O Regulamento Geral de Proteção de Dados (UE) 2016/679 (GDPR) é um regulamento da legislação da UE sobre proteção de dados e privacidade na União Europeia (UE) e no Espaço Econômico Europeu (EEE). Também aborda a transferência de dados pessoais para fora das áreas da UE e do EEE. O principal objetivo do GDPR é dar aos indivíduos controle sobre seus dados pessoais e simplificar o ambiente regulatório para negócios internacionais unificando a regulamentação dentro da UE.[1] Substituindo a Diretiva de Proteção de Dados 95/46/EC, o regulamento contém disposições e requisitos relacionados ao processamento de dados pessoais de indivíduos (formalmente chamados de titulares de dados no GDPR) localizados no EEE e se aplicam a qualquer empresa, independentemente de sua localização e a cidadania ou residência dos titulares dos dados – que está processando as informações pessoais de indivíduos dentro do EEE.a
Os controladores e processadores de dados pessoais devem implementar medidas técnicas e organizacionais apropriadas para implementar os princípios de proteção de dados. Os processos de negócios que lidam com dados pessoais devem ser projetados e construídos considerando os princípios e fornecer salvaguardas para proteger os dados (por exemplo, usando pseudonimização ou anonimização total, quando apropriado). Os controladores de dados devem projetar sistemas de informação com privacidade em mente. Por exemplo, usando as configurações de privacidade mais altas possíveis por padrão, para que os conjuntos de dados não estejam disponíveis publicamente por padrão e não possam ser usados para identificar um assunto. Nenhum dado pessoal pode ser processado a menos que esse processamento seja feito sob uma das seis bases legais especificadas pelo regulamento (consentimento, contrato, tarefa pública, interesse vital, interesse legítimo ou requisito legal). Quando o tratamento for baseado no consentimento, o titular dos dados tem o direito de revogá-lo a qualquer momento.
Os controladores de dados devem divulgar claramente qualquer coleta de dados, declarar a base legal e a finalidade do processamento de dados e declarar por quanto tempo os dados estão sendo retidos e se estão sendo compartilhados com terceiros ou fora do EEE. As empresas têm a obrigação de proteger os dados de funcionários e consumidores na medida em que apenas os dados necessários sejam extraídos com o mínimo de interferência na privacidade de dados de funcionários, consumidores ou terceiros. As empresas devem ter controles e regulamentos internos para vários departamentos, como auditoria, controles internos e operações. Os titulares dos dados têm o direito de solicitar uma cópia portátil dos dados coletados por um controlador em um formato comum e o direito de apagar seus dados em determinadas circunstâncias. As autoridades públicas e as empresas cujas atividades principais consistem no processamento regular ou sistemático de dados pessoais são obrigadas a contratar um responsável pela proteção de dados (DPO), responsável por gerenciar a conformidade com o GDPR. As empresas devem relatar violações de dados às autoridades nacionais de supervisão dentro de 72 horas se tiverem um efeito adverso na privacidade do usuário. Em alguns casos, os infratores do GDPR podem ser multados em até € 20 milhões ou até 4% do faturamento anual mundial do exercício anterior no caso de uma empresa, o que for maior.
O GDPR foi adotado em 14 de abril de 2016 e tornou-se aplicável a partir de 25 de maio de 2018. Como o GDPR é um regulamento, não uma diretiva, é diretamente vinculativo e aplicável, mas fornece flexibilidade para que certos aspectos do regulamento sejam ajustados por indivíduos estados membros.
O regulamento tornou-se um modelo para muitas leis nacionais fora da UE, incluindo Chile, Japão, Brasil, Coreia do Sul, Argentina e Quênia. A Lei de Privacidade do Consumidor da Califórnia (CCPA), adotada em 28 de junho de 2018, tem muitas semelhanças com o GDPR.