comparação ou interconexão, limitação,
o apagamento ou a destruição;
• Limitação do tratamento: inserção de uma marca nos dados pessoais conservados
com o objetivo de limitar o seu tratamento no futuro;
• Definição de perfis: qualquer forma de tratamento automatizado de dados pessoais
que consista em utilizar tais dados pessoais para avaliar certos aspectos pessoais de
uma pessoa singular;
• Pseudonimização: tratamento de dados pessoais de forma que deixem de poder ser
atribuídos a um titular de dados específico sem recorrer a informações suplementares,
desde que essas informações suplementares sejam mantidas separadamente e sujeitas
a medidas técnicas e organizativas para assegurar que os dados pessoais não possam
ser atribuídos a uma pessoa singular identificada ou identificável.

Princípios
Conforme o GDPR, ao processar dados pessoais, os responsáveis devem se nortear
pelos seguintes princípios básicos:
• Licitude, lealdade e transparência: todos os titulares devem ser informados dos
principais elementos de tratamento de seus dados pessoais de forma clara, facil-
mente acessível, concisa, transparente e inteligível;
• Adequação e limitação da finalidade: os dados devem ser tratados com uma fi-
nalidade específica e, subsequentemente, utilizados apenas na medida em que esse
uso não seja incompatível com a finalidade;
• Necessidade ou minimização: prevê que os dados pessoais devem ser adequa-
dos, pertinentes e limitados em relação aos fins para os quais serão processados.
O objetivo é diminuir a quantidade de dados, coletando apenas aqueles que sejam
essenciais para o produto ou serviço ofertado;

8
 • Qualidade dos dados ou exatidão: os dados devem ser exatos e, quando ne-
cessário, objetos de atualização, além de adequados, pertinentes e não excessivos
relativamente às finalidades para as quais são tratados;
• Limitação da conservação: os dados não devem ser conservados mais tempo do
que o necessário;
• Segurança, integridade e confidencialidade: qualquer entidade que proceda ao
tratamento de dados pessoais deve assegurar que tais dados serão tratados de
modo a garantir a sua segurança;
• Prestação de contas ou responsabilização: exige que as organizações implemen-
tem medidas técnicas e organizacionais apropriadas, assim como sejam capazes de
prestar contas e demonstrar eficácia, quando solicitadas.

Direitos do Titular dos Dados

O GDPR descreve uma relação de direitos concedidos ao titular de dados para assu-
mir o controle de suas informações para a sua própria proteção.

Um dos principais conceitos neste item está relacionado à transparência, ou seja, a

empresa que coleta e trata os dados deverá deixar clara a finalidade do uso destes dados
e mais, deverá ter o consentimento para este mesmo uso.

Entre os direitos dos indivíduos, pode-se remover o consentimento de ter os seus dados
retificados ou definitivamente removidos após o encerramento da relação entre as partes.
Os titulares também têm direito à limitação do tratamento de seus dados por parte das em-
presas e entidade, podendo limitar a utilização enquanto houver equívocos em seus registros.

No Regulamento são direitos do titular:

• Transparência das informações, comunicações e regras para o exercício dos direi-
tos dos titulares dos dados;
• Informações a facultar quando os dados pessoais são recolhidos junto do titular;
• Informações a facultar quando os dados pessoais não são recolhidos junto do titular;
• Direito de acesso do titular dos dados;
• Direito de retificação;
• Direito ao apagamento dos dados (direito a ser esquecido);
• Direito à limitação do tratamento;
• Obrigação de notificação da retificação ou apagamento dos dados pessoais, ou
ainda limitação do tratamento;
• Direito de portabilidade dos dados;
• Direito de oposição;
• Decisões individuais automatizadas, incluindo definição de perfis;
• Limitações.

9
9
UNIDADE
GDPR: Estudo Teórico

Para compreender melhor os direitos do titular dos dados, acesse o guia do cidadão para a
proteção de dados na UE. Disponível em: https://bit.ly/3eTFZrp
Outra leitura interessante é a notícia publicada pelo jornal O Estado de São Paulo, cujo
título é Casos na Europa levantaram discussão sobre direito ao esquecimento. A matéria
cita, entre outros casos, a história de Costeja González, que entrou com uma ação – e
ganhou –, exigindo que o Google excluísse os resultados de buscas sobre uma dívida tri-
butária municipal. Disponível em: https://bit.ly/2QWbfOz

Responsável pelo Tratamento

e Subcontratante
O Capítulo IV do GDPR descreve que o responsável pelo tratamento aplica as me-
didas técnicas e organizativas que forem adequadas para assegurar e comprovar que o
tratamento é realizado em conformidade com o regulamento. Essas medidas são revistas
e atualizadas conforme as necessidades. É o responsável que determina as finalidades e
os meios pelos quais os dados pessoais são tratados.
Se a sua empresa/organização é corresponsável pelo tratamento, ou seja, quando
determina conjuntamente as finalidades e os meios desse tratamento, ambos são res-
ponsáveis conjuntos pelo tratamento. Determinam, por acordo entre si e de modo trans-
parente, as respectivas responsabilidades pelo cumprimento do regulamento.
O mesmo Capítulo cita o subcontratante, que geralmente é um terceiro externo à empresa
e só efetua o tratamento de dados pessoais em nome do responsável pelo referido tratamento.
No caso de grupos de empresas, uma pode atuar como subcontratante de outra
organização. Neste caso, os deveres do subcontratante perante o responsável pelo tra-
tamento devem ser especificados em um contrato ou em outro ato jurídico que indique
o que acontece aos dados pessoais ao final do encerramento do contrato. Por exemplo,
uma atividade típica dos subcontratantes é a oferta de soluções informáticas, incluindo
armazenamento em nuvem. O subcontratante só poderá subcontratar uma parte das
suas tarefas a outro subcontratante ou nomear um subcontratante conjunto se tiver rece-
bido autorização prévia e por escrito do responsável pelo tratamento dos dados.
Para entender como funcionam tais responsabilidades dos envolvidos, leia os exem-
plos a seguir.

• Exemplo de responsável pelo tratamento e subcontratante: uma fábrica de

cerveja com muitos trabalhadores assina um contrato com uma empresa de gestão
de folhas de pagamento, a fim de que esta efetue o pagamento de seus salários. A
fábrica informa à empresa de gestão quando os salários deverão ser pagos, quando
um trabalhador sairá da empresa ou receberá aumento, fornecendo todos os dados
necessários para a folha. A empresa de gestão fornecerá o sistema de informática
e armazenará os dados dos trabalhadores. Neste caso, a fábrica de cerveja será a
responsável pelo tratamento e a empresa de gestão será a subcontratante.

10
 • Exemplo de responsáveis conjuntos pelo tratamento: uma empresa/organiza-
ção oferece serviços de baby-sitter através de uma plataforma on-line. Simultane-
amente, tem um contrato com outra empresa que presta serviços como a possibili-
dade de os pais também alugarem jogos e filmes para a babá. Ambas as empresas
participam da configuração técnica da plataforma e as duas usam e partilham os
dados dos clientes. Portanto, as duas empresas são responsáveis conjuntas pelo tra-
tamento porque não só concordaram em oferecer a possibilidade dos serviços com-
binados, como também conceberam e utilizam uma plataforma comum.

Segurança dos Dados Pessoais

Para garantir a segurança dos dados pessoais, o Regulamento dispõe sobre algumas
medidas que as organizações devem colocar em prática, levando em conta as técnicas
mais avançadas, os custos de aplicação e a natureza, o âmbito, contexto e as finalidades
do tratamento, bem como os riscos – de probabilidade e gravidade variável – para os
direitos e as liberdades das pessoas singulares.
O responsável pelo tratamento e o subcontratante devem aplicar as medidas a seguir
para assegurar um nível de segurança adequado ao risco:
• A pseudonimização e cifragem dos dados pessoais como medidas baseadas em
riscos para proteger a segurança dos dados e os direitos dos indivíduos;
• Anonimação, ou seja, a capacidade de assegurar a confidencialidade, integridade,
disponibilidade e resiliência permanentes dos sistemas e serviços de tratamento;
• A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de
forma atempada no caso de um incidente físico ou técnico;
• Um processo para testar, apreciar e avaliar regularmente a eficácia das medidas
técnicas e organizativas para garantir a segurança do tratamento.
Neste item, o Regulamento dispõe sobre a notificação de uma violação de dados
pessoais à autoridade de controle competente, ou seja, os controladores de dados de-
vem relatar qualquer violação às suas autoridades de proteção de dados em até 72 horas
após conhecimento da mesma, a menos que seja improvável que a violação prejudique
as pessoas em causa.
A comunicação da violação de dados pessoais deve ser feita ao titular dos dados o
mais rápido possível. Os processadores de dados também devem notificar os controla-
dores sobre as violações o mais breve possível.

Avaliação de Impacto sobre a

Proteção de Dados e Consulta Prévia
O Regulamento orienta que quando um certo tipo de tratamento, em particular o
que utiliza novas tecnologias, fica suscetível em alto risco aos direitos e às liberdades dos
indivíduos, o responsável pelo tratamento deverá realizar uma Avaliação de Impacto de
Proteção de Dados (DPIA) das operações previstas.

11
11
UNIDADE
GDPR: Estudo Teórico

Se um conjunto de operações de tratamento apresentar riscos elevados semelhantes,

pode ser analisado em uma única avaliação. Ao efetuar uma avaliação de impacto sobre
a proteção de dados, o responsável pelo tratamento solicitará o parecer do encarregado
da proteção de dados, nos casos em que este tenha sido designado.

Para você entender como funciona, na prática, uma DPIA para operações que provavel-
mente envolveriam riscos, a Microsoft explica como funciona este e outros pontos do GDPR.
Disponível em: https://bit.ly/33dhMqq

Encarregado da Proteção de Dados

Assim como ocorre em nossa legislação brasileira (LGPD), no GDPR também há os
agentes de tratamento. Aqui já tratamos do responsável pelo tratamento e o subcontra-
tante, mas há outra figura importante na empresa, o encarregado da proteção de dados,
designado como responsável pelo tratamento e subcontratante sempre que:
• O tratamento for efetuado por uma autoridade ou um organismo público, excetuan-
do os tribunais no exercício da sua função jurisdicional;
• As atividades principais do responsável pelo tratamento ou do subcontratante consis-
tam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade,
exijam controle regular e sistemático dos titulares dos dados em grande escala;
• As atividades principais do responsável pelo tratamento ou do subcontratante con-
sistam em operações de tratamento em grande escala de categorias especiais de
dados e de dados pessoais relacionados a condenações penais e infrações.
Um grupo empresarial poderá designar um único encarregado da proteção de dados
desde que haja um encarregado facilmente acessível a partir de cada estabelecimento.

São funções do encarregado:

• Informar e aconselhar o responsável pelo tratamento ou o subcontratante, bem
como os trabalhadores que tratem os dados, a respeito das suas obrigações e de ou-
tras disposições de proteção de dados da União ou dos Estados-Membros;
• Controlar a conformidade do Regulamento com outras disposições de proteção de
dados da União ou dos Estados-Membros e com as políticas do responsável pelo tra-
tamento ou do subcontratante – relativas à proteção de dados pessoais;
• Aconselhar, quando tal lhe for solicitado, no que se refere à avaliação de impacto
sobre a proteção de dados e controlar a sua realização;
• Cooperar com a autoridade de controle;
• Ser um contato para a autoridade de controle.

Códigos de Conduta e Certificação

A aplicabilidade do Regulamento deve seguir regras de conduta elaboradas pelos
Estados-Membros, autoridades de controle, pelo Comitê Europeu de Proteção de Dados
e pela Comissão Europeia, tendo em vista as características dos diferentes setores de
tratamento e as necessidades específicas das micro, pequenas e médias empresas.

12
 Tais códigos de conduta devem oferecer garantias à proteção de dados dos indivídu-
os. A elaboração é feita pelos responsáveis pelo tratamento e o projeto deve ser elabo-
rado às autoridades competentes, que avaliam, aprovam e publicam. Os códigos podem
especificar a aplicação do Regulamento como, por exemplo:
• O tratamento equitativo e transparente;
• Os legítimos interesses dos responsáveis pelo tratamento em contextos específicos;
• A recolha de dados pessoais;
• A pseudonimização dos dados pessoais;
• A informação prestada ao público e aos titulares dos dados;
• O exercício dos direitos dos titulares dos dados;
• As informações prestadas às crianças e a sua proteção, assim como o modo pelo qual
o consentimento do titular das responsabilidades parentais da criança deve ser obtido;
• As medidas e os procedimentos destinados a garantir a segurança do tratamento;
• A notificação de violações de dados pessoais às autoridades de controle e a comu-
nicação dessas violações de dados pessoais aos titulares dos dados;
• A transferência de dados pessoais para países terceiros ou organizações internacionais;
• As ações extrajudiciais e outros procedimentos de resolução de litígios entre os res-
ponsáveis pelo tratamento e os titulares dos dados em relação ao tratamento, sem
prejuízo dos direitos dos titulares dos dados.
Para comprovar a conformidade com o regulamento, o responsável pelo tratamento
deverá adotar orientações internas e aplicar medidas que respeitem, em especial, os prin-
cípios da proteção de dados já citados, desde a concepção à proteção de dados por defeito.
Quem supervisiona a conformidade com um código de conduta nos termos do Regu-
lamento pode ser um organismo com um nível adequado de competência e que esteja
autorizado pela autoridade de controle.
E como saber se a empresa está em conformidade com o Regulamento? Os Estados-
-Membros, as autoridades de controle, o Comitê e a Comissão promovem a criação de
procedimentos de certificação, bem como selos e marcas de proteção de dados.
A certificação é emitida pelos organismos creditados pelos Estados-Membros ou pela
autoridade competente e subcontratantes por um período máximo de três anos e pode
ser renovada nas mesmas condições, desde que os requisitos aplicáveis continuem a
estar reunidos.

Transferências de Dados
Pessoais para Países Terceiros
ou Organizações Internacionais
Nos termos do Regulamento, especificamente no Artigo 3º (Âmbito de aplicação terri-
torial), aplica-se o tratamento de dados pessoais efetuado no contexto das atividades de um
estabelecimento de um responsável pelo tratamento ou de um subcontratante situado no
território da União, independentemente de o tratamento ocorrer dentro ou fora da União.

13
13
UNIDADE
GDPR: Estudo Teórico

O GDPR traz regras rígidas para que os dados pessoais coletados possam circular in-
ternacionalmente, exigindo, cada qual com as suas particularidades, o cumprimento de
determinados requisitos, vinculados à manutenção da proteção dessas informações no
país estrangeiro, como condicionante para que seja autorizado o seu fluxo transfronteiri-
ço. Significa que as regras que protegem os dados pessoais são aplicadas independente-
mente da localização dos dados. Aplicam-se também quando os dados são transferidos
para um país que não seja membro da UE (país terceiro).

Para não comprometer o nível de proteção das pessoas, o Regulamento propõe re-
gras para enquadrar as transferências de dados de um país da União Europeia para um
terceiro. Estas regras são as seguintes:
• Em certos casos, pode declarar-se que um país terceiro oferece um nível adequado
de proteção através de uma decisão da Comissão Europeia (decisão de adequação),
o que significa que é possível transferir dados para uma empresa situada no país ter-
ceiro sem que o exportador dos dados tenha de apresentar garantias suplementares
e sem que esteja sujeito a condições adicionais. Significa que as transferências para
um país terceiro são semelhantes a uma transmissão de dados no interior da UE;
• Na falta de uma decisão de adequação, a transferência pode ser efetuada mediante a
apresentação de garantias adequadas e na condição de as pessoas gozarem de direitos
oponíveis e de medidas jurídicas corretivas eficazes. As garantias adequadas são estas:
» No caso de um grupo de empresas ou de grupos de empresas envolvidos em uma
atividade econômica conjunta, as empresas podem transferir dados pessoais com
base nas regras vinculativas aplicáveis às empresas;
» Disposições contratuais com o destinatário dos dados pessoais, utilizando, por
exemplo, as cláusulas-tipo de proteção de dados adotadas pela Comissão Europeia;
» Código de conduta ou um procedimento de certificação, acompanhado de com-
promissos vinculativos e com força executiva assumidos pelos destinatários no
sentido de aplicarem as garantias adequadas para proteger os dados transferidos.
• Se estiver prevista uma transferência de dados pessoais para um país terceiro que
não esteja sujeito a uma decisão de adequação e na ausência de garantias adequa-
das, a transferência pode ser efetuada com base em um conjunto de derrogações
aplicáveis em situações específicas, por exemplo, se uma pessoa tiver consentido
expressamente na transferência proposta após ter recebido todas as informações
necessárias sobre os riscos associados à mesma.

Para se aprofundar neste assunto sobre a transferência de dados pessoais para países ter-
ceiros, leia o artigo disponível em: https://bit.ly/3nLiuVz

Autoridades de Controle Independentes

Para defender os direitos e as liberdades fundamentais dos indivíduos e facilitar a
livre circulação dos dados na União Europeia, os Estados-Membros estabelecem que
cada um deve ter, pelo menos, uma autoridade – pública e independente. Chamada de

14
autoridades de controle, tem a responsabilidade de fiscalizar e aplicar o Regulamento e
prezar pela defesa dos direitos fundamentais das pessoas naturais relativos à proteção
de dados pessoais.

Tais autoridades públicas independentes controlam, através de poderes de investi-

gação e de correção, a aplicação da legislação relativa à proteção de dados. Prestam
aconselhamento especializado e tratam reclamações apresentadas contra violações do
Regulamento e das leis nacionais pertinentes.

As autoridades de controle também têm como responsabilidade fiscalizar a atuação

de agentes pelo tratamento, assim como os subcontratantes, aplicando sanções quando
houver o descumprimento dos preceitos e princípios do GDPR.

Agora, para aprofundar os conhecimentos no Regulamento, leia o Material Comple-

mentar.

15
15
UNIDADE
GDPR: Estudo Teórico

Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:
Leitura
Exin privacy e data protection – privacidade, dados pessoais e GDPR
https://bit.ly/3tjwdUP
Falta de privacidade mata mais que terrorismo: o surpreendente alerta de professora de Oxford
https://bbc.in/2Rs1siV
GDPR – 101 controles básicos para a conformidade
https://bit.ly/3nLspu6
GDPR: entenda o que é o Regulamento Geral de Proteção de Dados
https://bit.ly/3nLlnFM
Transferência de dados entre Europa e Brasil: análise da adequação da legislação brasileira
https://bit.ly/3nKhMrE
Um ano de GDPR: o que podemos aprender com os erros e acertos da Europa
https://bit.ly/3ej73Bj

16
Referências
COSTA, M. Marshall McLuhan: os estágios da história da humanidade / o meio é a
mensagem / aldeia global. 29 maio 2011. Disponível em: <http://aprendendoteoriada-
comunicacao.blogspot.com.br/2011/05/marshall-mcluhan-os-estagios-da.html>. Aces-
so em: 25/01/2021.

PARLAMENTO EUROPEU. Regulamento Geral sobre a Proteção de Dados (GDPR).

2016. Disponível em: <https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=pt>. Acesso
em: 10/11/2020.

Site Visitado
UNIÃO EUROPEIA. Disponível em: <https://europa.eu/european-union/index_pt>.
Acesso em: 25/01/2021.

17
17