Regulamento Geral sobre a Proteção de Dados da União Europeia (GDPR)

Última atualização: 9 de outubro de 2024

A União Europeia implementou o Regulamento Geral sobre a Proteção de Dados (GDPR) em 25 de maio de 2018.

Desde então, dois desenvolvimentos significativos impactaram o GDPR: a decisão do Tribunal de Justiça da União Europeia em um caso conhecido como Schrems II e a saída do Reino Unido da União Europeia.

Este artigo detalhará como a Constant Contact protege as informações e dados de clientes da União Europeia e da Área Econômica Europeia (UE/EEE) e como a Constant Contact apoia seus clientes na conformidade com o GDPR, mesmo à luz da decisão Schrems II. Este artigo também abordará o impacto da saída do Reino Unido da União Europeia sobre o GDPR. Este artigo não requer ação.

Isenção de responsabilidade: Este documento não é aconselhamento jurídico. Destina-se apenas a fornecer informações gerais sobre aspectos selecionados do GDPR. Embora este documento aborde alguns aspectos legais do GDPR, não se destina a fornecer aconselhamento jurídico. A Constant Contact recomenda que você consulte seu advogado sobre a melhor forma de cumprir o GDPR.

Conteúdos do Artigo

Conformidade com o Regulamento Geral sobre a Proteção de Dados da União Europeia
Por que o GDPR Impacta a Constant Contact e os Clientes
Como a Constant Contact Cumpre o GDPR
Penalidades por Violação do GDPR
Visão Geral dos Direitos e Proteções
Visão Geral dos Oficiais de Proteção de Dados

Usuários:

Administradores	✓
Gerentes de Empresa
Gerentes de Marketing
Gerentes de Vendas
Vendedores
Vendedores Jr.

Conformidade com o Regulamento Geral sobre a Proteção de Dados da União Europeia

Antes da promulgação do GDPR, a União Europeia adotou a Diretiva de Proteção de Dados (oficialmente conhecida como Diretiva 95/46/CE) em 1995, que tratava de como os indivíduos eram protegidos em relação ao processamento e movimentação de dados pessoais. Sob a Diretiva 95/46/CE, dados pessoais poderiam ser transferidos para organizações em países fora da União Europeia apenas se a organização fornecesse um nível adequado de proteção.

A Diretiva 95/46/CE foi revogada e substituída pelo GDPR. O GDPR é uma lei que expande as leis de proteção de dados da União Europeia originais. A lei foi promulgada em 27 de abril de 2016 e implementada em 25 de maio de 2018.

Em 16 de julho de 2020, o Tribunal de Justiça da União Europeia emitiu sua decisão no caso Schrems II, que impactou como as empresas transferiam dados pessoais internacionalmente. A decisão removeu a certificação do Escudo de Privacidade dos Estados Unidos como um mecanismo no qual as entidades podem confiar ao transferir dados da União Europeia para os Estados Unidos. No entanto, a decisão manteve intacta a confiança nas Cláusulas Contratuais Padrão como um mecanismo para realizar tais transferências internacionais de dados.

Em 31 de janeiro de 2020, o Reino Unido deixou a União Europeia e, como resultado, não está mais sujeito ao GDPR. O Reino Unido adotou sua própria versão do GDPR (conhecida como UK GDPR), que espelha substancialmente os requisitos e penalidades do GDPR discutidos aqui. O Reino Unido também adotou e posteriormente revisou as Cláusulas Contratuais Padrão. As Cláusulas Contratuais Padrão do Reino Unido refletem que o Reino Unido é o país de origem ao regular transferências de dados do Reino Unido para os Estados Unidos.

Por que o GDPR Impacta a Constant Contact e os Clientes

O GDPR impacta organizações e indivíduos de maneiras semelhantes. No entanto, existem várias diferenças importantes a serem consideradas.

A Constant Contact, assim como todos os provedores de automação de marketing que possuem clientes da União Europeia, é impactada pelo GDPR. Essas regulamentações visam regular o fluxo, aquisição e uso de dados entre controladores de dados e processadores de dados. O Artigo Quatro do GDPR afirma o seguinte:

Controladores de dados são aquelas entidades que determinam os meios e o propósito do processamento de dados pessoais.
Processadores de dados são entidades e organizações que processam dados pessoais em nome do controlador de dados.

O GDPR impacta organizações que atendem a pelo menos uma das seguintes situações:

A organização está baseada na União Europeia e controla ou processa dados pessoais de indivíduos da UE/EEE (também conhecidos nesta capacidade como titulares de dados).
A organização processa dados pessoais de indivíduos na UE/EEE em relação à oferta de bens ou serviços a indivíduos na UE ou ao monitoramento de indivíduos na UE.

Como afirmado, o GDPR se aplica não apenas a organizações dentro da União Europeia. Ele também pode se aplicar a clientes ou organizações localizadas fora da União Europeia, dependendo de como interagem com indivíduos da UE/EEE. Essa interação inclui—mas não se limita a—oferecer bens ou serviços padrão para monitorar os dados e comportamentos dos indivíduos. Consulte a seção Ações Recomendadas para Clientes em Como o GDPR Impacta a Constant Contact e Você para mais informações.

Como a Constant Contact Cumpre o GDPR

A Constant Contact atualizou termos, políticas de privacidade, software e infraestrutura quando o GDPR entrou em vigor em 25 de maio de 2018. Consulte Como o GDPR Impacta a Constant Contact e Você para mais informações sobre as mudanças da Constant Contact em software e políticas.

Para clientes da União Europeia e do Reino Unido, a Constant Contact transfere dados para fora da União Europeia. Os dados são armazenados principalmente em data centers nos Estados Unidos, e esses dados podem ser acessados tanto pelos Estados Unidos quanto por recursos internacionais que trabalham para a Constant Contact durante o curso do relacionamento com o cliente. Quando exigido por lei, as subsidiárias da Constant Contact que apoiam a base de clientes global da Constant Contact deverão firmar acordos de Cláusula Contratual Padrão com a subsidiária da UE/EEE. Para as subsidiárias da Constant Contact que apoiam a base de clientes do Reino Unido, essas subsidiárias deverão firmar acordos de Cláusula Contratual Padrão que estejam em conformidade com o UK GDPR quando exigido por lei.

Penalidades por Violação do GDPR

A falha em cumprir o GDPR resultará em penalidades monetárias. Existem dois níveis de multas relacionadas à não conformidade. Essas multas estão relacionadas à gravidade da violação:

Para violações menores, como não relatar uma violação de dados no prazo especificado pelo GDPR, a multa totalizará o maior valor de €10.000.000 ou 2% do faturamento global anual total.
Para violações mais graves, como desconsiderar as regras de processamento de dados do GDPR, a multa totalizará o maior valor de €20.000.000 ou 4% do faturamento global anual total.

Além disso, se uma organização violar várias regras do GDPR, a organização será multada apenas pela violação mais grave, e não por cada violação separada.

Visão Geral dos Direitos e Proteções

O GDPR foi elaborado com os direitos de privacidade em mente. Os princípios centrais da regulamentação refletem isso. Esses direitos protegidos incluem, mas não se limitam a:

Consentimento
Acesso
Eliminação de dados
Notificação de violação

Portabilidade de dados
Privacidade por design
Proteção de dados

Esses direitos e proteções são expandidos abaixo.

Consentimento Individual

Com o GDPR, as proteções para consentimento foram consideradas fundamentais. Como resultado, as condições e qualificações para o consentimento foram amplamente melhoradas e fortalecidas. O GDPR exige o seguinte para o consentimento:

As organizações devem se expressar de forma clara e objetiva e estão proibidas de usar termos e condições obscuros, juridicamente elaborados ou de outra forma ilegíveis.
O consentimento solicitado deve ser fornecido de forma clara e deve ser totalmente acessível.
Todos os pedidos de consentimento devem declarar claramente o propósito da solicitação de consentimento.
O consentimento deve poder ser retirado tão facilmente quanto foi dado.

O Direito de Acesso

O GDPR fornece direitos e garantias para indivíduos em relação ao acesso. Especificamente, o GDPR faz o seguinte:

O GDPR fornece aos indivíduos o direito de saber se os controladores de dados estão processando suas informações pessoais, bem como a localização e o propósito do processamento.
O GDPR exige que os controladores de dados forneçam uma cópia eletrônica gratuita dos dados pessoais do indivíduo em algumas circunstâncias.

O Direito de Ser Esquecido

Eliminação de dados, também conhecido como o direito de ser esquecido, confere aos indivíduos os seguintes direitos em certas circunstâncias:

Os indivíduos podem solicitar que os controladores de dados apaguem permanentemente seus dados pessoais.
Os indivíduos podem forçar a interrupção da disseminação adicional de seus dados pessoais.
Os indivíduos podem forçar terceiros a interromper o processamento de seus dados pessoais.

A eliminação de dados é condicional, no entanto. As condições incluem—mas não se limitam a—os dados não serem mais relevantes para os propósitos originais de processamento ou os indivíduos retirarem o consentimento.

Notificação de Violação de Dados

Sob o GDPR, as notificações sobre violações de dados que provavelmente prejudicarão indivíduos são obrigatórias e devem ser relatadas às autoridades regulatórias dentro de 72 horas após a organização ter tomado conhecimento da violação. Além disso, os processadores de dados também serão obrigados a notificar os controladores de dados sem demora após tomarem conhecimento de uma violação de dados.

Portabilidade de Dados

Portabilidade de dados é o direito de um indivíduo receber seus dados pessoais e todos os dados associados aos quais estão afiliados em certas circunstâncias. Esses dados devem ser fornecidos em um formato eletrônico comum e facilmente legível. Com a portabilidade de dados, os indivíduos têm o direito de transmitir esses dados conforme necessário.

Privacidade por Design

Privacidade por design exige que a proteção de dados seja uma característica central ao projetar sistemas, em vez de ser uma adição posterior. Além disso, os controladores de dados podem reter e processar apenas os dados para os quais têm uma base legítima para o processamento. A privacidade por design também estabelece limites para quem tem acesso a dados pessoais.

Visão Geral dos Oficiais de Proteção de Dados

Oficiais de proteção de dados (DPOs), também conhecidos como oficiais de privacidade de dados, são oficiais de segurança. Os DPOs são um requisito-chave para a conformidade com o GDPR. Embora não sejam necessários para todas as organizações, o GDPR afirma que esses papéis são obrigatórios para qualquer organização que processe ou armazene grandes quantidades de dados pessoais. Esses dados pessoais podem estar relacionados aos funcionários de uma organização, aos clientes ou fornecedores de uma organização, ou a quaisquer outros indivíduos cobertos pelo GDPR.

Interação entre Oficiais e Organizações

Os DPOs auditam principalmente as organizações para garantir a conformidade e devem ser tratados como qualquer outro auditor. Assim, de acordo com o GDPR, os DPOs exigem independência operacional. Isso significa que as organizações podem interagir com seus DPOs de maneiras muito específicas. O GDPR exige o seguinte para os DPOs:

Os DPOs não devem receber instruções ou ser pressionados de qualquer forma por uma organização.
Os DPOs devem ter autoridade imediata, irrestrita e total para investigar as atividades da organização, incluindo aquelas em níveis superiores da gestão organizacional.
Dentro de uma organização, os DPOs não devem estar sujeitos a supervisão direta e devem se reportar aos níveis mais altos da gestão.
As organizações devem fornecer suporte operacional ao DPO, incluindo qualquer pessoal, recursos ou instalações necessárias.

Deveres do Oficial

Os deveres principais do DPO são garantir que uma organização esteja em conformidade e agindo de boa-fé em relação ao GDPR. Os aspectos individuais desses deveres incluem o seguinte:

Os DPOs são geralmente o ponto de contato para os titulares de dados e estão disponíveis para informá-los sobre como uma organização está utilizando e protegendo seus dados pessoais, bem como como os titulares de dados podem solicitar a eliminação de dados.
Os DPOs devem manter contato e trabalhar junto aos reguladores aplicáveis.
Os DPOs devem auditar uma organização e apresentar aos reguladores aplicáveis informações sobre operações organizacionais que apresentem riscos específicos ou que sejam mais propensas a violar as regras do GDPR.
Os DPOs devem alertar uma organização sobre violações das regras do GDPR.
Os DPOs devem responsabilizar uma organização quando a organização estiver em violação das regras do GDPR.
Os DPOs devem educar e treinar uma organização e seus funcionários sobre como permanecer em conformidade com o GDPR.

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.