Quinto, o GDPR, em princípio, postula que todo processamento de dados pessoais restringe o direito do titular dos dados à proteção de dados.Sétimo, o GDPR também exclui isenções para cenários de processamento de baixo risco ou quando PME, startups, entidades não comerciais ou cidadãos privados são os controladores de dados.Portanto, essas mentalidades antigas de proteção de dados, como minimização de dados e limitação de armazenamento, não são mais viáveis.Isso ignora a realidade de que as tecnologias atuais, por exemplo, aprendizado de máquina e aplicações de inteligência artificial, funcionam de maneira diferente.Oitavo, o GDPR não possui um mecanismo que permita que as PME e as startups transferam a carga de conformidade para terceiros, que depois armazenam e processem dados.
Fonte: https://arstechnica.com/tech-policy/2024/09/opinion-how-to-design-a-us-data-privacy-law/
