Grande logotipo da Academia Europa
  • 22 de março de 2024
  • Última atualização 7 de maio de 2023 10h40
  • Hannover

Conformidade com GDPR

A Academy Europe confirma a aplicação da conformidade com o GDPR de acordo com a lei da União Europeia:

https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679

O Regulamento Geral de Proteção de Dados (GDPR) é a lei de privacidade e segurança mais rígida do mundo. Embora tenha sido elaborado e aprovado pela União Europeia (UE), impõe obrigações a organizações em qualquer lugar, desde que direcionem ou coletem dados relacionados a pessoas na UE. O regulamento entrou em vigor em 25 de maio de 2018. O GDPR cobrará multas severas contra aqueles que violarem seus padrões de privacidade e segurança, com multas que chegam a dezenas de milhões de euros.

O GDPR.eu é fornecido a você como um recurso útil para encontrar rapidamente todos os 99 artigos e 173 considerandos do regulamento, bem como guias e listas de verificação úteis que o orientam sobre como o regulamento pode se aplicar a você.

https://gdpr.eu/tag/gdpr/

Transparência e informar o público sobre como seus dados estão sendo usados ​​são dois objetivos básicos do GDPR. Este artigo explica o que é um aviso de privacidade e oferece um modelo de aviso de privacidade para ajudá-lo a cumprir a lei.

O Regulamento Geral de Proteção de Dados da UE (GDPR) é um primeiro passo para dar aos cidadãos e residentes da UE mais controle sobre como seus dados são usados ​​pelas organizações. Se sua empresa lida com informações pessoais de pessoas na UE, você deve cumprir o GDPR, não importa onde você esteja no mundo. As multas por violar os novos direitos de privacidade das pessoas podem chegar a 4% de sua receita global ou € 20 milhões, o que for maior.

Um aviso de privacidade do GDPR é uma maneira importante de ajudar seus clientes a tomar decisões informadas sobre os dados que você coleta e usa. Reunimos algumas informações da própria lei e dos documentos de orientação da UE para ajudá-lo a entender os componentes de um bom aviso de privacidade. E na parte inferior, incluímos um modelo de aviso de privacidade que você pode adaptar à sua própria organização.

O que é um aviso de privacidade?

Um aviso de privacidade é um documento público de uma organização que explica como essa organização processa dados pessoais e como aplica os princípios de proteção de dados. Artigos 121314 do GDPR fornecem instruções detalhadas sobre como criar um aviso de privacidade, com ênfase em torná-los fáceis de entender e acessíveis. Se você estiver coletando dados diretamente de alguém, deverá fornecer seu aviso de privacidade no momento em que fizer isso.

Observe que os termos “aviso de privacidade” e “política de privacidade” não aparecem no texto do GDPR e são essencialmente intercambiáveis. As diretrizes explicadas neste artigo se aplicam a qualquer documento público em que sua organização descreva suas atividades de processamento de dados para clientes e o público.

De acordo com o GDPR, as organizações devem fornecer às pessoas um aviso de privacidade que seja:

  • De forma concisa, transparente, inteligível e de fácil acesso
  • Escrito em linguagem clara e simples, especialmente para qualquer informação dirigida especificamente a uma criança
  • Entregue em tempo hábil
  • Fornecido gratuitamente

O GDPR também estipula quais informações uma organização deve compartilhar em um aviso de privacidade. Há uma pequena variação nos requisitos dependendo se uma organização coleta seus dados diretamente de um indivíduo ou os recebe como um terceiro.

Se uma organização estiver coletando informações diretamente de um indivíduo, ela deverá incluir as seguintes informações em seu aviso de privacidade:

  • A identidade e detalhes de contato da organização, seu representante e seu Encarregado de Proteção de Dados
  • O objetivo da organização de processar os dados pessoais de um indivíduo e sua base legal
  • Os interesses legítimos da organização (ou de terceiros, quando aplicável)
  • Qualquer destinatário ou categorias de destinatários dos dados de um indivíduo
  • Os detalhes sobre qualquer transferência de dados pessoais para um país terceiro e as salvaguardas tomadas
  • O período de retenção ou critérios usados ​​para determinar o período de retenção dos dados
  • A existência dos direitos de cada titular dos dados
  • O direito de retirar o consentimento a qualquer momento (quando relevante)
  • O direito de apresentar uma reclamação junto de uma autoridade de controlo
  • Se o fornecimento de dados pessoais faz parte de um requisito ou obrigação legal ou contratual e as possíveis consequências de não fornecer os dados pessoais
  • A existência de um sistema automatizado de tomada de decisão, incluindo perfis e informações sobre como esse sistema foi configurado, o significado e as consequências

Se uma organização obtiver seus dados indiretamente (por meio de outra organização), seu aviso de privacidade deverá fornecer todas as mesmas informações, exceto pela:

  • Se o fornecimento de dados pessoais faz parte de um requisito ou obrigação legal ou contratual e as possíveis consequências de não fornecer os dados pessoais

E em vez disso deve adicionar:

  • As categorias de dados pessoais obtidos

De acordo com o artigo 14.º, n.º 3, se obtiver dados pessoais de terceiros, deve comunicar as informações acima ao titular dos dados: o mais tardar um mês após a obtenção dos dados, no momento em que comunica pela primeira vez com os dados assunto, ou antes de compartilhar os dados com outra organização.

Geralmente, um aviso de privacidade será fornecido por escrito e, quando apropriado, fornecido eletronicamente. Toda organização que mantém um site deve publicar seu aviso de privacidade lá, sob o título “Política de Privacidade”, e deve ser acessível por meio de um link direto de cada página da web. Se um site coleta dados pessoais online, o aviso de privacidade ou um link para ele deve ser fornecido na mesma página em que a coleta de dados ocorre. O GDPR também afirma que os avisos de privacidade devem estar disponíveis oralmente mediante solicitação para garantir a compreensão e ajudar os deficientes visuais.

Práticas recomendadas de aviso de privacidade do GDPR

Os avisos de privacidade devem evitar o uso de qualificadores como “pode”, “pode”, “algum”, “frequentemente” etc., pois são propositalmente vagos. A escrita deve estar no tempo ativo e as frases e parágrafos devem ser bem estruturados, usando marcadores para destacar pontos específicos de nota. Evite terminologia desnecessariamente legalista e técnica.

De acordo com a Comissão Europeia Diretrizes GDPR, as frases abaixo não são suficientemente claras quanto às finalidades do processamento. (Pegamos esses exemplos diretamente do documento.)

  • “Podemos usar seus dados pessoais para desenvolver novos serviços” (já que não está claro quais são os “serviços” ou como os dados ajudarão a desenvolvê-los)
  • “Podemos usar seus dados pessoais para fins de pesquisa” (já que não está claro a que tipo de “pesquisa” isso se refere)
  • “Podemos usar seus dados pessoais para oferecer serviços personalizados” (já que não está claro o que a “personalização” implica)
  • Por outro lado, esses tipos de frases são muito melhores:
    “Reteremos seu histórico de compras e usaremos os detalhes dos produtos que você comprou anteriormente para fazer sugestões para outros produtos nos quais acreditamos que você também esteja interessado” (é claro que tipos de dados serão processados, que o titular dos dados estará sujeito a anúncios direcionados para produtos e que seus dados serão usados ​​para permitir isso)
  • “Reteremos e avaliaremos informações sobre suas visitas recentes ao nosso site e como você se move em diferentes seções de nosso site para fins de análise para entender como as pessoas usam nosso site para que possamos torná-lo mais intuitivo” (está claro que tipo de os dados serão processados ​​e o tipo de análise que o controlador irá realizar)
  • “Manteremos um registro dos artigos em nosso site nos quais você clicou e usaremos essas informações para direcionar publicidade neste site para você que seja relevante para seus interesses, que identificamos com base nos artigos que você leu” (é claro o que a personalização implica e como foram identificados os interesses atribuídos ao titular dos dados)