Usuário(a):DanielClemente/Genera Data Protection Regulation

Origem: Wikipédia, a enciclopédia livre.

O Geral de Proteção de Dados Regulamento (GDPR) (UE) 2016/679 é um regulamento na UE legislação sobre proteção de dados e privacidade de todos os indivíduos dentro da União Europeia. Ele aborda a exportação de dados pessoais para fora da união europeia. O GDPR visa essencialmente dar o controle de volta para cidadãos e residentes sobre seus dados pessoais e simplificar o quadro regulamentar para negócios internacionais , unificando o regulamento dentro da UE.[1] Quando o GDPR leva a efeito, ele irá substituir o de 1995 Diretiva de Proteção de Dados (Directiva 95/46/CE).[2]

Ele foi adotado em 27 de abril de 2016. Torna-se exeqüível a partir de 25 de Maio de 2018, depois de dois anos de período de transição.

Ao contrário de uma directiva, que não necessitam de governos nacionais para aprovar qualquer legislação de habilitação e assim é diretamente vinculante e aplicáveis.[3]

Resumo[editar | editar código-fonte]

GDPR alarga o âmbito da UE lei de proteção de dados para todas as empresas estrangeiras de processamento de dados de residentes da UE.[4] prevê uma harmonização dos regulamentos de proteção de dados em toda a UE, assim, tornando mais fácil para as empresas não-Europeias para cumprir com estas normas; no entanto, isso vem ao custo de uma rigorosa observância da protecção de dados regime com severas penas de até 4% do volume de negócios mundial ou 20 milhões de euros, o que for maior.[5]

O GDPR também traz um novo conjunto de "direitos digitais" para os cidadãos da união em idade de um aumento do valor económico de dados pessoais na economia digital.

Conteúdo[editar | editar código-fonte]

O regulamento contém a seguinte chave requisitos:

Escopo[editar | editar código-fonte]

O regulamento se aplica se o controlador de dados (uma organização que recolhe dados de residentes da UE), ou processador (uma organização que processa dados em nome de um controlador de dados, como provedores de serviços de nuvem), de dados ou o sujeito (pessoa), é baseado na UE. O regulamento também se aplica às organizações com sede fora da UE se eles coletar ou processar dados pessoais de indivíduos localizados no interior da UE.

De acordo com a Comissão Europeia, "dados pessoais são informações relativas a um indivíduo, se ele se relaciona com o seu ou privada, profissional ou de vida pública. Ele pode ser qualquer coisa a partir de um nome, um endereço, uma foto, um endereço de e-mail, dados bancários, postagens em sites de redes sociais, informações médicas ou de um computador endereço IP."

O regulamento não pretende se aplica ao tratamento de dados pessoais para a actividade de segurança nacional ou a aplicação da lei da UE; no entanto, a indústria de grupos interessados sobre o modo de enfrentar uma situação de potencial conflito de leis têm questionado se o Artigo 48[6] do GDPR poderia ser invocado para procurar evitar que um controlador de dados sujeitos a um terceiro país leis de cumprir com uma ordem jurídica do país de aplicação da lei, judicial ou de autoridades de segurança nacionais para divulgar a essas autoridades, os dados pessoais da união europeia, em pessoa, independentemente de se os dados residem dentro ou fora da UE. Artigo 48 estabelece que qualquer decisão de um tribunal ou de tribunal e qualquer decisão de uma autoridade administrativa de um país terceiro que requerem um controlador de processador ou para transferir ou divulgar dados pessoais podem não ser reconhecidos ou executória de qualquer forma, a menos que, baseado em um acordo internacional, como um tratado de assistência jurídica mútua em vigor entre a solicitar a terceiros (não-união europeia) país e na união europeia ou um estado-membro. A proteção de dados reforma pacote também inclui um separado Diretiva de Proteção de Dados para que a polícia e a justiça criminal do setor,[7] que fornece regras pessoais, trocas de dados a nível nacional, Europeu e internacional.

O único conjunto de regras e one-stop shop[editar | editar código-fonte]

Um único conjunto de regras aplicam-se a todos os estados-membros da UE. Cada estado-membro estabelecerá uma autoridade independente de controlo (SA) para ouvir e investigar as queixas, sanção administrativa, crimes, etc. SAs em cada estado-membro deverá cooperar com outros SAs, prestação de mútua assistência e organização de operações conjuntas. Se uma empresa tem vários estabelecimentos na UE, terão uma única SA, como seu "chumbo autoridade", com base na localização do seu "principal estabelecimento", onde as principais atividades de processamento de ter lugar. A liderança pela autoridade de agir como uma "one-stop shop" para supervisionar todas as atividades de processamento do que o negócio em toda a UE[8] (Artigos 46 a 55 do GDPR). European Data Protection Board (EDPB) vai coordenar o SAs. EDPB irá substituir o Artigo 29 Data Protection Working Party.

Há exceções para os dados processados em um contexto laboral ou de segurança nacional, que ainda pode estar sujeita a normas de cada país regulamentos (Artigos 2(2)(a) e 82 do GDPR).

A responsabilidade e a prestação de contas[editar | editar código-fonte]

As exigências de notificação permanecem e são expandidos. Eles devem incluir o tempo de retenção de dados pessoais, informações de contato e dados do controlador e do encarregado da protecção de dados tem de ser fornecida.

Automatizada individual de tomada de decisão, incluindo a criação de perfis (Artigo 22) é contestável, da mesma forma, a Diretiva de Proteção de Dados (Artigo 15). Os cidadãos têm direitos a questionar e lutar contra decisões importantes que afetam os que foram feitos em um único-algoritmos base. Muitos meios de comunicação comentaram sobre a introdução de um "direito de explicação" de algoritmos decisões,[9][10] mas os juristas desde argumentou que a existência de tal direito é altamente obscuro sem judiciária de testes e é limitado.[11][12]

Para ser capaz de demonstrar conformidade com o GDPR, o controlador de dados deve implementar medidas que vão ao encontro dos princípios de protecção de dados, o design e a proteção de dados por padrão. Privacidade, por projeto e por omissão (Artigo 25) exigir proteção de dados medidas de ser concebido para o desenvolvimento de processos de negócios para produtos e serviços. Tais medidas incluem pseudonymising dados pessoais, pelo controlador, o mais cedo possível (Considerando 78).

É da responsabilidade e da responsabilidade do controlador de dados para implementar medidas eficazes e ser capaz de demonstrar o cumprimento de atividades de processamento, mesmo se o processamento é realizado por um processador de dados em nome do controlador (Considerando 74).

Protecção de dados de Avaliações de Impacto (Artigo 35) será realizado quando a riscos específicos ocorrer para os direitos e liberdades dos titulares dos dados. Avaliação e redução de riscos é necessária e prévia aprovação do nacional de autoridades de protecção de dados (Apd) é necessária para a riscos elevados. Protecção de dados oficiais (Artigos 37.º a 39.º) são necessários para garantir a conformidade dentro das organizações.

Eles têm de ser nomeado:

  • para todas as autoridades públicas, salvo para os tribunais agindo na sua capacidade judicial
  • se a atividade principal do controlador ou o processador são:
    • processamento de operações, que, em virtude de sua natureza, âmbito e/ou seus efeitos, necessitam de regular e sistemático de monitoramento de dados pessoais em grande escala
    • o processamento em larga escala de categorias especiais de dados nos termos do Artigo 9.º e os dados pessoais relativos a condenações penais e crimes referidos no Artigo 10

Legal base para o processamento de[editar | editar código-fonte]

Os dados poderão não ser processada, a menos que haja pelo menos uma base legal para fazê-lo:

  • A pessoa em causa tiver dado o consentimento para o processamento de dados pessoais para um ou mais fins específicos.
  • O tratamento for necessário para a execução de um contrato para o qual a pessoa em causa seja parte ou a tomar medidas a pedido do sujeito dos dados antes de entrar em um contrato.
  • Se o tratamento for necessário para o cumprimento de uma obrigação legal para que o controlador está sujeito.
  • Se o tratamento for necessário para proteger interesses vitais da pessoa em causa ou de outra pessoa natural.
  • O tratamento for necessário para o desempenho de uma missão de interesse público ou no exercício de autoridade pública de que é investido o responsável pelo tratamento.
  • Se o tratamento for necessário para efeitos de interesses legítimos do responsável pelo tratamento ou um terceiro, a menos que tais interesses são substituídas por interesses ou direitos fundamentais e liberdades do sujeito dos dados, que necessitam de protecção de dados pessoais, em especial se a pessoa em causa é uma criança.

Consentimento[editar | editar código-fonte]

Se o consentimento é usado como a base legal para o processamento, o consentimento deve ser explícita para os dados coletados e os propósitos de dados é utilizado para (Artigo 7; definido no Artigo 4). Consentimento para crianças[13] deve ser dado pelo pai da criança ou custodiante, e verificáveis (Artigo 8). Controladores de dados deve ser capaz de provar o "consentimento" (opt-in) e o consentimento pode ser retirado.[14]

A área de GDPR consentimento tem uma série de implicações para as empresas que a gravação de chamadas como uma questão de prática. O típico "as chamadas são gravadas para a formação e para fins de segurança" avisos já não serão suficientes para ganhar assumido consentimento para a gravação de chamadas. Além disso, quando a gravação foi iniciada, deve o autor da chamada retirar seu consentimento, em seguida, o agente de recebimento a chamada deve de alguma forma ser capaz de parar já começou a gravar e garantir que a gravação não ficam armazenados.[15]

Encarregado da protecção de dados[editar | editar código-fonte]

Se o tratamento é realizado por uma autoridade pública, salvo para os tribunais ou judicial independente autoridades, quando no exercício das suas funções judiciais ou se, no setor privado, o processamento é realizado por um controlador cujas atividades principais consistem em operações de processamento que exigem regular e sistemática de monitoramento dos titulares dos dados, uma pessoa com conhecimento especializado da lei de protecção de dados e práticas devem auxiliar o controlador ou processador para monitor interno de conformidade com o presente regulamento.

O DPO é semelhante a um compliance officer, e também é esperado para ser proficiente em gestão de processos de TI, segurança de dados (incluindo a lidar com os atentados cibernéticos) e outros críticos de continuidade de negócios, questões em torno da exploração e processamento de dados pessoais e dados sensíveis. O conjunto de habilidades necessárias estende-se para além da compreensão jurídica de conformidade com leis de proteção de dados e regulamentos.

A nomeação de um encarregado da protecção de dados em uma organização de grande porte será um desafio para o conselho de administração, bem como para o indivíduo em questão.[carece de fontes?] Há uma miríade de governança e fator humano os problemas que as organizações e as empresas precisam endereço dado o escopo e a natureza do compromisso. Além disso, o DPO deve ter uma equipe de apoio e também será responsável pelo desenvolvimento profissional contínuo para ser independente da organização que o emprega-los, efetivamente, como um "mini-regulador."

Mais detalhes sobre a função e o papel de responsável pela proteção de dados foram dadas em 13 de dezembro de 2016 (revisto em 5 de abril de 2017) em um documento de orientação.

Pseudonymisation[editar | editar código-fonte]

O GDPR refere-se a cria ção de pseudónimos como um processo que é necessário (como uma alternativa para a outra opção completa de dados de anonimização)[16] para transformações de dados pessoais, de tal forma que os dados resultantes não podem ser atribuídas a um objeto, sem o uso de informações adicionais. Um exemplo é a criptografia, o que torna os dados originais inteligível e o processo não pode ser revertido sem acesso para corrigir a chave de descriptografia. O GDPR exige, para a informações adicionais (tal como a chave de descriptografia) para ser mantido separadamente a partir da pseudonymised de dados.

Outro exemplo de cria ção de pseudónimos é tokenização, que é um não-matemático abordagem para proteger os dados em repouso , que substitui os dados sensíveis com os não-sensíveis suplentes, referidos como tokens. As fichas têm nenhuma extrínseca ou explorável significado ou valor. Tokenização não alterar o tipo ou tamanho de dados, o que significa que ele pode ser processado por sistemas legados, tais como bases de dados que podem ser sensíveis ao comprimento de dados e tipo.

Que requer muito menos recursos computacionais para processar e menos espaço de armazenamento em bancos de dados que, tradicionalmente, os dados criptografados. Que é conseguido manter dados específicos, total ou parcialmente visível para o processamento e análise, enquanto a informação sensível é mantida em segredo.

Cria ção de pseudónimos é recomendada para reduzir os riscos em questão, dados pessoais e também para ajudar os controladores e processadores para atender seus dados obrigações de proteção (Considerando 28).

Embora o GDPR incentiva o uso de cria ção de pseudónimos para "reduzir os riscos para os titulares dos dados" (Considerando 28), pseudonymised de dados ainda é considerada dados pessoais (Considerando 26) e assim permanece coberto pelo GDPR.

Violações de dados[editar | editar código-fonte]

Sob o GDPR, o controlador de dados é a obrigação legal de notificar a autoridade de supervisão, sem demora indevida, a menos que a violação é improvável que resulte em um risco para os direitos e liberdades dos indivíduos. Há um máximo de 72 horas após tomar conhecimento da violação de dados para fazer o relatório (Artigo 33). Os indivíduos têm para ser notificado se o impacto adverso é determinado (Artigo 34). Além disso, o processador de dados terá que notificar o controlador, sem demora indevida, após tomar conhecimento de uma violação de dados pessoais (Artigo 33).

No entanto, o aviso prévio para os titulares dos dados não é necessário se o controlador de dados tem implementado medidas técnicas e organizacionais medidas de proteção que processam dados pessoais inteligível para qualquer pessoa que não esteja autorizado a aceder a ele, tais como a encriptação (Artigo 34).

Sanções[editar | editar código-fonte]

Os seguintes sanções podem ser impostas:

  • um aviso, por escrito, nos casos de primeira e não-intencional descumprimento
  • periódica de proteção de dados de auditorias
  • uma multa de até €20 milhões, ou seja, até 4% do volume de negócios anual mundial do ano anterior, no caso de uma empresa, o que for maior, se tiver havido violação do disposto no número de Artigo 83, Parágrafo 5 e 6[17])
    • as obrigações do controlador e o processador de acordo com os Artigos 8, 11, 25 a 39, 42 e 43
    • as obrigações do organismo de certificação nos termos dos Artigos 42 e 43
    • as obrigações do órgão de fiscalização, nos termos do Artigo 41(4)
  • uma multa de até €20 milhões, ou seja, até 4% do volume de negócios anual mundial do ano anterior, no caso de uma empresa, o que for maior, se houve uma violação das seguintes disposições: (Artigo 83, Parágrafo 4)
    • os princípios básicos para o processamento, incluindo as condições para o consentimento, nos termos dos Artigos 5, 6, 7 e 9
    • os dados dos sujeitos de direitos, nos termos dos Artigos 12 a 22
    • as transferências de dados pessoais para um destinatário em um país terceiro ou de uma organização internacional, nos termos dos Artigos 44 a 49
    • quaisquer obrigações decorrentes para o estado-membro lei adotada no Capítulo IX
    • não cumprimento de uma ordem ou de um temporária ou definitiva de limitação no processamento ou a suspensão dos fluxos de dados pela autoridade de supervisão nos termos do Artigo 58(2) ou falha para fornecer acesso em violação do Artigo 58(1)

Direito de acesso[editar | editar código-fonte]

O direito de acesso (Artigo 15) é um sujeito de direito. Ele dá aos cidadãos o direito de acesso aos seus dados pessoais e informações sobre como seus dados pessoais são processados. Um controlador de dados deve fornecer, mediante solicitação, uma visão geral das categorias de dados que estão sendo processados (Artigo 15(1)(b)), bem como de uma cópia dos dados reais (Artigo 15(3)). Além disso, o controlador de dados deverá informar os dados do assunto em detalhes sobre o processamento, tais como as finalidades do tratamento (Artigo 15(1)(a)), com os quais os dados são compartilhados (Artigo 15(1)(c)), e como ele adquiriu os dados (Artigo 15.º, n.º 1, alínea g)).

Direito de eliminação[editar | editar código-fonte]

Um direito a ser esquecido, foi substituído por um mais limitado do que o direito de eliminação na versão do GDPR que foi adotada pelo Parlamento Europeu em Março de 2014.[18][19] Artigo 17 prevê que o titular dos dados tem o direito de solicitar a eliminação dos dados pessoais relacionados com os mesmos em qualquer uma de uma série de motivos, incluindo a não-conformidade com o Artigo 6.1 (legalidade) que inclui um caso (f) se os legítimos interesses do controlador é substituído pelos interesses ou direitos e liberdades fundamentais do sujeito dos dados, que necessitam de protecção de dados pessoais (ver também o Google Espanha, SL, o Google Inc. v Agencia Española de Protección de Datos, Mario Costeja González).

Portabilidade de dados[editar | editar código-fonte]

Uma pessoa é ser capaz de transferir dados pessoais a partir de um processamento eletrônico sistema e em outro, sem ser impedido de o fazer por o controlador de dados. Dados que tem sido suficientemente anónima é excluído, mas de dados que tenha sido de-identificado, mas continua a ser possível ligar para o indivíduo em questão, como, por exemplo, desde que o identificador não é.[20] Ambos os dados que estão sendo prestados "pelos dados do sujeito e de dados a ser "observadas", tais como, sobre o comportamento, são incluídos. Além disso, os dados devem ser fornecidos pelo controlador em uma estrutura e padrão comumente utilizado em formato eletrônico. O direito à portabilidade de dados é fornecido pelo Artigo 20 da GDPR. os especialistas Jurídicos ver na versão final da medida de um "novo direito" criado "ultrapassa o âmbito da portabilidade de dados entre dois controladores, conforme estipulado no [Artigo 20]".[21]

Proteção de dados por design e por padrão[editar | editar código-fonte]

Proteção de dados por design e por omissão (Artigo 25) requer proteção de dados para ser projetado para o desenvolvimento de processos de negócios para produtos e serviços. Configurações de privacidade deve, portanto, ser definido em alto nível, padrão e técnicas, processuais e medidas devem ser tomadas pelo controlador para certificar-se de que o processamento, durante todo o processamento do ciclo de vida, de acordo com o regulamento. Os controladores também devem implementar mecanismos para garantir que dados pessoais não é processada, a menos que seja necessário para cada finalidade específica.

Um relatório[22] pela Agência Europeia de Rede e Informações de Segurança elabora sobre o que precisa ser feito para alcançar a privacidade e proteção de dados por padrão. Ele especifica que a criptografia e a descriptografia de operações devem ser realizadas localmente, e não pelo serviço remoto, porque tanto as teclas como os dados devem permanecer em poder do titular dos dados se qualquer privacidade está a ser alcançado. O relatório especifica que terceirizados de armazenamento de dados remotos nuvens é prático e relativamente segura se apenas os dados do proprietário, não o serviço de nuvem, detém as chaves de descriptografia.

Registros de atividades de processamento de[editar | editar código-fonte]

Registros de atividades de processamento deve ser mantida, que incluem finalidades do tratamento, as categorias envolvidas e previstas limites de tempo. Os registros devem estar disponíveis para a autoridade de supervisão do pedido (Artigo 30).[23]

Restrições[editar | editar código-fonte]

Os seguintes casos não são abrangidos pelo presente regulamento:

  • Interceptação legal, de segurança nacional, o exército, a polícia, a justiça
  • Estatística e análise científica
  • Pessoas falecidas, estão sujeitos à legislação nacional
  • Há um dedicado lei de empregador-empregado relações
  • Tratamento de dados pessoais por uma pessoa singular no exercício de actividades exclusivamente pessoais ou domésticas

Discussão e desafios[editar | editar código-fonte]

A proposta para o novo regulamento deu origem a muita discussão e controvérsia.[24][25] Milhares de emendas foram propostas. O único conjunto de regras e a remoção dos requisitos administrativos foram ambos suposto para economizar dinheiro; no entanto, como um de Maio de 2017 estudo realizado por Dimensional de Pesquisa e TrustArc mostra, QUE os profissionais esperam que a conformidade com GDPR vai exigir investimento adicional de uma forma geral: mais de 80 por cento dos inquiridos esperado GDPR gastos relacionados ao mínimo de us $100.000. As preocupações foram ecoou em um relatório encomendado pelo escritório de advocacia Baker & McKenzie , que constatou que "cerca de 70 por cento dos entrevistados acreditam que as empresas precisarão investir adicionais do orçamento/esforço para cumprir com o consentimento, o mapeamento de dados e de dados transfronteiras de transferência de requisitos sob a GDPR." Crítica apontou para outras questões.

  • A exigência de um responsável pela protecção de dados (DPO) é novo para muitos países da UE e é criticada para encargos administrativos.
  • O GDPR foi desenvolvida com foco em redes sociais e provedores de cloud, mas não considere suficientes os requisitos para a manipulação de dados dos funcionários.[26]
  • Portabilidade de dados não é visto como um aspecto fundamental para a proteção de dados, mas mais um requisito funcional para as redes sociais e provedores de cloud apesar de portabilidade de dados cria transparência para avaliar preocupações com a privacidade dos controladores.
  • Embora os dados de minimização é um requisito, com a cria ção de pseudónimos , sendo um dos meios possíveis, o regulamento não fornecem orientações sobre como, ou o que constitui uma eficaz de dados de esquema de identificação, com uma área cinzenta em que seria considerado como inadequado cria ção de pseudónimos de acordo com a Seção 5 as ações de fiscalização.[27][28][29]
  • A proteção contra decisões automatizadas no Artigo 22, trouxe para a frente da Diretiva de Proteção de Dados do Artigo 15, tem sido solicitada para fornecer proteção contra o crescimento do número de algoritmos decisões on-line e off-line, incluindo, potencialmente, um direito a explicação. Se o velho disposições fornecer qualquer uma proteção significativa é um assunto de debate em curso.
  • Linguagem e pessoal, desafios para o nacional de autoridades de protecção de dados (Apd), enquanto cidadãos da UE não têm um único DPA para contato para as suas preocupações, mas tem que lidar com o DPA escolhido pela empresa envolvida.
  • Dados pessoais não podem ser transferidos para países fora da União Europeia, a menos que eles garantem o mesmo nível de protecção de dados.[30]
  • Existe uma preocupação em relação a implementação de GDPR em blockchain sistemas, como o transparente e de registro fixo de blockchain transações contradiz a própria natureza da GDPR.[31]
  • Os maiores desafios na implementação da GDPR:
    • A implementação do GDPR vai exigir mudanças abrangentes para práticas de negócio para as empresas que não havia implementado a um nível comparável de privacidade antes que o regulamento entrou em vigor, em especial as não-Europeu de empresas de tratamento de UE os dados pessoais.[carece de fontes?]
    • Já existe uma falta de privacidade especialistas e conhecimento, e assim, novos requisitos podem piorar a situação. Portanto, a educação na proteção de dados e privacidade legislação, especialmente para manter a conformidade com as novas regras que possam surgir, será um fator crítico para o sucesso do GDPR.[32] "Privacy by Design" e tópicos relacionados foram conhecidas dos especialistas antes de GDPR, e foram viril discutido em comunidades, escolas de direito e em criptografia de pesquisa. Recentes universidade ofertas de apenas começou a espalhar o conhecimento sobre o projeto para a privacidade, legal, tecnológico e perspectiva gerencial, por exemplo, Karlstad university livre e open curso on-line ao nível do mestrado.[33]
    • A Comissão Europeia e Apd deve fornecer recursos suficientes e de poder para fazer valer a implementação.
    • Um único nível de protecção de dados tem de ser acordada por todos os estados-Apd, como uma diferente interpretação do regulamento, ainda pode levar a diferentes níveis de privacidade.
    • A europa política de comércio internacional ainda não está em linha com o GDPR.[34]

Linha do tempo[editar | editar código-fonte]

  • 25 de janeiro de 2012: A proposta[35] para GDPR foi lançado.
  • 21 de outubro de 2013: O Parlamento Europeu, Comissão das Liberdades cívicas, Justiça e Assuntos internos (LIBE) teve a sua orientação de voto.
  • 15 de dezembro de 2015: Negociações entre o Parlamento Europeu, do Conselho e da Comissão (Formal reunião Trilateral) resultou em uma proposta conjunta.
  • 17 de dezembro de 2015: A Comissão LIBE do Parlamento Europeu votou para as negociações entre as três partes.
  • 8 de abril de 2016: Adopção pelo Conselho da União Europeia.[36] O único estado-membro, com o voto contra foi a Áustria, que argumentou que o nível de protecção de dados, em alguns aspectos, cai curto em comparação com a directiva de 1995.[37][38]
  • 14 de abril de 2016: a Adopção pelo Parlamento Europeu.[39]
  • 24 de Maio de 2016: O regulamento entrou em vigor 20 dias após a sua publicação no Jornal Oficial da União Europeia.[40]
  • 25 de Maio de 2018: Suas disposições será directamente aplicável em todos os estados-membros, dois anos após a regulamentação entrar em vigor.

UE Mercado Único Digital[editar | editar código-fonte]

A UE mercado único digital e a facilitação de serviços públicos através das fronteiras

A UE Mercado Único Digital, estratégia visa abrir oportunidades digitais para pessoas e empresas e reforçar a posição da Europa como líder mundial na economia digital.[41]

Como parte da estratégia, a GDPR e o NIS Directiva vai aplicar a partir de 25 de Maio de 2018. A proposta cionais de Regulamento também está planejada para ser aplicável, a partir de 25 de Maio de 2018. O eIDAS Regulamento é também parte da estratégia.

Cidadão de controle de dados pessoais[editar | editar código-fonte]

As organizações são encorajadas a dar de volta o controle de dados pessoais para o indivíduo, tornando-o mais fácil para eles para acessar os dados que as organizações segurar eles e para eles para ser capaz de alterar as permissões que eles subsídio para que ela seja usada ou compartilhada.

Veja também[editar | editar código-fonte]

  • Autoridade nacional de protecção
  • cionais Regulamento (União Europeia)

Referências[editar | editar código-fonte]

  1. Presidency of the Council: "Compromise text. Several partial general approaches have been instrumental in converging views in Council on the proposal for a General Data Protection Regulation in its entirety. The text on the Regulation which the Presidency submits for approval as a General Approach appears in annex," 201 pages, 11 June 2015, PDF, http://data.consilium.europa.eu/doc/document/ST-9565-2015-INIT/en/pdf
  2. «EUR-Lex - 31995L0046 - EN - EUR-Lex». eur-lex.europa.eu 
  3. «GDPR: Getting Ready for the New EU General Data Protection Regulation». Information Law Group 
  4. «Art. 3 GDPR – Territorial scope | General Data Protection Regulation (GDPR)» (em inglês) 
  5. «Fines and Penalties – GDPR EU.org». www.gdpreu.org (em inglês) 
  6. «EUR-Lex - 32016R0679 - EN - EUR-Lex». eur-lex.europa.eu 
  7. «Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA» 
  8. The Proposed EU General Data Protection Regulation. A guide for in-house lawyers, Hunton & Williams LLP, June 2015, p. 14
  9. «AI watchdog needed to regulate automated decision-making, say experts» (em inglês). ISSN 0261-3077 
  10. «EU's Right to Explanation: A Harmful Restriction on Artificial Intelligence». www.techzone360.com (em inglês) 
  11. «Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation» – via SSRN 
  12. Edwards, Lilian; Veale, Michael (2017). «Slave to the algorithm? Why a "right to an explanation" is probably not the remedy you are looking for». Duke Law and Technology Review. SSRN 2972855Acessível livremente. doi:10.2139/ssrn.2972855 
  13. Regulation article 8 (1):"For the purposes of this Regulation, in relation to the offering of information society services directly to a child, the processing of personal data of a child below the age of 13 years shall only be lawful if and to the extent that consent is given or authorised by the child's parent or custodian."
  14. "How the Proposed EU Data Protection Regulation Is Creating a Ripple Effect Worldwide". Judy Schmitt, Florian Stahl. 11 October 2012. Retrieved 3 January 2013.
  15. «How Smart Businesses Can Avoid GDPR Penalties When Recording Calls». www.xewave.io (em inglês) 
  16. Data science under GDPR with pseudonymization in the data pipeline Published by Dativa, 17 April, 2018
  17. «L_2016119EN.01000101.xml». eur-lex.europa.eu 
  18. «The Right to Be Forgotten» 
  19. «European Parliament legislative resolution of 12 March 2014 on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)» 
  20. Article 29 Working Party. Guidelines on the right to data portability. [S.l.: s.n.] 
  21. «The Final European Union General Data Protection Regulation, by Cedric Burton, Laura De Boel, Christopher Kuner, Anna Pateraki, Sarah Cadiot and Sára G. Hoffman, Section II, 4» (Note that the Article 18 in the draft GDPR became Article 20 in the final version.)
  22. «Privacy and Data Protection by Design — ENISA». www.enisa.europa.eu (em inglês). Consultado em 4 de abril de 2017 
  23. «REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL (article 30)» 
  24. House of Commons Justice Committee (novembro de 2012). The Committee's Opinion on the EU Data Protection Framework Proposals. [S.l.: s.n.] 
  25. Taylor Wessing (1 de setembro de 2016). «The compliance burden under the GDPR – Data Protection Officers». taylorweesing.com. Taylor Wessing. Consultado em 3 de outubro de 2017. One of the politically most contentious innovations of the General Data Protection Regulation (GDPR) is the obligation to appoint a Data Protection Officer (DPO) in certain cases. 
  26. Expert tips: Get your business ready for GDPR. Regina Mühlich. Retrieved 9 August 2016.
  27. IAPP, Matt Wes, Apr 25 2017, Looking to comply with GDPR? Here's a primer on anonymization and pseudonymization.
  28. Chassang, G. (2017). The impact of the EU general data protection regulation on scientific research. ecancermedicalscience, 11.
  29. Tarhonen, Laura. (2017). Pseudonymisation of Personal Data According to the General Data Protection Regulation.
  30. «Data transfers outside the EU». ec.europa.eu 
  31. «A recent report issued by the Blockchain Association of Ireland has found there are many more questions than answers when it comes to GDPR». siliconrepublic.com 
  32. «How to make the GDPR a success». www.privacytrust.com 
  33. «Privacy by design | Karlstads universitet». www.kau.se (em sueco) 
  34. «Irion, K., S. Yakovleva, M. Bartl: Trade and Privacy: Complicated Bedfellows? How to achieve data protection-proof free trade agreements» 
  35. «Data protection» (PDF). European Commission - European Commission 
  36. «Data protection reform: Council adopts position at first reading - Consilium». www.consilium.europa.eu 
  37. Adoption of the Council's position at first reading, Votewatch.eu
  38. Written procedure, 8 April 2016, Council of the European Union
  39. «Data protection reform - Parliament approves new rules fit for the digital era - News - European Parliament» 
  40. EU Official Journal issue L 119 «EU Journal» Verifique valor |url= (ajuda). eur-lex.europa.eu 
  41. «Digital Single Market». Digital Single Market 

Ligações externas[editar | editar código-fonte]