É considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular. Esta definição vem alargar o conceito de dados pessoais, face à Diretiva 95/46/CE e como principal consequência passa a incluir como dados pessoais as seguintes tipologias de informação: perfis, endereços IP (estáticos e dinâmicos), dados biométricos (impressões digitais, dados obtidos através de análise de retina, etc.), dados relativos à sua saúde, dados genéticos, etc.
Os titulares dos dados têm o direito de reclamar junto de uma autoridade de controlo, bem como interpor a uma ação judicial contra essa autoridade de controlo ou responsável pelo tratamento ou subcontratante. Este direito é independente do Estado-Membro no qual esteja localizado o responsável pelo tratamento.
Nos termos do RGPD, as empresas e quaisquer terceiros responsáveis pelo tratamento de dados pessoais em nome dessas empresas têm de designar um Encarregado da Proteção de Dados ("DPO") se forem:
- autoridades e organismos públicos;
- entidades que procedam a tratamentos em larga escala de dados pessoais sensíveis;
- entidades que efetuem tratamento dos dados pessoais, também em larga escala, que exijam um controlo regular e sistemático dos titulares dos dados.
De acordo com o artigo 83.º do Regulamento Geral de Proteção de Dados, existem dois níveis de aplicação de coimas. Estas coimas serão aplicadas autoridade de controlo.
- até 10.000.000€ ou até 2% do volume de negócios anual da empresa a nível mundial (consoante o montante que for mais elevado)
- até 20.000.000€ ou até 4% do volume de negócios anual da empresa a nível mundial (consoante o montante que for mais elevado)
Nos termos do Regulamento, é obrigatória a nomeação por cada Estado-Membro de uma autoridade pública independente de fiscalização a nível nacional.
As pessoas singulares têm agora o direito à circulação, cópia ou transferência dos seus dados pessoais de um local para outro ou até mesmo para uma empresa concorrente.
Por exemplo, o utilizador de um serviço de música que criou uma lista de reprodução pode levar esta lista consigo caso decida mudar de fornecedor de serviço. Deste modo, os dados pessoais têm de estar num formato estruturado, de uso corrente e de leitura automática para que possam ser facilmente utilizados e partilhados. A exigência de tornar os dados verdadeiramente portáteis e fáceis de utilizar por outros irá muito provavelmente implicar ajustamentos significativos ao nível das TI e, portando, ao nível dos custos.