• O que é RGPD (GDPR) em termos simples?
  • Por que o GDPR foi introduzido
  • A quem o GDPR se aplica
  • O que são considerados dados pessoais segundo o GDPR?
  • Quais são as bases legais para o processamento de dados pessoais?
  • 7 princípios fundamentais do GDPR
  • Direitos dos usuários em relação a dados segundo o GDPR
  • O que é consentimento segundo o GDPR e como ele é obtido?
  • Como as empresas podem cumprir os requisitos do GDPR
  • Aplicação do GDPR e sanções por violações
  • O GDPR se aplica nos EUA?
  • Qual é o papel dos cookies segundo o GDPR?
  • Conceitos errôneos comuns sobre o GDPR
  • Perguntas frequentes: dúvidas comuns sobre o GDPR
  • O que é RGPD (GDPR) em termos simples?
  • Por que o GDPR foi introduzido
  • A quem o GDPR se aplica
  • O que são considerados dados pessoais segundo o GDPR?
  • Quais são as bases legais para o processamento de dados pessoais?
  • 7 princípios fundamentais do GDPR
  • Direitos dos usuários em relação a dados segundo o GDPR
  • O que é consentimento segundo o GDPR e como ele é obtido?
  • Como as empresas podem cumprir os requisitos do GDPR
  • Aplicação do GDPR e sanções por violações
  • O GDPR se aplica nos EUA?
  • Qual é o papel dos cookies segundo o GDPR?
  • Conceitos errôneos comuns sobre o GDPR
  • Perguntas frequentes: dúvidas comuns sobre o GDPR

O que é RGPD? Guia simples sobre proteção de dados na UE

Em destaque 05.09.2025 21 minutos
Jennifer Pelegrin
Escrito por Jennifer Pelegrin
Katarina Glamoslija
Avaliado por Katarina Glamoslija
Kate Davidson
Editado por Kate Davidson
illustration_what is the gdpr- simple guide to eu data protection

Se a sua organização coleta, usa ou rastreia dados pessoais de pessoas na UE, o Regulamento Geral de Proteção de Dados (GDPR) se aplica. Não importa onde sua empresa esteja localizada: essa lei europeia de privacidade tem alcance global, reformulando a maneira como as empresas lidam com informações pessoais.

Adotada em 2016 e em vigor desde maio de 2018, o GDPR estabelece regras claras sobre o que se qualifica como dados pessoais, como podem ser usados ​​e quais os direitos que os indivíduos têm sobre as suas informações.

Este guia explica o que é RGPD (GDPR), a quem se aplica e o que as empresas precisam saber para se manter em conformidade.

O que é RGPD (GDPR) em termos simples?

O GDPR é uma lei de privacidade da UE que protege os dados pessoais das pessoas na UE. Isso inclui qualquer informação que possa identificar alguém direta ou indiretamente, como nomes, endereços de e-mail, endereços IP ou cookies.

O GDPR oferece às pessoas mais controle sobre seus dados. Também exige que as empresas processem esses dados de forma justa, expliquem por que os estão coletando e os mantenham seguros. Ele substituiu as antigas regras de dados da UE quando entrou em vigor em 25 de maio de 2018.

Por que o GDPR foi introduzido

Antes do GDPR, a proteção de dados na UE baseava-se na Diretiva de Proteção de Dados de 1995. Naquela época, a internet era uma novidade, e as empresas lidavam com muito menos dados pessoais. Com o avanço da tecnologia e a incorporação dos serviços online ao cotidiano, ficou evidente que as antigas regras já não eram suficientes.

Em 2012, a Comissão Europeia propôs uma nova legislação para reforçar os direitos à privacidade e adaptar-se à economia digital. Após vários anos de debate, o GDPR foi adotado em 2016 e entrou em vigor em 2018.

Ao contrário da diretiva anterior, esta aplica-se diretamente em todos os países da UE, estabelecendo normas consistentes e conferindo às pessoas direitos mais robustos sobre as suas informações pessoais.

A privacidade importa mais do que nunca em um mundo conectado, e leis como o GDPR são concebidas para devolver aos usuários o controle de seus dados.

A quem o GDPR se aplica

O GDPR aplica-se a qualquer organização que recolha, utilize ou armazene dados pessoais de pessoas na UE, independentemente de a empresa estar sediada dentro ou fora do Espaço Econômico Europeu (EEE). A lei segue os dados, não a localização da empresa.

O regulamento define duas funções principais:

  • Controlador de dados: decide por que e como os dados pessoais são processados.
  • Processador de dados: gerencia dados em nome do controlador, como provedores de nuvem ou processadores de pagamento.

An infographic showing who the GDPR applies to.

Empresas dentro do EEE

O Espaço Econômico Europeu (EEE) abrange os 27 Estados-Membros da UE, além da Islândia, Liechtenstein e Noruega. Qualquer organização estabelecida no EEE deve cumprir o GDPR ao processar dados pessoais, mesmo que esse processamento ocorra fora da Europa. Por exemplo, uma empresa sediada em Portugal que use servidores no Brasil continua obrigada a seguir as regras do GDPR.

Empresas fora do EEE

O fato de uma organização estar fora do EEE não a isenta do GDPR. Se a sua empresa interage com dados pessoais de residentes da UE das formas descritas abaixo, a lei ainda se aplica:

  • Oferece bens ou serviços a pessoas na UE, seja gratuitamente ou mediante pagamento.
  • Monitora o comportamento de pessoas na UE, como o rastreamento de atividades online por meio de cookies ou criação de perfis.

Por exemplo, uma plataforma de educação que esteja sediada no Brasil, mas que tenha como alvo estudantes universitários em Portugal, deve cumprir o GDPR. E qualquer empresa fora do EEE que atue como processadora de dados para uma empresa dentro do EEE também deve cumprir as normas.

Se um serviço for acessível apenas incidentalmente dentro da UE, sem se destinar especificamente a usuários da UE ou lidar com seus dados pessoais, ele pode estar fora do escopo do GDPR. Porém, se uma empresa não fizer um esforço claro para excluir residentes da UE, os reguladores ainda poderão decidir que o GDPR se aplica.

Além disso, existem alguns tipos específicos de dados que estão isentos do regulamento, incluindo dados coletados para fins de segurança nacional, para fins de aplicação da lei ou puramente para fins pessoais e domésticos.

O que são considerados dados pessoais segundo o GDPR?

De acordo com o GDPR, dados pessoais são quaisquer informações relativas a uma pessoa viva que possa ser identificada direta ou indiretamente. Exemplos incluem:

  • Nomes completos
  • Endereços residenciais
  • Endereços de e-mail com o nome de uma pessoa
  • Números de identificação nacional ou passaporte
  • Endereços IP
  • IDs de cookies
  • Identificadores de publicidade em dispositivos
  • Registros médicos

O GDPR também distingue entre dados pseudonimizados, que ainda podem ser vinculados a alguém, e dados verdadeiramente anonimizados, que não podem. Somente estes últimos estão fora do escopo da regulamentação.

Além disso, o GDPR identifica categorias especiais de dados pessoais, como origem racial ou étnica, crenças religiosas, opiniões políticas e dados biométricos. O processamento desse tipo de informação é proibido, exceto em circunstâncias muito específicas, devido aos elevados riscos envolvidos.

Quais são as bases legais para o processamento de dados pessoais?

O GDPR não permite que as organizações processem dados pessoais simplesmente porque querem. É necessário haver uma razão legal clara, e o regulamento define seis opções:

  • Consentimento: quando alguém dá permissão explícita para que seus dados sejam usados. O consentimento deve ser livre, específico e fácil de revogar. Silêncio ou caixas de seleção pré-selecionadas não são aceitáveis.
  • Contrato: o processamento é necessário para cumprir um contrato com o indivíduo (por exemplo, processar os dados de pagamento para concluir uma compra).
  • Obrigação legal: às vezes, a lei exige que uma organização processe dados pessoais, como quando os hospitais são obrigados a manter registos médicos.
  • Interesses vitais: o processamento de dados é necessário para proteger a vida de alguém, como em uma emergência médica.
  • Tarefa pública: o processamento de dados é necessário para o desempenho de uma função ou tarefa oficial de interesse público (frequentemente relevante para órgãos governamentais).
  • Interesses legítimos: permite que as organizações processem dados se tiverem um motivo válido que não se sobreponha aos direitos do indivíduo, como usar dados para manter sistemas de segurança cibernética.

7 princípios fundamentais do GDPR

O GDPR foi concebido em torno de sete princípios fundamentais que definem como os dados pessoais devem ser tratados. Esses princípios estabelecem os padrões de justiça, segurança e responsabilidade no processamento de dados.
Core principles of the GDPR with a short summary of each.

1. Legalidade, equidade e transparência

Este princípio determina que os dados só devem ser coletados e usados ​​por motivos válidos permitidos pelo GDPR, como obter o consentimento da pessoa ou precisar dos dados para fornecer um serviço. Significa também usar os dados de forma justa, sem enganar as pessoas ou usar suas informações de maneiras inesperadas. Por fim, a transparência é fundamental: as organizações devem explicar em termos simples quais dados estão coletando, por que e como planejam usá-los.

2. Limitação de finalidade

Sob o GDPR, dados pessoais só podem ser coletados para uma finalidade específica e clara. As organizações devem informar às pessoas o motivo da coleta de seus dados no momento em que são obtidos. Uma vez coletados, os dados não podem ser usados ​​para nenhum fim que não seja compatível com a finalidade original.

3. Minimização de dados

O GDPR exige que as organizações coletem apenas os dados pessoais necessários para uma finalidade específica. Esse princípio ajuda a limitar a quantidade de dados armazenados sobre uma pessoa, reduzindo os riscos caso esses dados sejam perdidos ou usados ​​indevidamente. Além disso, mantém a coleta de dados focada e relevante.

4. Exatidão

Os dados pessoais precisam estar corretos. Se uma organização armazena informações sobre uma pessoa, deve garantir que os dados sejam precisos e atualizados conforme necessário. Se os dados mudarem ou forem encontrados erros, a organização é responsável por corrigi-los. Manter os dados precisos ajuda a evitar erros que podem afetar as pessoas, principalmente quando as informações são usadas para tomar decisões a seu respeito.

5. Limitação de armazenamento

As organizações não devem manter dados pessoais por mais tempo do que o necessário. Assim que os dados cumprirem sua finalidade, devem ser excluídos ou anonimizados. Esse princípio garante que os dados não sejam mantidos "por precaução", sem um motivo claro. Também ajuda a reduzir os riscos associados ao armazenamento desnecessário de informações, como violações de dados ou problemas de privacidade.

6. Integridade e confidencialidade

Manter os dados pessoais em segurança é essencial. As organizações precisam protegê-los contra visualização, roubo ou alteração por pessoas não autorizadas. Isso significa implementar medidas de segurança robustas em termos de tecnologia e tratamento de dados.

7. Responsabilidade

Responsabilidade significa que as organizações não só devem seguir as regras do GDPR, como também precisam comprová-lo. Isso envolve demonstrar que elas adotaram medidas relevantes para proteger os dados pessoais, como manter registros de como os processam, treinar a equipe e implementar políticas de privacidade.

Direitos dos usuários em relação a dados segundo o GDPR

Direito à informação

Você tem o direito de saber quando uma organização está coletando seus dados pessoais e por quê. Isso significa que as empresas devem ser transparentes desde o início sobre quais dados estão coletando, como planejam usá-los e com quem podem compartilhá-los.

As informações devem ser fáceis de entender para que você possa tomar uma decisão consciente sobre se sente confortável em compartilhar seus dados.

Direito de acesso

Isso significa que você pode perguntar a qualquer organização quais dados pessoais ela possui sobre você. Você pode solicitar uma cópia desses dados, juntamente com detalhes sobre como eles estão sendo usados ​​e com quem são compartilhados. As organizações são obrigadas a fornecer essas informações dentro de um prazo razoável.

Contudo, esse direito não é absoluto; ele não deve afetar negativamente os direitos e liberdades de terceiros, incluindo segredos comerciais ou propriedade intelectual.

Direito à retificação

Se algum dos seus dados pessoais mantidos por uma organização estiver incorreto ou incompleto, você tem o direito de solicitar a sua correção. Seja um nome escrito incorretamente, um endereço desatualizado ou informações faltantes, a organização deve corrigi-lo.

Direito de exclusão (direito ao esquecimento)

Você pode solicitar que uma organização exclua seus dados pessoais quando não houver mais um bom motivo para que ela os mantenha. Isso geralmente é chamado de "direito ao esquecimento". Ele se aplica quando os dados não são mais necessários para a finalidade para a qual foram coletados ou quando a organização processou seus dados ilegalmente.

No entanto, esse direito também não é absoluto, pois as empresas podem manter os dados se tiverem uma obrigação legal de retê-los ou por outros motivos válidos.

Direito de restringir o processamento

Permite que você solicite a uma organização que limite a forma como utiliza seus dados pessoais. Você pode fazer essa solicitação se acreditar que os dados estão incorretos, se foram processados ​​ilegalmente ou se a organização não precisar mais deles, mas você quiser que ela os mantenha para uma ação judicial. Enquanto a restrição estiver em vigor, a organização pode armazenar os dados, mas não pode usá-los para outros fins, a menos que você dê permissão ou haja razões legais para fazê-lo.

Direito à portabilidade de dados

Permite que você obtenha uma cópia dos seus dados pessoais em um formato acessível. Você também pode solicitar que os dados sejam enviados diretamente para outra organização, se tecnicamente possível. A ideia é dar a você mais controle sobre suas informações, facilitando a troca de serviços ou a transferência dos seus dados para outro local sem precisar começar do zero.

Direito de objeção

Você tem o direito de se opor à forma como seus dados pessoais estão sendo usados, especialmente para fins de marketing direto. Se você apresentar uma objeção, a organização deve interromper o uso de seus dados, a menos que possa demonstrar que possui um motivo legítimo e forte para continuar processando-os.

Direitos relacionados à tomada de decisões automatizada

Você também tem o direito de contestar decisões tomadas a seu respeito inteiramente por processos automatizados, principalmente se a decisão tiver um impacto significativo, como a aprovação de um empréstimo ou de um emprego. O GDPR garante seu direito de solicitar a intervenção humana nesses casos; você pode pedir que alguém revise a decisão em vez de deixá-la exclusivamente a cargo de algoritmos ou sistemas automatizados.

O que é consentimento segundo o GDPR e como ele é obtido?

O consentimento segundo o GDPR deve atender a padrões rigorosos. Para que seja considerado válido, seu consentimento deve ser:
Requirements for valid GDPR consent

  • Livremente concedido: você precisa ter uma escolha real, sem pressão ou consequências negativas por dizer não.
  • Específico e embasado: a organização deve informar quem são, quais dados estão coletando, por que precisam deles e como serão utilizados.
  • Inequívoco: o consentimento deve advir de uma ação clara e afirmativa, como marcar uma caixa de seleção ou assinar um formulário. O silêncio ou caixas de seleção pré-selecionadas não contam.

As pessoas também têm o direito de retirar o consentimento a qualquer momento, e deve ser tão fácil quanto foi concedê-lo. Uma vez retirado o consentimento, a empresa deve parar de usar seus dados para essa finalidade.

Para serviços direcionados a usuários menores de 16 anos, o consentimento dos pais geralmente é necessário, embora alguns países da UE tenham reduzido esse limite para 13 anos.

Como as empresas podem cumprir os requisitos do GDPR

Existem medidas específicas que todas as organizações devem tomar para se manter em conformidade com o GDPR e proteger a privacidade.

Registros de atividades de processamento (RoPA)

O artigo 30 do GDPR exige que as empresas documentem como lidam com dados pessoais. Esses registros devem abranger os motivos do processamento, os tipos de dados coletados, com quem são compartilhados, os períodos de armazenamento e as medidas de segurança implementadas.

Embora as pequenas empresas possam estar isentas se o seu processamento for pouco frequente e de baixo risco, manter esses registros é fundamental para demonstrar a conformidade com o GDPR quando solicitado pelas autoridades.

Avaliações de impacto sobre a proteção de dados (DPIAs)

Quando uma empresa planeja processar dados pessoais de uma forma que possa representar um alto risco para os direitos e liberdades das pessoas, ela deve realizar uma DPIA. Isso é obrigatório em casos como o uso de novas tecnologias, o monitoramento em larga escala de espaços públicos ou o processamento extensivo de categorias especiais de dados.

O propósito de uma DPIA é identificar e reduzir os riscos potenciais antes do início de qualquer processamento de dados. Se, apesar das medidas tomadas, os riscos elevados persistirem, a empresa deve consultar a Autoridade de Proteção de Dados (DPA), o órgão nacional em cada país da UE responsável pela aplicação do GDPR, antes de prosseguir.

Nomeação de um Encarregado de Proteção de Dados (DPO)

Algumas organizações são obrigadas a nomear um DPO segundo o GDPR. Essa pessoa é responsável por monitorar como os dados pessoais são tratados dentro da empresa e garantir que os requisitos do GDPR sejam cumpridos.
Three criteria for when a Data Protection Officer is required under GDPR.

Você deverá nomear um DPO se:

  • Monitora usuários de forma regular ou sistemática em larga escala, como, por exemplo, rastreando o comportamento online.
  • Processa categorias especiais de dados, como dados de saúde, genéticos ou biométricos, em larga escala.
  • É uma autoridade ou órgão público (com exceção dos tribunais ou autoridades judiciais independentes).

O DPO pode ser um funcionário ou um especialista externo contratado por meio de um contrato de prestação de serviços. De qualquer forma, eles devem operar de forma independente, assessorando a equipe, supervisionando as medidas de proteção de dados e atuando como o principal ponto de contato com as DPAs.

Salvaguardas na transferência de dados

Ao transferir dados pessoais para fora da UE, o GDPR exige que as empresas garantam que o mesmo nível de proteção acompanhe os dados. As empresas devem aplicar medidas de segurança para manter os dados seguros e em conformidade com os padrões do GDPR.

Existem diversas maneiras aprovadas de proteger a transferência de dados:

  • Decisões de adequação: os dados podem ser enviados para países que a UE tenha determinado que oferecem um nível adequado de proteção de dados.
  • Salvaguardas contratuais: as empresas podem incluir cláusulas específicas em contratos com destinatários fora da UE para garantir a proteção de dados.
  • Derrogações: em alguns casos, as transferências são permitidas se o indivíduo tiver fornecido consentimento explícito ou se forem necessárias por razões contratuais.

Controles de segurança e criptografia segundo o GDPR

As organizações também devem implementar controles de segurança robustos para proteger os dados pessoais contra acesso, alteração ou perda não autorizados. Isso inclui medidas técnicas, como criptografia, e medidas organizacionais, como limitar o acesso apenas a pessoal autorizado.

A criptografia desempenha um papel vital na proteção da privacidade e da liberdade em sociedades abertas, e continua sendo uma das ferramentas mais eficazes contra violações de dados.

Denunciar violações de dados

Se uma violação de dados colocar em risco os direitos ou liberdades individuais, as empresas devem notificar a autoridade de proteção de dados competente no prazo de 72 horas. Se o risco for elevado, os indivíduos afetados também devem ser informados.

A falta de comunicação de uma violação de dados dentro do prazo estipulado pode acarretar penalidades, portanto é fundamental que as empresas tenham processos claros para detectar, avaliar e responder a violações de dados com eficiência.

Conscientização e treinamento de funcionários

A conformidade com o GDPR depende não apenas das políticas, mas também de quão bem os funcionários as compreendem e aplicam. Os funcionários precisam de orientações claras e treinamento regular para lidar com dados pessoais de forma responsável e respeitar os direitos dos indivíduos. Essa conscientização em toda a organização ajuda a prevenir violações e apoia os esforços contínuos de conformidade.

Aplicação do GDPR e sanções por violações

Cada país do EEE tem uma DPA que supervisiona a forma como as organizações cumprem as normas de proteção de dados. Essas autoridades podem realizar investigações, solicitar documentação e até mesmo conduzir inspeções para garantir que as empresas cumpram suas obrigações.

Se uma empresa for considerada culpada de violar o GDPR, as penalidades podem ser significativas. As violações mais graves podem resultar em multas de até 20 milhões de euros ou 4% do faturamento anual global da empresa. Além das sanções financeiras, as autoridades também podem impor medidas corretivas, como ordenar que a empresa cesse o processamento de determinados dados ou aprimore suas medidas de proteção de dados.

Esses poderes de fiscalização garantem que a conformidade com o GDPR não seja opcional. As empresas que lidam com dados pessoais devem levar suas responsabilidades a sério ou enfrentarão consequências dispendiosas.

O GDPR se aplica nos EUA?

O GDPR é um regulamento da UE, mas não se limita às fronteiras europeias. Empresas americanas podem estar sujeitas ao seu âmbito de aplicação se lidarem com dados pessoais de indivíduos na UE. Isso significa que, mesmo sem presença física na Europa, empresas nos EUA ainda podem precisar cumprir o GDPR se as suas atividades atenderem a determinados critérios.

Conformidade com o GDPR para empresas norte-americanas

De acordo com o artigo 3 do GDPR, empresas americanas devem cumprir o GDPR se tiverem um estabelecimento na UE ou se oferecerem bens ou serviços a indivíduos na UE, mesmo que o serviço seja gratuito. O monitoramento do comportamento online de indivíduos da UE, por meio de cookies, rastreamento ou publicidade direcionada, também inclui uma empresa americana no escopo do GDPR.

Para cumprir o regulamento, as empresas americanas devem:

  • Auditar os tipos de dados pessoais que coletam.
  • Estabelecer uma base legal clara para o processamento de cada tipo de dado, como consentimento ou necessidade contratual.
  • Avaliar quaisquer transferências de dados da UE para os EUA, garantindo que salvaguardas apropriadas, como Cláusulas Contratuais Padrão (SCCs), estejam em vigor.
  • Nomear um representante para o GDPR na UE, caso não possuam presença física na região.
  • Obter consentimento prévio para a coleta de dados do site e cookies.
  • Atualizar as políticas de privacidade para refletir as obrigações do GDPR e os direitos dos titulares de dados.

GDPR vs. CCPA e CPRA

Embora o GDPR exija consentimento explícito antes do processamento de dados pessoais, a Lei de Privacidade do Consumidor da Califórnia (CCPA) e sua emenda, a Lei de Direitos de Privacidade da Califórnia (CPRA) adotam uma abordagem diferente, seguindo um modelo de exclusão automática.

Na Califórnia, as empresas geralmente não precisam de consentimento prévio para coletar ou processar informações pessoais, exceto em casos específicos, como venda ou compartilhamento de dados, tratamento de dados de menores ou processamento de informações sensíveis.

Em vez disso, essas leis se concentram na transparência, exigindo que as empresas notifiquem os usuários sobre suas práticas de dados e forneçam maneiras fáceis de optar por não permitir a venda ou o compartilhamento de seus dados pessoais. No geral, a ênfase na Califórnia está no controle e na visibilidade do usuário, em vez do consentimento prévio.

Para as empresas americanas, isso destaca uma distinção importante: os rigorosos requisitos de consentimento do GDPR não são replicados nos EUA — portanto, as empresas que operam em ambas as regiões precisam adaptar suas práticas de acordo.

Qual é o papel dos cookies segundo o GDPR?

Segundo o GDPR, cookies que podem identificar um indivíduo ou rastrear seu comportamento online são considerados dados pessoais. Isso inclui técnicas que vão além dos cookies tradicionais, como impressão digital do navegador, que pode identificar usuários de forma exclusiva com base em seu dispositivo e configurações do navegador.
Illustration Cookies And Consent Under The Gdpr 1
Os sites devem permitir que os usuários escolham quais tipos de cookies aceitam, um conceito conhecido como consentimento granular. No entanto, os cookies estritamente necessários não exigem consentimento.

Embora o GDPR defina como o consentimento deve ser obtido, o uso de cookies na UE também é regido pela Diretiva ePrivacy, que complementa o GDPR regulamentando especificamente tecnologias de rastreamento online, como cookies. É por isso que muitos sites exibem avisos sobre cookies para visitantes da UE, pedindo-lhes que gerenciem suas preferências antes que quaisquer cookies não essenciais sejam instalados.

Se você deseja minimizar o rastreamento durante a navegação, usar uma rede privada virtual (VPN) também pode ajudar a navegar com mais privacidade ao mascarar seu endereço IP e criptografar seu tráfego.

Conceitos errôneos comuns sobre o GDPR

Apesar de estar em vigor há anos, ainda existem muitos equívocos sobre o que o GDPR realmente significa para as empresas. Vamos esclarecê-los.

O GDPR se aplica apenas a empresas da UE

Costuma-se presumir que o GDPR afeta apenas empresas dentro da UE, mas o regulamento tem um alcance muito maior. Qualquer empresa sediada fora da UE, incluindo EUA e Brasil, deve cumprir o regulamento se oferecer bens ou serviços a pessoas na UE ou monitorar seu comportamento online — por exemplo, por meio de tecnologias de rastreamento.

O consentimento é sempre necessário

Outro equívoco comum é que o GDPR sempre o consentimento para o tratamento de dados pessoais. Na realidade, o consentimento é apenas uma das várias bases legais. As empresas também podem fundamentar o tratamento em um contrato, uma obrigação legal, um interesse vital, uma tarefa pública ou um interesse legítimo, desde que os direitos dos indivíduos sejam respeitados. O consentimento torna-se essencial quando nenhuma outra base legal se aplica.

O GDPR envolve apenas multas

Muitas pessoas consideram o GDPR como puramente um sistema para impor grandes multas, mas seu principal objetivo é fortalecer os direitos à privacidade e promover o tratamento responsável de dados. Embora as penalidades possam ser significativas, o foco está em garantir que as organizações lidem com dados pessoais de forma transparente, segura e em conformidade com os direitos das pessoas.

O GDPR impede todo tipo de marketing

Existe também a ideia errada de que o GDPR torna o marketing impossível. O regulamento não bloqueia o marketing por completo; em vez disso, estabelece limites para garantir que os dados pessoais sejam utilizados de forma justa. Com uma base legal adequada, seja o consentimento ou o interesse legítimo, as empresas podem continuar a fazer seu marketing para indivíduos na UE, desde que os direitos de privacidade sejam respeitados.

Perguntas frequentes: dúvidas comuns sobre o GDPR

Onde posso encontrar o texto completo do GDPR?

Você pode encontrar o texto completo do Regulamento Geral de Proteção de Dados (GDPR) no site EUR-Lex, que contém toda a legislação oficial da UE. A versão autêntica e juridicamente vinculativa é publicada no Jornal Oficial da União Europeia, também acessível através do EUR-Lex.

Quais são os critérios para solicitar a exclusão dos seus dados segundo o GDPR?

Você pode solicitar a exclusão dos seus dados pessoais quando eles não forem mais necessários, quando revoga seu consentimento ou quando os dados foram processados ​​ilegalmente. O direito à exclusão também se aplica se os dados foram coletados quando você era menor de idade.

O que é uma Solicitação de Acesso do Titular dos Dados (DSAR)?

Uma Solicitação de Acesso do Titular dos Dados (DSAR) permite que você solicite a uma organização que confirme se ela possui seus dados pessoais. Você também pode solicitar uma cópia perguntar como eles estão sendo processados.

O que significa minimização de dados?

Minimização de dados significa coletar apenas os dados pessoais necessários para atingir uma finalidade específica. As organizações não podem solicitar informações adicionais ou irrelevantes, reduzindo assim o risco de uso indevido ou violações de dados.

Quem fiscaliza o cumprimento do GDPR?

Cada Estado-membro da UE possui uma Autoridade de Proteção de Dados (DPA) que supervisiona o cumprimento do Regulamento Geral de Proteção de Dados (GDPR). As DPAs podem investigar denúncias, auditar empresas e impor multas por descumprimento das normas.

Dê o primeiro passo para se proteger online. Experimente a ExpressVPN sem riscos.

Obtenha ExpressVPN
Content Promo ExpressVPN for Teams
Jennifer Pelegrin

Jennifer Pelegrin

Jennifer Pelegrin is a Writer at the ExpressVPN Blog, where she creates clear, engaging content on digital privacy, cybersecurity, and technology. With experience in UX writing, SEO, and technical content, she specializes in breaking down complex topics for a wider audience. Before joining ExpressVPN, she worked with global brands across different industries, bringing an international perspective to her writing. When she’s not working, she’s traveling, exploring new cultures, or spending time with her cat, who occasionally supervises her writing.

  • POST RELACIONADO
  • More from the author
Guia simples e seguro para testar sua velocidade de internet
Guia simples e seguro para testar sua velocidade de internet
Ernest Sheptalo 23.02.2026 18 minutos
O que é criptografia?
O que é criptografia?
Raven Wu 18.02.2026 15 minutos
Vazamento de dados na dark web: o que fazer?
Vazamento de dados na dark web: o que fazer?
Christopher Owolabi 17.02.2026 18 minutos
O que fazer se você perder seu celular ou se ele for roubado
O que fazer se você perder seu celular ou se ele for roubado
Chantelle Golombick 16.02.2026 8 minutos
Como tirar anúncios do celular Android (guia passo a passo)
Como tirar anúncios do celular Android (guia passo a passo)
Tech Friend 12.02.2026 12 minutos
Como limpar o cache do Instagram no iPhone, Android e PC
Como limpar o cache do Instagram no iPhone, Android e PC
Akash Deep 04.02.2026 9 minutos
Ataque DoS vs. DDoS: principais diferenças e como se proteger
Ataque DoS vs. DDoS: principais diferenças e como se proteger
Jennifer Pelegrin 23.01.2026 13 minutos
Como ativar VPN no iPhone: guia completo passo a passo
Como ativar VPN no iPhone: guia completo passo a passo
Jennifer Pelegrin 07.01.2026 9 minutos
O que é stalkerware e como removê-lo do seu celular
O que é stalkerware e como removê-lo do seu celular
Jennifer Pelegrin 15.12.2025 18 minutos
Como colocar controle parental no iPhone (rápido e fácil)
Como colocar controle parental no iPhone (rápido e fácil)
Jennifer Pelegrin 14.11.2025 11 minutos
Multi-hop VPN: mais inteligente que trocar de servidor?
Multi-hop VPN: mais inteligente que trocar de servidor?
Jennifer Pelegrin 04.11.2025 13 minutos
O que é modo anônimo e ele realmente é privado?
O que é modo anônimo e ele realmente é privado?
Jennifer Pelegrin 03.11.2025 10 minutos
VPN SSL: o que é e por que importa
VPN SSL: o que é e por que importa
Jennifer Pelegrin 13.10.2025 21 minutos
O que é Tor? Como funciona, e é seguro de usar?
O que é Tor? Como funciona, e é seguro de usar?
Jennifer Pelegrin 02.10.2025 16 minutos

A ExpressVPN tem o orgulho de apoiar

Escolher idioma
Começar