Você já deve ter ouvido falar da GDPR, a lei de proteção de dados mais robusta até hoje na UE. Em seu nível mais básico, o regulamento estabelece o que constitui processamento legal de dados pessoais (como são coletados, usados, protegidos ou interagidos em geral) e concede aos indivíduos cujos dados pessoais são processados alguns direitos, chamados de “direitos do envolvido“.
👀 Neste artigo, damos uma olhada em quais são estes direitos e como você pode respeitá-los legalmente como um negócio.
Neste post, explicamos ⬇️
Antes de mergulharmos, vamos definir o que é um sujeito de dados. A quem se refere?
Titular dos Dados A quem se refere?
O termo “Sujeito dos dados” tem sido usado no texto da GDPR para descrever uma “pessoa física identificada ou identificável”. É essencialmente o indivíduo cujos dados pessoais (isto é, endereço de e-mail) estão sendo coletados, processados ou armazenados por uma empresa.
Tal inclui elementos de informação que, no seu conjunto, podem levar à identificação de uma pessoa.
🔍 Leia nosso artigo para saber mais sobre o que é considerado informação pessoal através das principais leis de privacidade.
Quais são os direitos dos sujeitos dos dados sob a GDPR?
A GDPR reconhece a necessidade de proteger os dados pessoais e de garantir que os indivíduos tenham controle sobre eles.
Ele permite que os titulares dos dados tomem algumas medidas em direção aos dados pessoais que as empresas têm sobre eles e lhes concedeu uma lista de 8 direitos do titular dos dados: direito de ser informado, direito de acesso, direito de retificação, direito de apagamento, direito de restringir o processamento, direito de portabilidade dos dados, direito de objeção, direitos relacionados à tomada de decisão automatizada e à elaboração de perfis. Continue lendo para obter mais detalhes.
📎 O Direito a ser Informado (GDPR Artigo 13, 14)
Você precisa informar aos usuários que seus dados estão sendo coletados, quais dados em particular, e por quê. Isto também significa que seus avisos de privacidade devem ser concisos, fáceis de entender e facilmente acessíveis em todo o seu website/app.
📎 O Direito de Acesso (artigo 15 da GDPR)
Os utilizadores têm o direito de aceder aos seus dados pessoais e informações sobre a forma como os seus dados pessoais estão a ser tratados.
📎 O Direito à Retificação (artigo 16 do GDPR)
Os utilizadores têm o direito de obter a correção dos dados pessoais que lhes digam respeito se estes estiverem inexatos ou incompletos.
📎 O Direito de Apagar (GDPR Artigo 17)
O direito ao apagamento dos dados Quando os dados deixarem de ser relevantes para a sua finalidade original ou quando os utilizadores tiverem retirado o consentimento, os utilizadores têm o direito de solicitar o apagamento dos seus dados e que cesse qualquer difusão.
📎 O Direito de Restringir o Processamento (artigo 18 da GDPR)
Os utilizadores têm o direito de limitar o tratamento dos seus dados pessoais quando:
📎 O direito à portabilidade dos dados (artigo 20 da GDPR)
📎 O Direito a Objeto (GDPR Artigo 21)
Os usuários têm o direito de se opor a certas atividades em relação aos seus dados pessoais.
📎 Direitos Relacionados à Tomada de Decisão Automatizada e Perfilagem (GDPR Artigo 22)
Os utilizadores têm o direito de não ficar sujeitos a uma decisão tomada com base no tratamento automatizado ou definição de perfis que produza efeitos na sua esfera jurídica ou que os afete significativamente de forma similar.
🔍 Você pode encontrar detalhes completos sobre os direitos acima em termos simplificados em nosso guia GDPR aqui, ou você pode ler o texto oficial da GDPR aqui.
💡 Não tem certeza de quais leis de privacidade realmente se aplicam a você?
🚀 Faça este questionário gratuito de 1 minuto para descobrir!
Seu papel como empresa em relação aos direitos dos sujeitos dos dados
O que esses direitos significam para seu negócio, na prática?
Indicação de um encarregado
Um encarregado da proteção de dados (DPO) é normalmente nomeado por uma empresa para garantir que os dados pessoais sejam processados de acordo com as regras de proteção de dados aplicáveis. Isto inclui dados pessoais:
- dos funcionários da organização;
- dos clientes da organização;
- dos fornecedores da organização;
- dos sujeitos dos dados; e
- processados por processadores de dados.
Você deve saber que se a GDPR se aplicar à sua empresa e se você processar uma quantidade significativa de dados pessoais, você é legalmente obrigado a designar um DPO.
Quando se trata de pessoas e direitos das pessoas em causa, um RPD freqüentemente atua como o principal ponto de contato e precisa lidar com solicitações de indivíduos que gostariam de exercer seus direitos.
🔍 Elaboramos um guia rápido sobre o que procurar ao escolher seu RPD. Confira aqui!
Preencher o Pedido de Acesso ao Assunto de Dados (DSAR)
O preenchimento de um Pedido de Acesso aos Dados é um passo que os indivíduos podem tomar para exercer seu direito de acesso chave, sob a GDPR. Os sujeitos dos dados podem enviar um pedido por escrito e solicitar as seguintes informações:
- por que as informações são coletadas/processadas?
- quais são as categorias de dados pessoais coletados/processados?
- os dados são compartilhados com terceiros?
Como empresa, você deve fornecer uma resposta com uma cópia dos dados pessoais do indivíduo, sem custos.
O pedido deve ser atendido sem demora indevida e, no máximo, no prazo de um mês após o recebimento.
🔍 Saiba mais sobre como lidar com o DSAR aqui.
Honrar os direitos dos sujeitos dos dados
É desnecessário dizer que o resultado final aqui é que você é obrigado a honrar os direitos GDPR do sujeito dos dados. Você deve:
✅ Leve estes direitos a sério e tenha medidas técnicas e organizacionais apropriadas para respeitá-los;
✅ Supervisionar o treinamento de seu pessoal (se houver) sobre questões de proteção de dados e tratamento de solicitações de indivíduos;
✅ Certifique-se de que seus documentos de privacidade estejam completos e atualizados!
O não cumprimento destes direitos pode resultar em multas e danos à reputação.
Honrar os direitos do sujeito dos dados é apenas uma parte do cumprimento da GDPR.
👉 Eis 5 coisas que precisa de fazer hoje para cumprir o RGPD