eSignGlobaleSignGlobal
Central de segurança
Home
 21 CFR Part 11
Fornecedores da eSignGlobal

GDPR

Declaração de Conformidade de Dados da UE

  1. Visão Geral da Legislação da UE sobre Proteção de Dados Pessoais

A União Europeia promulgou o Regulamento Geral de Proteção de Dados (RGPD) em 2016, que entrou em vigor em 2018. O RGPD visa proteger os direitos de privacidade e proteção de dados de todos os indivíduos na União Europeia. O RGPD aplica-se a todas as empresas e organizações que processam dados pessoais, independentemente da sua localização geográfica, desde que as suas atividades de processamento de dados envolvam dados pessoais de cidadãos da UE.

(一)Definições Relevantes

  1. O controlador de dados é a pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que, individual ou conjuntamente, determina as finalidades e os meios de tratamento de dados pessoais, sendo responsável por determinar as finalidades e os meios de tratamento de dados pessoais, mas os critérios específicos devem ser especificados pela legislação da UE ou dos seus Estados-Membros.

  2. O processador de dados refere-se à pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que processa dados pessoais em nome do controlador de dados. No entanto, por vezes é difícil determinar se uma entidade é um controlador de dados ou um processador.

  3. Dados pessoais são quaisquer informações relativas a uma pessoa singular identificada ou identificável («titular dos dados»). O RGPD alargou o âmbito dos dados pessoais. De acordo com o âmbito definido pelo RGPD, os dados pessoais também incluem impressões digitais (por exemplo, endereços IP e cookies). Além disso, os dados genéticos ou biométricos também estão incluídos na categoria de “dados sensíveis”.

  4. O RGPD menciona explicitamente que os dados pessoais sensíveis devem ser altamente protegidos, incluindo: origem racial ou étnica de um indivíduo, opiniões políticas, crenças religiosas e filosóficas, filiação sindical, dados genéticos, dados biométricos, dados de saúde, informações sobre a vida sexual ou orientação sexual e informações sobre antecedentes criminais. As instituições médicas geralmente devem cumprir padrões mais elevados de proteção de dados.

  5. Conteúdo Principal

(一)As empresas precisam seguir os seguintes passos para alcançar a conformidade com o RGPD:

(1)Auditoria de dados: auditar as atividades de processamento de dados existentes para garantir a compreensão da origem, finalidade de uso e período de armazenamento dos dados pessoais.

(2)Atualização da política de privacidade: atualizar a política de privacidade para garantir que seu conteúdo esteja em conformidade com os requisitos do RGPD e informar explicitamente os usuários sobre como seus dados são processados.

(3)Estabelecer um mecanismo de conformidade: estabelecer um sistema de gestão de proteção de dados para garantir que todas as atividades de processamento de dados sigam os princípios do RGPD.

(4)Treinamento de funcionários: treinar os funcionários sobre o RGPD e o conhecimento relacionado à proteção de dados para aumentar sua conscientização sobre a conformidade.

Monitoramento e revisão: monitorar regularmente as atividades de processamento de dados para garantir a conformidade contínua com os requisitos do RGPD.

  1. Quando é que o tratamento de dados pessoais é legal

De acordo com o Artigo 6.º do RGPD, o tratamento de dados pessoais deve cumprir os seguintes seis fundamentos legais:

(1)O titular dos dados deu o seu consentimento para o tratamento dos seus dados pessoais para um ou mais fins específicos;

(2) O tratamento é necessário para a execução de um contrato no qual o titular dos dados é parte, ou para tomar medidas a pedido do titular dos dados antes de celebrar um contrato;

(3)O tratamento é necessário para o cumprimento de uma obrigação legal a que o responsável pelo tratamento está sujeito;

(4)O tratamento é necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa singular;

(5)O tratamento é necessário para o desempenho de uma tarefa realizada no interesse público ou no exercício da autoridade pública investida no responsável pelo tratamento;

(6)O tratamento é necessário para os fins dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por um terceiro, exceto quando esses interesses são substituídos pelos interesses ou direitos e liberdades fundamentais do titular dos dados que exigem a proteção de dados pessoais, em particular quando o titular dos dados é uma criança. (Nota: Isto não se aplica ao tratamento efetuado por autoridades públicas no desempenho das suas funções)

A obtenção prévia do consentimento é a condição prévia mais importante para as empresas tratarem legalmente os dados pessoais de cidadãos da UE. Por exemplo, ao enfrentar a conformidade com o RGPD, o Facebook deve procurar obter o consentimento, em vez de cumprir o princípio da minimização de dados.

A obtenção do consentimento deve ser verificável, deve ser claramente distinguida de outros assuntos e deve ser revogável. É importante notar que o tratamento de dados sensíveis requer consentimento explícito. O consentimento vago ou “global” é considerado inválido. As empresas devem apresentar aos titulares dos dados uma linguagem simples e compreensível para que estes escolham se consentem ou não no tratamento dos seus dados pessoais. Em vista disso, pelo menos em teoria, os pedidos de consentimento vagos, cheios de jargão e de longo prazo deixarão de existir.

Além disso, o silêncio, as caixas pré-selecionadas ou a falta de ação não constituem um consentimento válido. Quando um utilizador precisa de selecionar uma caixa ou concordar por telefone, isso constitui uma escolha explícita.

Os menores com menos de 16 anos não têm o direito legal de consentir, mas os Estados-Membros da UE podem alargar este limite de idade para os 13 anos.

(二)Transferência transfronteiriça de dados pessoais

1、Transferência interna da UE

No caso de transferência de dados pessoais dentro da UE, o RGPD não impõe quaisquer outros requisitos para além da aplicabilidade direta do RGPD. No entanto, quando um responsável pelo tratamento contrata um subcontratante, a relação entre o responsável pelo tratamento e o subcontratante precisa de ser controlada por um acordo e de cumprir as normas mínimas estabelecidas pelo RGPD nestes casos. O acordo entre o responsável pelo tratamento e o subcontratante (Artigo 28.º do RGPD) estipula o objeto e a duração do tratamento, a natureza e a finalidade do tratamento, o tipo de dados pessoais e as categorias de titulares dos dados, bem como as obrigações e os direitos do responsável pelo tratamento.

  1. Transferências de dados para fora da UE: Seguir os passos do RGPD

No que diz respeito às transferências de dados para fora da UE, o RGPD prevê circunstâncias específicas em que tais transferências podem ocorrer. Em particular, as organizações que se dedicam à transferência de dados pessoais para fora da UE terão de verificar:

Se a Comissão Europeia tem uma decisão de adequação e, caso contrário, fornecer garantias adicionais através de acordos contratuais.

(1) A Comissão Europeia pode emitir decisões sobre o nível de proteção de dados de países não pertencentes à UE (por exemplo, o Escudo de Proteção da Privacidade UE-EUA). Estas decisões baseiam-se numa avaliação completa se um país terceiro tem salvaguardas de leis de proteção de dados adequadas equivalentes às da UE. O resultado de uma decisão de adequação é a remoção de quaisquer obstáculos à transferência de dados da UE (bem como da Noruega, Liechtenstein e Islândia) para esse país terceiro, sem quaisquer requisitos adicionais de proteção de dados.

(2) A transferência deve estar sujeita a salvaguardas adequadas

Se um país terceiro não estiver abrangido por uma decisão de adequação, as organizações da UE devem considerar uma das seguintes alternativas:

1) Cláusulas contratuais-tipo. A Comissão Europeia também pode adotar cláusulas contratuais-tipo para facilitar a proteção de proteção de dados suficiente quando os controladores da UE transferem dados pessoais para controladores ou processadores não pertencentes à UE. Até agora, a Comissão Europeia emitiu dois conjuntos de cláusulas contratuais-tipo: transferências de dados de um controlador da UE para um controlador não pertencente à UE ou ao EEE e transferências de um controlador da UE para um processador não pertencente à UE ou ao EEE. As autoridades de proteção de dados também podem adotar cláusulas modelo. No entanto, estas cláusulas precisam de ser aprovadas pela Comissão. Por último, mas não menos importante, as transferências transfronteiriças também podem ser baseadas em cláusulas contratuais ad hoc acordadas entre o exportador de dados e o importador de dados, que devem ser aprovadas pela DPA competente.

2) Regras vinculativas para empresas (BCR). Se os dados pessoais forem transferidos de uma entidade empresarial para outra (independentemente da região), a transferência de dados será regida por regras vinculativas para empresas (BRC). As regras vinculativas para empresas são regras juridicamente vinculativas aprovadas por uma autoridade de supervisão competente que regem as transferências de e o processamento de dados pessoais dentro de um grupo de empresas ou um grupo de empresas envolvidas numa atividade económica conjunta e os seus funcionários, incluindo aqueles localizados fora do território da UE. A vantagem das BCR em comparação com as cláusulas contratuais-tipo é que, uma vez obtida a aprovação das autoridades de proteção de dados, todas as futuras transferências intragrupo podem ser realizadas independentemente da região, sem quaisquer requisitos adicionais.

Salvaguardas adicionais Além das opções acima, o RGPD introduz duas ferramentas alternativas de adequação para transferências de dados: um mecanismo de certificação aprovado e um código de conduta aprovado. Ambos os mecanismos permitem transferências de dados, desde que o importador de dados assuma compromissos vinculativos e executórios para aplicar salvaguardas adequadas para a proteção de dados.

(3) Derrogações para transferência de dados

Em muitas situações, as transferências de dados pessoais podem ser feitas na ausência dos mecanismos de transferência acima. Estas situações são limitadas e incluem as seguintes:

  1. O titular dos dados deu o seu consentimento explícito;

  2. A transferência é necessária para a celebração ou execução de um contrato;

  3. Existem importantes razões de interesse público;

  4. É necessário para o estabelecimento, exercício ou defesa de ações judiciais;

  5. É necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa;

  6. Envolve dados de registos públicos;

Além disso, o RGPD introduz uma nova limitação, ou seja, derrogações, para transferências não repetitivas que envolvam um número limitado de titulares de dados. Na ausência de outro fundamento jurídico, as transferências são permitidas quando forem necessárias para efeitos dos interesses legítimos do exportador de dados obrigatório que não se sobreponham aos interesses ou direitos e liberdades fundamentais do titular dos dados e o exportador tiver avaliado todas as circunstâncias da transferência de dados e tiver fornecido salvaguardas adequadas relativamente à proteção de dados. Neste caso, o exportador deve informar a autoridade de proteção de dados relevante e o titular dos dados sobre a transferência.

Contacte-nos
Consultar via WhatsApp
Solicitar uma demonstração
Produtos
Assistente de IA
Principais Funcionalidades
Setores
Casos de Sucesso
Comparações
Recursos
Link:eSign宝 |Alibaba Cloud |AWS |Huawei Cloud
Política de Privacidade |Termos de Serviço |Acordo de Nível de Serviço
Copyright © 2025 eSignGlobal. All Rights Reserved.