Regulamento Geral sobre a Proteção de Dados (RGPD) (UE) 2016/679 é um regulamento do direito europeu sobre privacidade e proteção de dados pessoais, aplicável a todos os indivíduos na União Europeia e Espaço Económico Europeu que foi criado em 2018. Regulamenta também a exportação de dados pessoais para fora da UE e EEE. O RGPD tem como objetivo dar aos cidadãos e residentes formas de controlar os seus dados pessoais e unificar o quadro regulamentar europeu.[1]

O regulamento revoga a Diretiva de Proteção de Dados Pessoais de 1995 (95/46/CE) e contém cláusulas e exigências relativas à forma como são tratadas informações pessoais na União Europeia e é aplicável a todas as empresas que operem no Espaço Económico Europeu, independentemente do seu país de origem. Os processos empresariais que tratem dados pessoais são obrigados a ser desenhados de raiz e por padrão com medidas que respeitem os princípios da proteção de dados por defeito e desde a sua conceção, o que significa que os dados devem ser guardados usando pseudonimização ou anonimização completa e usando as mais elevadas configurações de privacidade por padrão, de modo a que os dados não possam ser disponibilizados sem consentimento explícito, e não possam ser usados para identificar alguém sem informação adicional armazenada em separado. O regulamento não permite o tratamento de quaisquer dados fora do contexto legal especificado no regulamento, exceto no caso em que quem controla os dados tenha recebido consentimento explícito e opt-in do proprietário dos dados. O proprietário tem ainda o direito de revogar esta permissão em qualquer momento.

O responsável pelo tratamento dos dados pessoais deve declarar claramente qualquer recolha de dados, declarar qual o enquadramento jurídico que permite essa recolha, a finalidade do processamento de dados, quanto tempo vão ficar armazenados os dados e se esses dados serão partilhados com terceiros fora da União Europeia. Os utilizadores têm o direito de exigir uma cópia dos dados recolhidos em formato comum e o direito de exigir que esses dados sejam eliminados em determinadas circunstâncias. As autoridades públicas e as empresas cuja atividade se centre no tratamento regular ou sistemático de dados pessoais são obrigados a ter um data protection officer (DPO), o qual é responsável por assegurar que o tratamento está de acordo com o RGDP. As empresas são ainda obrigadas a comunicar qualquer violação de dados no prazo de 72h quando isso tenha qualquer efeito adverso na privacidade do utilizador.

O regulamento foi aprovado em 15 de abril de 2016.[2] Após um período de transição de dois anos, entrou em vigor em 25 de maio de 2018.[3] Uma vez que o RGPD é um regulamento, e não uma diretiva, não é necessário que os estados-membro aprovem legislação adicional, pelo que o regulamento é vinculativo e aplicável.[4]

Aradığınız