GDPR: o que é, por que existe e quem é responsável

1) O que é o GDPR (RGPD)

O General Data Protection Regulation (GDPR), conhecido em português como Regulamento Geral sobre a Proteção de Dados (RGPD), é a norma da União Europeia que estabelece regras para o tratamento de dados pessoais de pessoas localizadas no Espaço Económico Europeu (EEE). O Reino Unido possui uma versão própria, o UK GDPR, com bases semelhantes.

O GDPR promove transparência, controle pelo titular e responsabilização do ecossistema (accountability), alinhando privacidade a inovação de forma responsável.

2) Por que o GDPR existe

• Harmonizar regras de proteção de dados na UE/EEE;
• Proteger direitos fundamentais e liberdades;
• Dar controle aos titulares (acesso, correção, portabilidade, oposição etc.);
• Estimular confiança e o mercado único digital;
• Reduzir riscos de uso indevido e vazamentos.

3) Escopo e territorialidade (UE/EEE e UK GDPR)

O GDPR se aplica a organizações estabelecidas na UE/EEE e também a organizações fora da UE/EEE que ofereçam bens/serviços para pessoas no EEE ou monitorizem comportamento dentro do EEE. Para o Reino Unido, aplica-se o UK GDPR, com semelhanças e ajustes locais.

4) Princípios do GDPR

• Licitude, lealdade e transparência;
• Limitação das finalidades;
• Minimização dos dados;
• Exatidão (correção/atualização);
• Limitação da conservação (retenção mínima necessária);
• Integridade e confidencialidade (segurança);
• Responsabilização (accountability).

5) Bases legais (Art. 6)

• Consentimento (livre, específico, informado e inequívoco);
• Execução de contrato ou diligências pré-contratuais;
• Obrigação legal;
• Interesses vitais do titular ou de outra pessoa;
• Interesse público / exercício de autoridade pública;
• Interesses legítimos do controlador (balanceamento e salvaguardas).

6) Dados especiais e criminais (Arts. 9 e 10)

O GDPR prevê categorias especiais (ex.: saúde, biometria, origem racial/étnica, crenças) e dados relativos a condenações e infrações penais. Em geral, o tratamento exige condições adicionais (ex.: consentimento explícito, obrigação legal, medicina preventiva, interesse público substancial).

7) Quem é responsável: papéis e deveres

• Titular (Data Subject): pessoa a quem os dados se referem.
• Controlador (Controller): decide finalidades e meios do tratamento.
• Processador (Processor/Operador): trata dados em nome do controlador, sob contrato (Art. 28).
• DPO (Data Protection Officer): aconselha, monitora conformidade e é contato com autoridades e titulares (obrigatório em certos cenários).
• Autoridades de Supervisão (ex.: CNPD/PT, AEPD/ES, ICO/UK): fiscalizam, orientam e sancionam.

8) Direitos dos titulares

• Acesso e informação;
• Retificação;
• Apagamento (“direito a ser esquecido”, com exceções);
• Restrição do tratamento;
• Portabilidade dos dados;
• Oposição ao tratamento (incl. marketing direto);
• Decisões automatizadas e perfilhamento (direito à intervenção humana quando aplicável).

As organizações devem responder em prazo adequado (em regra, até 1 mês, prorrogável em casos complexos) e verificar a identidade do solicitante.

9) Obrigações para empresas

• Registro das atividades de tratamento (RoPA – Art. 30);
• Avaliações de impacto (DPIA) quando houver alto risco (Art. 35);
• Contratos com processadores (DPAs – Art. 28);
• Segurança adequada ao risco (Art. 32);
• Privacidade desde a concepção e por padrão (privacy by design & by default – Art. 25);
• Governança e accountability (políticas, treinamentos, auditorias, logs);
• Transparência (avisos de privacidade claros – Arts. 13/14);
• Gestão de consentimento (quando aplicável) e preferências – atenção ao ePrivacy/cookies;
• Documentar bases legais e finalidades com minimização e retenção adequadas;
• Sanções: multas de até 20M€ ou 4% do faturamento global, o que for maior (dependendo do caso).

10) Transferências internacionais

Transferir dados fora do EEE/UK exige mecanismos adequados: decisões de adequação, Cláusulas Contratuais-Padrão (SCCs) da UE, adendos como IDTA (UK), binding corporate rules (BCRs) ou outras salvaguardas, além de avaliações de risco.

11) Incidentes e notificações (72h)

Violações de dados pessoais com risco a direitos e liberdades devem ser notificadas à autoridade competente em até 72 horas após a detecção (Art. 33). Titulares afetados também podem precisar ser informados (Art. 34).