article

Guia para a conformidade com o Regulamento Geral sobre a Proteção de Dados (RGPD)

O Regulamento Geral sobre a Proteção de Dados (RGPD) é a legislação de privacidade da União Europeia que define regras rigorosas para coleta, uso, armazenamento e compartilhamento de dados pessoais.

Embora tenha origem europeia, sua aplicação é global: qualquer empresa que processe dados de cidadãos da UE precisa seguir suas normas, mesmo que esteja localizada fora da Europa.

Por ter penalidades severas para o descumprimento e exigências detalhadas, o RGPD tornou-se um marco internacional na regulação da privacidade digital.

Neste guia, explicamos os princípios centrais da lei, os direitos dos usuários, as obrigações para as empresas, e como garantir conformidade prática com o RGPD!

O que é necessário para a conformidade com o RGPD?

A conformidade com o RGPD é considerada uma das mais desafiadoras de se alcançar e manter. A razão disso é porque a lei é amplamente vista como o direcionamento de segurança e privacidade mais rigoroso do mundo, com 99 artigos distintos.

A seguir, estão as principais exigências de conformidade com o RGPD, a fim de dar uma dimensão do alcance e da magnitude da lei.

Requisitos de responsabilidade

Organizações que processam dados pessoais são obrigadas a ter controladores de dados que demonstrem a conformidade com o RGPD.

Requisitos de precisão

A conformidade com o RGPD exige que as organizações tomem as medidas cabíveis para garantir que as informações dos titulares dos dados sejam precisas.

Embora não sejam impostos requisitos específicos, deve-se considerar as circunstâncias, o tipo de dados pessoais que estão sendo processados e o motivo por que os dados estão sendo utilizados.

Para atender a esse requisito, é necessária uma avaliação que estabeleça a importância dos dados pessoais. Quanto mais importantes os dados, maiores devem ser as medidas tomadas para garantir a precisão.

Como parte do requisito de precisão, a conformidade com o RGPD exige a implementação de procedimentos que permitam aos titulares dos dados ter suas informações pessoais atualizadas mediante solicitação.

Requisitos de consentimento

Ao contrário do senso comum, a conformidade com o RGPD não exige o consentimento dos titulares dos dados para o processamento de suas informações.

Trata-se de uma das seis bases legais para o processamento de informações do titular dos dados, sendo normalmente solicitada caso uma das outras cinco não se aplique.

No entanto, se o consentimento for usado como base para a conformidade com o RGPD, as organizações devem cumprir diversas regras, entre elas:

  • Crianças menores de 13 anos só podem dar consentimento com a permissão dos pais.
  • O consentimento deve ser “concedido de livre e espontânea vontade, específico, informado e inequívoco”. Os usuários devem conceder o consentimento ativamente, em vez de a organização utilizar caixas pré-selecionadas para o consentimento ser concedido.
  • Os titulares dos dados podem revogar o consentimento previamente concedido a qualquer momento.
  • A documentação comprobatória do consentimento deve ser arquivada.
  • As solicitações de consentimento devem ser “claramente distinguíveis de outros assuntos” e apresentadas em “linguagem clara e simples”.

Requisitos de avaliação de impacto à proteção de dados

A conformidade com o RGPD compreende a identificação e a minimização de riscos no processamento de dados por meio de avaliações de impacto à proteção de dados (AIPDs).

O Artigo 35 apresenta o conceito de AIPDs, um requisito de conformidade com o RGPD quando o processamento de dados “for suscetível de resultar em alto risco aos direitos e liberdades das pessoas físicas”.

No contexto da conformidade com o RGPD, alto risco refere-se a:

  1. Dados de categorias especiais ou infrações penais em larga escala;
  2. Criação de perfis sistemática e abrangente;
  3. Monitoramento sistemático de locais de acesso público em larga escala.

Requisitos de direitos do titular dos dados

A conformidade com o RGPD deve levar em consideração oito direitos do titular dos dados. São eles:

  • O direito de ser informado: as organizações devem informar os titulares dos dados, de forma concisa e em linguagem simples, que informações estão sendo coletadas, como estão sendo utilizadas, por quanto tempo serão retidas e se serão compartilhadas com terceiros.
  • O direito de acesso: os titulares dos dados podem solicitar às organizações que forneçam uma cópia de quaisquer dados pessoais armazenados e receber essas informações no prazo de um mês, com algumas exceções.
  • O direito de retificação: os titulares dos dados podem solicitar que suas informações sejam atualizadas caso seja constatado que os dados estão imprecisos ou incompletos. Isso deve ser feito no prazo de um mês, com algumas exceções.
  • O direito à exclusão dos dados: em determinadas circunstâncias, os titulares dos dados podem solicitar que uma organização apague seus dados, se os dados não forem mais necessários, se tiverem sido processados ilegalmente ou se não atenderem mais ao fundamento legal para o qual foram coletados.
  • O direito à restrição do processamento: quando não se utiliza mais o produto ou serviço para o qual seus dados foram inicialmente coletados, o titular dos dados poderá solicitar que eles sejam apagados. Se a organização argumentar que a retenção é necessária (por exemplo, para estabelecer, exercer ou defender uma ação judicial), restrições poderão ser impostas à forma como os dados são usados.
  • O direito à portabilidade de dados: as informações dos titulares dos dados devem ser acessíveis em um formato-padrão para que possam ser utilizadas em diferentes serviços.
  • O direito de objeção: mesmo que uma organização processe dados pessoais alegando, como base legal, a presença de interesse legítimo ou a execução de uma tarefa de interesse de uma autoridade oficial, os titulares dos dados têm o direito de se opor ao processamento.
  • Direitos relacionados à tomada de decisões automatizada, como a criação de perfil: há limitações quanto ao uso das informações dos titulares dos dados para a tomada de decisões automatizada, como a criação de perfis e outras aplicações de inteligência artificial e aprendizado de máquina.

Requisitos de transferência de dados

As regras para transferência de dados variam de acordo com o local para onde os dados são transferidos.

As proteções básicas de dados e privacidade do RGPD são admissíveis se as informações do titular dos dados forem transferidas dentro da UE.

No entanto, os dados só poderão ser transferidos para terceiros ou organizações internacionais se a organização de processamento “assegurar um nível adequado de proteção e sob a condição de que estejam disponíveis os direitos exigíveis dos titulares dos dados”.

Requisitos de integridade e confidencialidade

O processamento de dados deve ser realizado de forma a garantir segurança, integridade e confidencialidade adequadas ao atendimento aos requisitos de conformidade com o RGPD.

O nível de controles de segurança deve ser compatível com o impacto de um vazamento de dados sofrido pelo titular dos dados.

A proteção de dados é necessária para evitar que os dados em processamento sejam comprometidos acidental ou deliberadamente.

Somente usuários autorizados devem ter acesso, alterar, divulgar ou excluir as informações dos titulares dos dados.

Requisitos de processamento legal, justo e transparente

O processamento deve ser legal, justo e transparente para o titular dos dados. Um dos seis motivos legais para o processamento de dados deve ser atendido para garantir a conformidade com o RGPD.

Embora o processamento de dados não precise ser essencial, deve haver uma finalidade específica para o processamento das informações do titular dos dados:

  1. O consentimento expresso do titular dos dados deve ter sido obtido.
  2. O processamento é necessário para o cumprimento de uma obrigação legal.
  3. O processamento é necessário à execução de um contrato com o titular dos dados ou à tomada de medidas para a celebração de um contrato.
  4. O processamento é necessário à execução de uma tarefa de interesse público ou ao exercício da autoridade oficial investida no controlador.
  5. O processamento é necessário aos interesses legítimos do controlador ou de terceiros, exceto quando tais interesses prevalecem sobre os interesses, direitos ou liberdades do titular dos dados.
  6. O processamento é necessário à proteção dos interesses vitais de um titular dos dados ou de outro indivíduo.

Para garantir a transparência, as organizações devem criar avisos de privacidade e torná-los facilmente acessíveis aos titulares dos dados.

Requisitos de limitação de finalidade, dados e armazenamento

A conformidade com o RGPD exige que as organizações tenham um motivo legítimo para processar as informações dos titulares dos dados e o informem expressamente ao titular dos dados no momento da coleta.

Caso não sejam mais necessários, os dados deverão ser excluídos. Há exceções para o processamento de dados realizado para fins de arquivamento de interesse público e para fins científicos, históricos ou estatísticos.

Requisitos de notificação de vazamento de dados pessoais

Em caso de vazamento de dados, existem requisitos muito específicos para a conformidade com o RGPD.

Um dos mais importantes está relacionado ao vazamento de dados que envolva o comprometimento de informações pessoais e a possibilidade de indivíduos serem colocados em risco.

Nesse caso, a organização deve comunicar o incidente em até 72 horas após a identificação. Posteriormente, há um processo para avaliar o que ocorreu com os dados e as implicações para os titulares dos dados.

O Artigo 4º, Seção 12, define vazamentos de dados pessoais como “uma violação de segurança que acarreta a destruição acidental ou ilícita, extravio, alteração, divulgação ou acesso não autorizado a dados pessoais transmitidos, armazenados ou de outra forma processados”.

Isso significa que os vazamentos de dados pessoais vão além de um ataque de um criminoso cibernético e inclui pessoas de dentro que, por engano, comprometem as informações do titular dos dados.

Requisitos de privacidade desde a concepção e por padrão

Para atender aos requisitos de conformidade do RGPD para privacidade desde a concepção e por padrão, uma organização deve iniciar o desenvolvimento de seu programa de processamento de dados com a segurança incorporada, em vez de adicioná-la posteriormente.

Isso significa incorporar as medidas técnicas e organizacionais adequadas de proteção de dados, juntamente com aquelas necessárias à proteção dos direitos de privacidade do titular dos dados.

Requisitos de treinamento de conscientização sobre segurança

O treinamento de conscientização sobre segurança para a equipe é obrigatório para a conformidade com o RGPD.

Qualquer pessoa que lide com dados pessoais, ou seja responsável por supervisionar as práticas de proteção de dados deve ser informada sobre suas responsabilidades, as ameaças que afetam os dados pessoais e os direitos dos titulares dos dados.

O treinamento de conscientização sobre segurança também deve abranger a privacidade desde a concepção e por padrão, bem como as AIPDs.

Requisitos de limitação de armazenamento

As organizações devem ter políticas e cronogramas de retenção que definam por quanto tempo as informações dos titulares dos dados serão armazenadas para atender aos requisitos de conformidade com o RGPD. Esse período de retenção deve durar somente enquanto os dados forem necessários.

Sistemas devem estar em vigor para garantir que os dados sejam excluídos ou anonimizados ao atingirem o fim do período de uso definido.

Além disso, deve haver um processo para exclusão antecipada (por exemplo, se uma solicitação for feita por um titular dos dados ou se os dados não estiverem mais sendo usados).

De quem é exigido o cumprimento do RGPD?

A conformidade com o RGPD é obrigatória para qualquer organização que processa dados pessoais de um cidadão da UE. Independentemente de onde a organização esteja localizada, a conformidade com o RGPD será exigida se a organização:

  • Monitorar o comportamento de um cidadão da UE, com uso de cookies de rastreamento ou endereços IP (protocolo de internet).
  • Oferecer bens e serviços a um cidadão da UE a partir de seu site.

Quais são os direitos dos usuários de acordo com o RGPD?

A conformidade com o RGPD estabelece direitos para os titulares dos dados, juntamente com obrigações para as organizações que processam seus dados pessoais. A seguir, um resumo dos direitos dos titulares dos dados que o RGPD impõe.

O direito de acesso

As organizações devem facilitar o acesso dos usuários aos seus dados pessoais para manter a conformidade com o RGPD.

Indivíduos devem ser capazes de solicitar uma cópia dos dados pessoais que uma organização possui e receber uma cópia, juntamente com quaisquer informações complementares, tais como as finalidades do processamento e o período de retenção dos dados.

Essas informações devem ser entregues no prazo de um mês a partir da data da solicitação, com algumas exceções.

O direito à portabilidade de dados

A conformidade com o RGPD exige que o titular dos dados possa transferir seus dados pessoais de um provedor de serviços para outro.

Esse direito confere aos titulares dos dados maior controle sobre seus dados e mais liberdade na transferência entre provedores de serviços, como para obter melhores serviços ou preços.

O direito à exclusão dos dados

Também conhecida como direito ao esquecimento, essa exigência de conformidade com o RGPD permite aos titulares dos dados solicitarem às organizações que apaguem quaisquer dados pessoais que tenham coletado.

Constituem algumas exceções a esse direito as situações em que há uma obrigação legal de os manter e quando são usados em uma incumbência realizada em prol do interesse público. Uma solicitação de exclusão deve ser respondida no prazo de um mês após a solicitação.

O direito de ser informado

Para cumprir os requisitos de conformidade com o RGPD, as organizações devem garantir que os titulares dos dados tenham informações claras sobre o que a organização faz com seus dados pessoais.

Os requisitos variam dependendo se a empresa coleta dados pessoais diretamente do indivíduo ou os obtém de outra fonte.

Se coletados diretamente de um titular dos dados, a organização é obrigada a fornecer as informações pessoais. Se coletados de uma fonte terceirizada, a organização só precisa informar o titular dos dados sobre a fonte, em vez de fornecer as informações pessoais.

O direito de retificação

Os requisitos de conformidade com o RGPD determinam que, se uma organização receber uma solicitação de retificação, ela deverá tomar as medidas cabíveis para confirmar a exatidão dos dados ou corrigi-los.

As organizações têm um mês a partir do recebimento da solicitação para atendê-la.

Direitos em relação à tomada de decisão automatizada e à criação de perfis

A tomada de decisão automatizada é um processo que dispensa o envolvimento humano, como a criação de perfis e a elaboração de julgamentos sobre aspectos de um indivíduo.

A tomada de decisão automatizada só pode ser utilizada em três situações:

  1. Os titulares dos dados recebem informações sobre o processamento.
  2. Um titular de dados pode facilmente solicitar intervenção humana ou contestar uma decisão.
  3. Verificações regulares são realizadas para garantir que o sistema esteja funcionando conforme o esperado.

O direito à restrição do processamento

A conformidade com o RGPD exige que organizações tenham o consentimento claro do titular dos dados para processar seus dados pessoais.

O processo de obtenção de consentimento deve ser transparente e facilmente acessível. Os titulares dos dados também têm direito à necessidade do consentimento expresso de um indivíduo para o processamento dos seus dados pessoais e a extensão desse processamento.

Que penalidades existem para o não cumprimento do RGPD?

O não cumprimento dos critérios de conformidade com o RGPD acarreta multas pesadas, que variam de acordo com a gravidade da infração. Existem dois níveis de multas por não cumprimento dos requisitos de conformidade do RGPD.

Além das multas, o RGPD confere aos titulares dos dados o direito de pleitear indenizações de organizações que lhes causem danos materiais ou imateriais, resultantes do não cumprimento dos requisitos de conformidade do RGPD.

Multas de nível um

Uma multa de até 10 milhões de euros, ou 2% da receita anual mundial da organização referente ao exercício anterior, o valor que for maior, é imposta quando há violação de regras relacionadas a:

  • Organismos de certificação (artigos 42º e 43º);
  • Controladores e processadores (artigos 8º, 11º, 25º a 39º, 42º e 43º);
  • Órgãos de supervisão (artigo 41º).

Multas de nível dois

Uma multa de até 20 milhões de euros, ou 4% da receita anual mundial da organização referente ao exercício anterior, o valor que for maior, é imposta quando há violação de regras relacionadas a(o)/às(aos):

  1. Qualquer das leis dos estados-membros adotadas ao abrigo do Capítulo IX (o Capítulo IX concede aos estados-membros da UE a capacidade de aprovar leis adicionais de proteção de dados, desde que estejam de acordo com o RGPD);
  2. Não cumprimento de uma ordem emitida por uma autoridade de fiscalização;
  3. Princípios básicos do processamento (artigos 5º, 6º e 9º);
  4. Condições para o consentimento (artigo 7º);
  5. Direitos dos titulares dos dados (artigos 12º a 22º).

As multas por não cumprimento dos requisitos de conformidade do RGPD são administradas pelo regulador de proteção de dados em cada país da UE. Ele determina se ocorreu uma violação de dados e qual será a penalidade.

Os dez critérios a seguir são usados para julgar se uma organização violou a conformidade com o RGPD e, em caso afirmativo, a penalidade associada.

Se for constatado que a organização possui múltiplas violações, ela será penalizada pela mais grave, presumindo-se que todas as violações fazem parte da mesma operação de processamento.

  1. Gravidade e natureza;
  2. Dolo;
  3. Mitigação;
  4. Medidas de precaução;
  5. Histórico;
  6. Cooperação com a autoridade de fiscalização;
  7. Categoria de dados;
  8. Notificação;
  9. Certificação;
  10. Fatores agravantes/atenuantes.

Qual é a relação entre o RGPD e os vazamentos de dados?

As organizações devem comunicar um vazamento de dados pessoais ao regulador se for provável que acarrete um “risco aos direitos e liberdades dos titulares dos dados”.

Segundo as regras de conformidade do RGPD, existem três tipos de vazamentos de dados pessoais, e os vazamentos de dados podem se enquadrar em todas as três categorias.

  1. Violação de confidencialidade: divulgação ou acesso não autorizado, ou acidental a dados pessoais.
  2. Violação de disponibilidade: acesso acidental, extravio ou destruição de dados pessoais.
  3. Violação de integridade: alteração não autorizada ou acidental de dados pessoais.

A conformidade com o RGPD exige que as organizações comuniquem uma violação de segurança que afete dados pessoais a uma Autoridade de Proteção de Dados (APD) em até 72 horas após tomarem conhecimento.

O que é uma Solicitação de Acesso do Titular dos Dados?

Uma solicitação de acesso do titular dos dados (DSAR, Data Subject Access Request) é a solicitação de um indivíduo para acessar seus dados pessoais que uma empresa processou, bem como:

  • Categorias de dados pessoais que a organização está processando.
  • O período de retenção de dados.
  • Informações sobre tomada de decisão automatizada (por exemplo, criação de perfil).
  • Informações sobre seus direitos previstos no RGPD.
  • A finalidade do processamento de dados pessoais.
  • A fonte dos dados (ou seja, se os dados não são coletados do titular dos dados).
  • Terceiros com os quais a organização está compartilhando dados pessoais.

O que é um encarregado da proteção de dados?

Um encarregado da proteção de dados (DPO, Data Protection Officer) é responsável por garantir que uma organização cumpra os requisitos de conformidade com o RGPD.

Em organizações maiores, a função de DPO é realizada por várias pessoas ou por um departamento inteiro.

A função do DPO é:

  • Atuar como ponto de contato entre a organização e sua autoridade de fiscalização;
  • Orientar a equipe sobre suas responsabilidades em relação à proteção de dados;
  • Aprovar fluxos de trabalho sobre como os dados serão acessados;
  • Definir como os dados retidos são anonimizados;
  • Estabelecer períodos de retenção de dados pessoais que sejam justificáveis;
  • Ajudar a gerência a decidir se as AIPDs são necessárias;
  • Monitorar todos esses sistemas para garantir o seu funcionamento visando à proteção dos dados privados dos clientes;
  • Supervisionar as políticas e procedimentos de proteção de dados;
  • Servir como ponto de contato para os titulares dos dados;

Observe que nem toda organização precisa aderir às regras de conformidade com o RGPD.

Um DPO deve ser nomeado quando a organização:

  • Realiza atividades que envolvem o processamento em larga escala de categorias especiais de dados listadas nos Artigos 9º e 10º do RGPD;
  • Realiza atividades principais que exigem o monitoramento sistemático e regular dos titulares dos dados em larga escala;
  • É uma autoridade pública que não seja um tribunal atuando em caráter judicial.

Observe com rigor os requisitos de conformidade com o RGPD

A conformidade com o RGPD pode ser subestimada. As penalidades impostas apenas pelos órgãos reguladores são altas. Além disso, os indivíduos podem pleitear indenizações adicionais e, com frequência, as recebem.

Embora a conformidade com o RGPD exija empenho, ela também ajuda a reforçar a segurança geral, o que beneficia as organizações.

Data: 17 de julho de 2025Tempo de leitura: 18 minutos
Compliance

Introdução

Veja o que o SailPoint Identity Security pode fazer pela sua organização

Descubra como nossas soluções permitem que as empresas modernas da atualidade enfrentem o desafio de garantir acesso seguro aos recursos sem comprometer a produtividade ou a inovação.

Solicitar uma demonstraçãoContato