Regulamento Geral de Proteção de Dados — conhecido pela sigla GDPR (General Data Protection Regulation) — é um regulamento da União Europeia (UE) criado para proteger os dados pessoais e a privacidade de indivíduos e regulamentar como organizações coletam, processam, armazenam e transferem informações pessoais. Ele entrou em vigor em 25 de maio de 2018 e se tornou o principal marco global de proteção de dados.
Definição técnica do GDPR:
O GDPR é uma lei europeia que exige que empresas e organizações tratem dados pessoais com transparência, segurança e responsabilidade, assegurando os direitos dos titulares de dados (pessoas físicas) e estabelecendo normas rigorosas para o uso de informações pessoais. Ele substituiu a antiga Diretiva de Proteção de Dados de 1995 e foi projetado para harmonizar as leis de proteção de dados em todos os países membros da UE.
Como funciona?
O GDPR aplica‑se sempre que dados pessoais de residentes da União Europeia são coletados, processados ou armazenados por uma organização, independentemente de essa organização estar localizada dentro ou fora da UE. Ele estabelece regras sobre:
- Coleta e processamento de dados: os dados pessoais devem ser processados de forma justa, legal e transparente.
- Consentimento: o titular dos dados deve consentir de forma clara e específica para que seus dados sejam usados.
- Direitos dos titulares: inclui direitos como acesso, retificação, exclusão, portabilidade e limitação do uso de dados.
- Segurança dos dados: medidas técnicas e organizacionais devem proteger os dados contra acessos não autorizados e violações.
- Transferência internacional: dados podem ser transferidos para fora da UE apenas sob condições específicas que garantam proteção equivalente.
Direitos dos titulares de dados:
O GDPR confere aos indivíduos um conjunto de direitos para controlar seus dados pessoais, incluindo:
- Direito de acesso: saber quais dados uma organização possui sobre eles.
- Direito à retificação: corrigir informações incorretas.
- Direito ao apagamento (“direito ao esquecimento”): exigir a exclusão de dados.
- Direito à portabilidade: receber seus dados em formato legível e transferi‑los.
- Direito de oposição: recusar o processamento de dados em determinadas situações.
Quem deve cumprir o GDPR?
O GDPR se aplica a:
- Controladores de dados: entidades que determinam como e por que os dados pessoais são processados.
- Processadores de dados: entidades que processam dados pessoais em nome de controladores.
- Organizações fora da UE: as regras se aplicam mesmo a empresas não‑europeias que coletam ou processam dados de residentes da União Europeia.
Princípios-chave:
O GDPR é baseado em princípios fundamentais que regem o tratamento de dados, tais como:
- Legalidade, equidade e transparência: dados devem ser processados com base legal clara e informados ao titular.
- Limitação de finalidade: dados só podem ser usados para o fim declarado no momento da coleta.
- Minimização de dados: coletar apenas os dados necessários.
- Integridade e confidencialidade: garantir a segurança dos dados contra ameaças.
Penalidades e conformidade:
Empresas que não cumprem o GDPR podem ser multadas em valores significativos — até dezenas de milhões de euros ou uma percentagem considerável do faturamento global — dependendo da gravidade da infração. A conformidade inclui práticas como avaliação de impacto, nomeação de um Encarregado de Proteção de Dados (DPO) e implementação de mecanismos técnicos de segurança.
Importância global do GDPR
Embora seja uma legislação da União Europeia, o GDPR influenciou regulamentações de proteção de dados em todo o mundo, servindo de modelo para leis como a Lei Geral de Proteção de Dados (LGPD) no Brasil e normas em outros países que também buscam fortalecer os direitos de privacidade dos cidadãos em ambientes digitais.