Os artigos do GDPR explicados: Capítulo 1 - Disposições gerais

Este capítulo inclui quatro artigos que abordam os princípios fundamentais, âmbito material e territorial do Regulamento Geral de Proteção de Dados (GDPR). Além disso, este capítulo inclui as definições dos termos utilizados em todo o GDPR.

Artigo 1º - Objeto e objetivos

O Artigo 1º do GDPR descreve os principais objetivos da lei. Ele define o objeto do GDPR da seguinte maneira:

• Foco na proteção de indivíduos: The GDPR establishes rules regarding how personal data of individuals is handled.
• Proteção como direito fundamental: The regulation emphasizes that protection of personal data is a fundamental right.
• Livre circulação de dados na UE: O GDPR garante que os dados possam circular livremente dentro da União Europeia sem restrições vinculadas a preocupações com a proteção de dados.

Há doze considerandos que fornecem o contexto e a justificativa por trás dos objetivos estabelecidos neste artigo. Por exemplo, Considerando 3: Directiva 95/46/CE Harmonização, Considerando 6: Garantir altos níveis de proteção de dados apesar do aumento da troca de dados, e Considerando 10: Nível Harmonizado de Proteção de Dados, apesar do Escopo Nacional, acrescenta contexto à livre circulação de dados dentro da UE. Esses considerandos detalham como o Parlamento Europeu e o Conselho pretendem harmonizar a proteção dos direitos fundamentais e da liberdade dos indivíduos no que tange às atividades de processamento de dados, além de garantir o fluxo livre de dados pessoais entre os Estados-membros.

Implicação:

Embora este artigo não contenha implicações específicas que as organizações possam aplicar, ele fornece uma visão geral da posição e papel do GDPR em garantir a segurança de dados.

Artigo 2º - Âmbito de aplicação material

O Artigo 2º do GDPR aborda a aplicabilidade do regulamento, definindo dois pontos principais — o que se aplica e não se aplica a ele. Ele define que o GDPR é aplicável à maioria dos casos de processamento de dados para residentes da UE, tanto por meios automatizados quanto manuais.

• Meios automatizados de processamento de dados referem-se ao uso de computadores ou software, como bancos de dados online ou sistemas de gerenciamento de relacionamento com o cliente (CRM), para processar dados pessoais.
• Os meios manuais de processamento de dados referem-se ao processamento de sistemas de arquivamento de dados pessoais, como registros em papel, ou sistemas de arquivamento digital, como planilhas.

Este artigo também descreve algumas das exceções em que o GDPR não é aplicável. Elas incluem:

• Qualquer atividade de processamento que não esteja relacionada a nenhuma finalidade comercial ou profissional (por exemplo, para fins pessoais ou domésticos) fica fora do âmbito do GDPR.
• O processamento de dados pessoais de autoridades para fins de aplicação da lei não está sob a alçada do GDPR.
• Algumas atividades específicas realizadas pelos Estados-membros da UE que estão fora do âmbito do GDPR.

Implicações

Entender o âmbito: Este artigo ilustra que as organizações precisam estar cientes do amplo alcance do GDPR. Mesmo que não estejam localizadas na UE, elas devem cumpri-lo caso processarem dados pessoais de residentes da UE. Por exemplo, se você for um provedor de CRM SaaS localizado fora da UE, mas mantiver dados de residentes da UE como parte das informações de clientes ou clientes potenciais, estará sujeito ao cumprimento do GDPR.

Identificar todos os tipos de atividades de processamento: As organizações ou responsáveis pela proteção de dados (DPOs) devem identificar todas as situações em que coletam, armazenam e utilizam dados pessoais de indivíduos da UE. Isso inclui dados armazenados em sistemas (por exemplo, arquivos e bancos de dados) e sistemas de arquivamento manual (por exemplo, registros em papel).

Artigo 3º - Âmbito territorial

O Artigo 3º define onde o GDPR é aplicado. A aplicabilidade vai além de organizações localizadas fisicamente na UE. Este artigo centra-se no processamento de dados pessoais e não no local onde eles estão sendo processados. Isso significa que caso uma organização, independentemente da sua localização, tiver um estabelecimento (ou seja, escritório, subsidiária etc.) na UE que processe dados pessoais de residentes da UE, o GDPR é aplicável.

Este Artigo também descreve que o GDPR se aplica tanto aos controladores de dados (que determinam as finalidades e meios do processamento de dados) quanto aos processadores de dados (que processam dados em nome dos controladores). Portanto, mesmo que uma organização terceirize o processamento de dados para uma empresa sediada na UE, ela ainda poderá ser responsabilizada de acordo com o GDPR.

Além disso, este Artigo também descreve um cenário menos comum, mas importante, que se concentra na aplicabilidade do GDPR a organizações que processam dados pessoais em um local onde as leis dos Estados-membros da UE estão em vigor em devido ao direito internacional.

Exemplo

Armazenamento em nuvem com servidores internacionais: Uma empresa sediada nos Estados Unidos utiliza um provedor de serviços de armazenamento em nuvem com servidores localizados na França. Este serviço de armazenamento em nuvem armazena dados pessoais de cidadãos da UE, como informações de clientes ou registros de funcionários.

Embora a empresa norte-americana não esteja estabelecida fisicamente na UE, o GDPR ainda se aplica, pois o processamento desses dados pessoais ocorre em servidores localizados na França, onde a legislação da UE é aplicável.

Implicações

• Entendimento do direito internacional: Como o GDPR também fala sobre a inclusão pelo direito internacional público, as organizações precisam ter um bom conhecimento do direito internacional e de como ele cruza com as leis dos Estados-membros da UE para determinar se o GDPR se aplica à sua situação específica. Consultar um advogado familiarizado com o GDPR pode ser útil aqui.
• Necessidades de conformidade global: Organizações com uma pequena presença na UE que processam dados de cidadãos da UE precisam cumprir o GDPR. Isso pode ser complexo para empresas multinacionais, exigindo um exercício completo de mapeamento de dados para identificar todos os fluxos de dados relevantes.
• Transferências de dados e processadores terceirizados: As empresas que transferem dados de cidadãos da UE para processadores localizados na UE devem ser responsáveis por assegurar que eles cumpram os requisitos de segurança de dados e transferência subsequente do GDPR. Isso pode envolver a implementação de acordos de transferência de dados com cláusulas rígidas.
• Mapeamento de dados e inventário: As organizações devem criar um mapa de dados completo que identifique onde os dados dos cidadãos da UE são armazenados, processados e transferidos. Isso inclui identificar quaisquer estabelecimentos sediados na UE que processam esses dados.
• Desenvolvimento do programa de conformidade: É fundamental desenvolver um programa de conformidade com a proteção de dados que incorpore os requisitos do GDPR. Este programa deve abordar os direitos dos titulares dos dados, medidas de segurança de dados e procedimentos de notificação de violações.

Artigo 4º - Definições

O Artigo 4º fornece definições para os principais termos utilizados em todo o GDPR, oferecendo clareza e consistência na interpretação. Ele define termos como "dados pessoais", "processamento", "controlador", "processador", "consentimento", "violação de dados”, e muitos outros, fornecendo significados precisos para esses conceitos fundamentais.

Essas definições servem como base para entender e aplicar as disposições do GDPR na prática. Isso é essencial para assegurar que as partes interessadas tenham um entendimento comum dos termos e conceitos utilizados na regulamentação, facilitando assim os esforços de conformidade e execução.

As organizações também devem atualizar suas políticas, procedimentos e documentação para refletir essas definições com precisão.