O que é o GDPR? Explicação dos pontos de comparação com a Lei de Proteção de Dados Pessoais e o que as empresas japonesas devem ter em conta

Ao expandir os negócios para o território da UE, é essencial ter um conhecimento abrangente sobre o GDPR (Regulamento Geral sobre a Proteção de Dados). Mesmo as empresas japonesas que não têm uma base na UE podem estar sujeitas ao GDPR. Adquira conhecimentos básicos sobre o GDPR e a Lei Japonesa de Proteção de Dados Pessoais e assegure uma gestão de dados adequada.

Neste artigo, explicaremos o GDPR, comparando-o com a Lei Japonesa de Proteção de Dados Pessoais e destacando os pontos aos quais as empresas japonesas devem estar atentas. Se você é um responsável jurídico que está a considerar se precisa de alterar as regras de proteção de dados ou que deseja conhecer as leis que deve cumprir para expandir os negócios para a UE, por favor, use este texto como referência.

O que é o GDPR (Regulamento Geral sobre a Proteção de Dados)

O “GDPR (General Data Protection Regulation)”, conhecido em Japão como “Regulamento Geral sobre a Proteção de Dados”, é uma normativa estabelecida pela União Europeia (EU) que regula o tratamento de dados pessoais (proteção de informações pessoais).

Estabelece critérios rigorosos para o tratamento de dados pessoais dentro da EU, com o objetivo de reforçar a proteção da privacidade dos indivíduos.

Do ponto de vista da proteção de informações pessoais, fornece padrões sobre como empresas e organizações devem tratar os dados e como os indivíduos podem proteger suas próprias informações.

Referência: Comissão de Proteção de Informações Pessoais | “Tradução provisória do GDPR (Regulamento Geral sobre a Proteção de Dados) para o japonês[ja]“

Os princípios fundamentais do GDPR são os seguintes:

• Legalidade, justiça e transparência
• Limitação de finalidade
• Minimização de dados
• Exatidão
• Limitação de armazenamento
• Integridade e confidencialidade

A seguir, explicaremos cada um dos princípios fundamentais.

Legalidade, Equidade e Transparência

Os princípios fundamentais do GDPR (Regulamento Geral sobre a Proteção de Dados) que são frequentemente destacados incluem a legalidade, equidade e transparência.

Quando as empresas coletam e processam dados pessoais, devem fazê-lo com base em fundamentos jurídicos legítimos e comunicar aos interessados de forma clara como esses dados serão tratados.

Além disso, é crucial que as empresas forneçam informações explícitas sobre privacidade, garantindo que os interessados compreendam e possam controlar como os seus dados são manuseados, mantendo assim a transparência.

Limitação do Propósito de Utilização

A limitação do propósito de utilização significa que a recolha e o processamento de dados devem ser realizados exclusivamente para um objetivo específico e claro.

Os operadores que adquirem dados pessoais devem indicar esse propósito de forma precisa e concreta às partes envolvidas, obtendo um consentimento claro. Além disso, os operadores são obrigados a restringir o uso dos dados recolhidos a finalidades que não sejam aquelas para as quais receberam consentimento do titular dos dados, gerindo-os de forma rigorosa.

Minimização de Dados Pessoais

A recolha de dados pessoais deve ser limitada (minimizada) ao estritamente necessário para alcançar o objetivo pretendido. Devemos recolher dados pessoais apenas na medida adequada ao propósito solicitado e evitar a recolha de informações pessoais supérfluas.

Com esta abordagem, a quantidade de dados pessoais retidos é mantida ao mínimo, protegendo assim a privacidade individual.

Precisão

Como princípio fundamental do Regulamento Geral sobre a Proteção de Dados (GDPR), os dados pessoais devem ser precisos. Dados pessoais imprecisos devem ser corrigidos, e medidas devem ser tomadas para manter as informações atualizadas e exatas.

Isso garante a proteção dos direitos e interesses dos indivíduos e que o processamento de dados pessoais seja realizado com base em informações corretas.

Limitações na Conservação de Registos

Um dos princípios fundamentais do Regulamento Geral sobre a Proteção de Dados (GDPR) é o conceito de limitação da conservação de registos. Os dados pessoais que se tornam desnecessários após a realização do seu propósito devem ser prontamente eliminados.

Ao evitar a conservação de dados pessoais desnecessários, asseguramos uma gestão adequada dos mesmos e protegemos a privacidade.

Integridade e Confidencialidade

Os dados pessoais devem ser completos e a sua confidencialidade deve ser mantida. É necessário proteger os dados pessoais contra adulteração e perda, e devem ser tomadas medidas adequadas para prevenir o acesso não autorizado.

Com estas práticas, a confiabilidade dos dados pessoais é aumentada.

O âmbito de aplicação do GDPR não se limita apenas a empresas da UE?

O Regulamento Geral sobre a Proteção de Dados (GDPR) não se aplica apenas a empresas dentro da União Europeia (UE). Empresas japonesas também podem estar sujeitas a este regulamento. Vamos explicar os quatro principais tipos de empresas sujeitas ao GDPR:

As empresas sujeitas ao GDPR são obrigadas a garantir o tratamento legal e transparente dos dados, a segurança dos mesmos, e a conformidade com os padrões estabelecidos pelo GDPR.

Artigo relacionado: Como proceder quando o GDPR é aplicado extraterritorialmente? Explicamos os métodos de resposta[ja]

Tratamento de Dados Pessoais no GDPR

O GDPR fornece um quadro para a proteção da privacidade e a circulação de dados pessoais.

O GDPR protege o controlo e o respeito pelos dados pessoais, ao mesmo tempo que promove a sua circulação e garante a confiabilidade através de uma gestão adequada.

Para tal, a transparência no processamento de dados e a responsabilidade corporativa são essenciais, e as empresas são obrigadas a tratar os dados de forma adequada, de acordo com o regulamento.

O GDPR inclui também os seguintes artigos:

Contudo, existem casos em que o ‘tratamento’ de dados pessoais é permitido mesmo sem o consentimento do titular. Alguns exemplos específicos são:

• Quando necessário para a execução de um contrato do qual o titular dos dados é parte.
• Quando necessário para tomar medidas a pedido do titular dos dados antes da celebração de um contrato.
• Quando necessário para o responsável pelo tratamento cumprir uma obrigação legal.
• Quando necessário para proteger interesses vitais do titular dos dados ou de outra pessoa.
• Quando necessário para o desempenho de uma tarefa realizada no interesse público ou no exercício de autoridade oficial.
• Quando necessário para os fins dos interesses legítimos perseguidos pelo responsável pelo tratamento ou por terceiros (é necessário equilibrar com os direitos, interesses e liberdades do titular dos dados).

Principais Direitos Relativos aos Dados Pessoais no GDPR

No âmbito do GDPR (Regulamento Geral sobre a Proteção de Dados), os titulares dos dados pessoais têm, principalmente, os seguintes direitos:

• Direito de acesso aos dados pessoais
• Direito de retificação e eliminação dos dados pessoais
• Direito de solicitar a restrição do uso dos dados pessoais
• Direito de se opor ao tratamento dos dados pessoais

Os titulares dos dados pessoais têm o direito de compreender como os seus dados estão a ser utilizados pelo fornecedor. Se sentirem que as informações estão incorretas ou a ser utilizadas de forma inadequada, podem solicitar a retificação ou eliminação dos mesmos, bem como a suspensão temporária do uso ou apresentar uma objeção.

Principais Responsabilidades Relativas aos Dados Pessoais no GDPR

Enquanto os titulares dos dados pessoais têm reconhecidos os direitos acima mencionados, as empresas que recolhem e processam dados pessoais têm principalmente as seguintes responsabilidades:

• Estabelecer um sistema e uma estrutura humana para o tratamento de dados pessoais em conformidade com o GDPR;
• Manter registos das atividades de tratamento de dados pessoais;
• Assumir a responsabilidade de responder a violações de dados pessoais.

Para garantir que os dados pessoais estejam devidamente protegidos, estas responsabilidades que as empresas têm são de extrema importância.

Além disso, é essencial que todas as atividades de processamento de dados pessoais sejam devidamente registadas para que possam ser revistas quando necessário.

Em caso de violação de dados pessoais, a empresa tem a responsabilidade de tomar as medidas adequadas e notificar as partes envolvidas.

Em caso de violação do GDPR

Se um controlador ou processador violar o GDPR e causar danos ao titular dos dados, poderá ser sujeito a reivindicações de indemnização (Artigo 82(1) do GDPR).

Além disso, uma violação do GDPR pode levar a consequências severas. Por exemplo, em resposta a uma infração, a UE pode impor multas administrativas com base no Artigo 83 do GDPR (Artigo 83 do GDPR).

Diferenças entre o GDPR e a Lei de Proteção de Dados Pessoais

As principais diferenças entre o GDPR e a Lei de Proteção de Dados Pessoais são as seguintes:

• Objetos de proteção
• Resposta quando os dados pessoais são violados
• Definição de representantes
• Sanções em caso de infração

Explicaremos detalhadamente a seguir.

Objetos de proteção

O GDPR e a Lei de Proteção de Dados Pessoais diferem quanto aos dados que protegem. O GDPR protege uma ampla gama de dados pessoais processados dentro da UE. Abrange não só empresas com sede na UE, mas também empresas que oferecem bens ou serviços a indivíduos na UE.

Por outro lado, os objetos de proteção da Lei de Proteção de Dados Pessoais variam conforme o país ou região.

Por exemplo, a Lei de Proteção de Dados Pessoais japonesa visa a proteção de informações pessoais processadas dentro do país, e a proteção é geralmente limitada ao território nacional.

Resposta quando os dados pessoais são violados

Existem diferenças entre o GDPR e a Lei de Proteção de Dados Pessoais em relação à resposta quando os dados pessoais são violados.

No GDPR, em caso de violação de dados, as empresas têm a obrigação de notificar a autoridade supervisora dentro de 72 horas. Também têm a responsabilidade de informar rapidamente e de forma explícita o titular dos dados pessoais.

Na Lei de Proteção de Dados Pessoais, também se exige uma notificação rápida em caso de violação de dados, mas os prazos de notificação e o conteúdo da notificação variam de acordo com o país ou região.

Definição de representantes

O GDPR e a Lei de Proteção de Dados Pessoais têm regras diferentes para a definição de representantes.

No GDPR, o processamento de dados pessoais de crianças requer o consentimento dos pais ou representantes legais. Além disso, quando empresas que fornecem serviços online tratam dados pessoais de crianças com menos de 16 anos, é necessário o consentimento dos pais.

A Lei de Proteção de Dados Pessoais também exige o consentimento de um representante legal para o tratamento de informações pessoais de crianças, mas a definição de idade e o método de obtenção de consentimento variam conforme a legislação.

Sanções em caso de infração

Outra diferença entre o GDPR e a Lei de Proteção de Dados Pessoais são as sanções aplicadas em caso de infração.

No GDPR, as infrações podem resultar em multas de até 4% do faturamento anual total da empresa ou 20 milhões de euros, o que for maior.

As sanções da Lei de Proteção de Dados Pessoais variam conforme o país ou região, mas geralmente incluem multas ou responsabilidades legais. O valor das multas varia de acordo com a natureza e a gravidade da infração.

Pontos de Ação para Empresas Japonesas em Relação ao GDPR

As empresas que se enquadram nas seguintes categorias necessitam de tomar medidas em relação ao GDPR:

• Empresas que possuem subsidiárias, filiais ou escritórios de vendas dentro da UE
• Empresas que fornecem bens ou serviços para a UE a partir do Japão
• Empresas que processam dados pessoais por encomenda de empresas ou entidades da UE

Como exemplo de medidas específicas para empresas, o Artigo 32 e o preâmbulo (83) do GDPR recomendam a criptografia como uma das tecnologias de proteção de dados.

Portanto, torna-se necessário criptografar dados pessoais em meios de armazenamento como PCs de clientes, HDDs, memórias USB, bem como em pastas partilhadas.

Além disso, é necessário alterar a política de privacidade para que esteja em conformidade com o GDPR. Para mais informações sobre políticas de privacidade compatíveis com o GDPR, consulte o artigo relacionado abaixo.

Artigo relacionado: Explicação dos pontos-chave na criação de uma Política de Privacidade compatível com o GDPR[ja]

Conclusão: Consulte um especialista para medidas de conformidade com o GDPR

O Regulamento Geral sobre a Proteção de Dados (GDPR) protege amplamente os dados pessoais processados dentro da UE, exigindo o processamento legal e transparente dos dados e a garantia de segurança. As diferenças entre o GDPR e a Lei Japonesa de Proteção de Dados Pessoais incluem o âmbito de proteção, a resposta a violações de dados pessoais, a nomeação de representantes e as penalidades por infrações.

Empresas com sede na UE, empresas que fornecem produtos ou serviços a indivíduos na UE, e empresas que processam dados pessoais em nome de empresas da UE estão sujeitas ao GDPR. Violações do GDPR podem resultar em reivindicações de danos e multas, portanto, é essencial ter cuidado.

Recomenda-se consultar um especialista para determinar se é necessário alterar as regras de proteção de dados da sua empresa para estar em conformidade com o GDPR.

Apresentação das Medidas da Nossa Firma

A Monolith Law Office é uma firma de advocacia com vasta experiência em IT, especialmente na intersecção entre a Internet e o direito. Nos últimos anos, o negócio global tem-se expandido cada vez mais, e a necessidade de verificações legais por especialistas tem aumentado. A nossa firma oferece soluções em assuntos de direito internacional.

Áreas de atuação da Monolith Law Office: Assuntos Internacionais e Negócios no Estrangeiro[ja]