A iubenda desenvolveu um sistema que permite aplicar diferentes direitos aos diferentes grupos de usuários cujos dados pessoais você coleta e trata como “controlador” (que é a definição usada pelo GDPR para determinar qualquer sujeito que decide sobre os meios e a finalidade do tratamento de dados).
Em particular:
💡 Se você tem como público-alvo usuários americanos, você pode se enquadrar no escopo da Lei de Privacidade do Consumidor da Califórnia (CCPA). Saiba mais sobre a CCPA em nosso guia completo aqui.
Você pode ativar a opção “Aplicar padrões de privacidade do GDPR para”
Você pode encontrar a opção aqui:
Depois de decidir quais direitos oferecer e para quem, você pode continuar.
Neste caso, você terá que aplicar um alto padrão de proteção para todos os seus usuários, pois todas as atividades de tratamento de dados que você realiza estão sujeitas ao GDPR. Isso também se estende a todos os seus usuários que não estão localizados no território da UE.
Nesse caso, você pode optar por aplicar padrões de proteção mais elevados para todos os seus usuários ou garantir direitos específicos apenas se o tratamento de dados estiver sujeito ao GDPR. Lembre-se de que você deve aplicar padrões de proteção mais elevados quando o tratamento:
Se você for um controlador com sede nos Estados Unidos, poderá optar por conceder direitos básicos aos seus usuários, conforme exigido pela lei dos Estados Unidos. No entanto, você é obrigado a aplicar padrões de proteção mais elevados se parte das atividades de processamento de dados consistir na oferta de bens ou serviços pagos ou gratuitos a usuários localizados no território da UE, ou no monitoramento do comportamento do usuário dentro do território UE.
A aplicação de padrões de proteção mais elevados resulta em outras implicações, descritas a seguir.
Se você coletar dados pessoais dentro da UE, poderá transferi-los para outros países da UE ou do EEE (Espaço Econômico Europeu). No entanto, se você planeja transferir esses dados para outros países, como a Suíça ou os Estados Unidos, você precisa ter uma base legal válida que justifique essa transferência.
Serviços que você pode integrar em sua política de privacidade:
Quando você trabalha com parceiros ou usa serviços localizados fora da UE/EEE (por exemplo, Google Analytics), você está transferindo dados pessoais para fora da UE. As cláusulas disponíveis em nosso gerador são baseadas na localização destes serviços.
Ao adicionar um serviço personalizado que não esteja pré-definido em nosso gerador (ex. um serviço escrito por você), lembre-se de indicar qual é a base legal para a transferência.
Se você for um controlador de dados localizado fora da UE, você transfere dados pessoais de usuários europeus fora da UE sempre que coleta dados desses usuários. Certifique-se de fazer isso sob uma base legal válida para a transferência.
O GDPR fornece várias bases jurídicas válidas para a transferência de dados para fora da UE. Os mais relevantes são:
Sempre que a Comissão Europeia considerar que um país fora da UE garante normas de proteção de dados comparáveis às da UE, ela emite uma decisão de adequação. Se você planeja transferir dados para tal país, você deve notificar os usuários por meio de sua política de privacidade.
As decisões de adequação foram tomadas até agora para Andorra, Argentina, Canadá (organizações comerciais), Ilhas Faroé, Guernsey, Israel, Ilha de Man, Jersey, Nova Zelândia, Suíça, Uruguai e Japão.
O serviço a adicionar neste caso seria: “Transferência de dados para países que garantem as normas europeias“.
Se o país para onde você planeja exportar os dados não parece garantir um nível adequado de proteção, você pode certificar-se de que o importador de dados (ou seja, a empresa ou pessoa para quem você está exportando os dados) cumpra regras mais rígidas. Neste sentido, você deverá celebrar um contrato com ele que inclui cláusulas padrão elaboradas pela Comissão Europeia. Na maioria dos casos, você usará as cláusulas contratuais padrão para Controladores baseados na UE que exportam dados para Processadores baseados em outros lugares.
Veja também que: você pode transferir dados pessoais se tiver este contrato, mas você deve mencioná-lo em sua política de privacidade.
Deve-se acrescentar neste caso o serviço: “Transferência de dados para o exterior para com base em cláusulas contratuais padrão“.
Por fim, se nenhuma das opções acima parecer viável, você deverá coletar o consentimento de seus Usuários para transferir seus dados para fora da UE. Este é o cenário mais complicado, pois você deverá garantir que o consentimento é “informado”, além de cumprir outros requisitos. Você realmente sabe o que será feito com os dados dos Usuários quando forem exportados para fora da UE? Você pode dizer que tipo de medidas de segurança são previstas pela legislação local ou adotadas por iniciativa do importador de dados para garantir a proteção de dados pessoais?
Se você puder fornecer essas informações, você pode pedir aos seus Usuários que autorizem a transferência de dados pessoais; caso contrário, qualquer consentimento coletado não será considerado “informado” e, portanto, será nulo.
Neste caso, adicione o serviço: “Transferência para países terceiros com base no consentimento“.
O GDPR menciona algumas outras opções menos relevantes para a transferência de dados para fora da UE. Se você está baseando a sua transferência numa destas opções, você deve escolher o serviço “Outras bases jurídicas para a transferência de dados para países terceiros” e especificar os detalhes relevantes adicionando uma cláusula customizada.
Se você está transferindo dados pessoais da Suíça para outro país, você deve fazê-lo de acordo com uma das bases legais reconhecidas pela lei da Suíça.
Se precisar de mais informações sobre os regulamentos federais de proteção de dados na Suíça, você pode visitar esta página.
Por “Profiling” entendemos qualquer forma de tratamento automatizado de dados pessoais realizado para avaliar aspectos particulares da personalidade de uma pessoa física, para analisar ou prever os efeitos no trabalho, situação econômica, estado de saúde, preferências, interesses, confiabilidade, comportamento, localização ou movimentos realizados.
Se você criar o perfil de seus usuários, deverá informá-los. Portanto, você deve escolher a cláusula apropriada disponível no Gerador de Política de Privacidade.
Serviços que você pode integrar em sua política de privacidade:
Se você vende produtos e acompanha as escolhas do usuário para fins de marketing, dividindo-os em categorias, por exemplo, por idade, sexo, origem geográfica etc., você está definindo o perfil destes usuários.
Processos de tomada de decisão automatizados são processos que permitem que você tome decisões que podem ter efeitos significativos sobre os usuários de uma forma totalmente automatizada, sem intervenção humana. Esses processos também podem ser baseados em perfis (veja acima).
Caso esteja implementando processos automatizados para tomada de decisão, você precisa informar seus usuários. Para fazer isso, você deve escolher a cláusula relevante disponível no Gerador de Política de Privacidade. Observe que, os usuários têm o direito específico de se opor aos processos automatizados de tomada de decisão, especificado na seção de tomada de decisão automatizada e definição de perfis na política de privacidade que você gerará.
Serviços que você pode integrar em sua política de privacidade:
Você é um banco. Para avaliar se os usuários são elegíveis para um empréstimo, você pede que eles insiram seus dados pessoais em um formulário. Graças a um algoritmo, esses dados são avaliados de forma totalmente automática e uma decisão é tomada.
Se você não coleta os dados pessoais de seus usuários diretamente, mas os obtém de terceiros, você deve informar os usuários afetados sobre esses terceiros, bem como cumprir todas as outras obrigações de informação. Consequentemente, você deve escolher a cláusula apropriada disponível no Gerador de Política de Privacidade.
As informações relativas à aquisição de dados devem ser comunicadas ao usuário no prazo de um mês quando os dados foram coletados e em particular:
Serviços que você pode integrar em sua política de privacidade:
Você é um recrutador. Você encontrou um perfil interessante no LinkedIn. Assim que você entrar em contato com o candidato em questão ou transferir seus dados para o possível empregador e, em qualquer caso, dentro de um mês após ter coletado seus dados pessoais, você deve fornecer ao candidato todas as informações obrigatórias, incluindo uma indicação do LinkedIn como a fonte de seus dados.
Se você for um controlador de dados baseado fora da UE, você deverá nomear como representante na UE uma pessoa física ou jurídica baseada em um dos países da UE onde seus usuários estão localizados. A nomeação deve ser feita por escrito e o representante designado deve ser mencionado em sua política de privacidade.
Consequentemente, é necessário inserir os dados do representante (nome e endereço) no campo onde se encontram os dados da sua empresa.
Sob certas condições, é necessário nomear uma pessoa física ou jurídica como Encarregado de Proteção de Dados (EPD) e mencioná-la na política de privacidade.
Em particular, é necessário nomear um EPD quando:
Se qualquer uma das condições acima se aplicar, você deve inserir os dados de contato do seu EPD na seção que contém as informações da sua empresa.
Por último, tenha em mente que o GDPR permite que os Estados-Membros da UE estabeleçam condições adicionais segundo as quais a nomeação do EPD é obrigatória. Portanto, verifique se sua empresa está sujeita às disposições nacionais de um Estado-Membro da UE, além do GDPR, e se essas disposições exigem a nomeação de um EPD.
Mais informações sobre o encarregador da proteção de dados e outros assuntos podem ser encontrados em nosso Guia GDPR.