Autores
Leonardo A. F. Palhares – lpalhares@almeidalaw.com.br
Caio Iadocico de Faria Lima – cilima@almeidalaw.com.br
Sumário: Novas regras europeias de proteção de dados pessoais entram em vigor no fim de maio de 2018 e abrem caminho para uma regulamentação e fiscalização mais rígida e próxima, o que pode afetar, inclusive, empresas brasileiras.
* * *
Em um cenário de casos e eventos de vazamentos de dados de usuários, o Regulamento (UE) 2016/679, conhecido como General Data Protection Regulation (GDPR), entra em vigor no dia 25 de maio de 2018 e, ao contrário do que muitos pensam, gerará efeitos diretos à forma com que empresas brasileiras desenvolvem seus negócios, como veremos a seguir alguns dos principais exemplos de mudanças importantes trazidas pela nova regulação.
Questões como a ampliação territorial e as novas regras de interação com os usuários titulares dos dados são as grandes novidades, bem como as pesadas multas, que podem atingir 4% do faturamento global da empresa ou 20 milhões de Euros, o que for maior.
INTERAÇÃO COM USUÁRIOS TITULARES
Nas últimas semanas, foi comum presenciar diversas empresas enviando comunicações aos usuários via e-mail, informando a atualização de suas políticas, em razão do GDPR.
O consentimento será a principal base para a aprovação da coleta e tratamento de dados, o qual deverá representar manifestação de vontade, trazendo às empresas a autorização expressa e inequívoca de que precisam para utilizar para fins de tratamento devidamente explicados aos usuários.
Além disto, é fundamental que proteção de dados seja padrão desde a concepção dos serviços, no sentido de garantir ao usuário o real controle do uso e coleta de suas informações.
Assim, ferramentas e mecanismos simples o suficiente devem existir para controlar tais dados no sentido de retificar, deletar ou até mesmo de revogar o seu consentimento para tratamento e uso, a qualquer momento, como em casos de tratamento não resguardados contratualmente ou pelo legítimo interesse da empresa responsável pelos dados, de marketing direto, ou uso de cookies.
AMPLIAÇÃO TERRITORIAL – APLICAÇÃO NO BRASIL
Foram ampliados os limites de jurisdição do GDPR. Assim, suas regras serão aplicáveis às empresas responsáveis pelo tratamento dos dados pessoais que também estão geograficamente estabelecidas fora do bloco europeu¹ e também a pessoas não europeias estabelecidas geograficamente no continente, não especificamente a cidadãos europeus.
Desta forma, se uma empresa, estabelecida fisicamente em território brasileiro realizar o tratamento de dados de um cidadão residente da União Europeia, mesmo que tal serviço seja ofertado gratuitamente, esta empresa estará sujeita às normas do GDPR e às eventuais penalidades em caso de descumprimento das regras estabelecidas.
NOMEAÇÃO DE UM DPO – DATA PROTECTION OFFICER
Tema também ventilado nos projetos de leis em tramitação no Congresso Nacional brasileiro, e resultado da recente problematização do uso de dados sob responsabilidade das empresas especializadas nesta área, surgiu a necessidade de estabelecer um agente interno encarregado para gerir e fiscalizar a política de proteção de dados das empresas, com a realização de auditorias internas e a elaboração de procedimentos que garantem o uso seguro e autorizado dos dados coletados.
Desta forma, assim como foi a recente adequação do setor corporativo com a figura e a incidência do Compliance (e a instituição de um Compliance Officer), de agora em diante, as empresas também precisarão se preocupar com a proteção e o uso adequado dos dados de seus clientes, por meio de um DPO ou C-level Privacy Officer.
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
Com a ativação do GDPR, as transferências de dados pessoais com os países da União Europeia continuam permitidas apenas para países com nível de proteção compatível com o padrão de proteção de dados europeu ou se a determinada empresa também possuir esta capacidade de proteção, seja por meio de códigos de condutas bem estabelecidos ou por meio de uma assessoria capacitada e integral, na condução dos negócios.
Este permanece, provavelmente, o ponto desafiador às empresas brasileiras, dada a própria omissão legislativa nacional perante o tema, fazendo com que o Brasil não se torne compatível com este hall permissivo.
CONCLUSÃO
Assim, fica evidente que o GDPR mudará o paradigma sobre a proteção de dados e terá efeitos globais, inclusive no Brasil, mostrando uma positiva conscientização legislativa sobre o tema que trará frutos no futuro.
A sua empresa coleta ou trata dados de cidadãos europeus, opera com países membros da UE ou oferta produtos a estes mercados?
Já estará sujeita à nova lei.
Ademais, tal conscientização deve também ser adotada pelas empresas brasileiras, que precisam tomar as medidas cabíveis em ciência dos riscos da utilização e coleta de dados dos usuários, mesmo que estabelecidas fisicamente fora do bloco europeu, procurando evitar multas milionárias e processos mundialmente repercutidos.
O Almeida Advogados possui uma equipe com ampla experiência em Direito Digital e proteção de dados pessoais, com um grande histórico de trabalhos relacionados ao desenvolvimento de políticas públicas e relacionamento com o poder público e que está à disposição para esclarecimentos relacionados ao tema.
_______________________________
¹Art. 3º, item 1. – O presente regulamento aplica-se ao tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante situado no território da União, independentemente de o tratamento ocorrer dentro ou fora da União.
Art. 3º, item 3. – O presente regulamento aplica-se ao tratamento de dados pessoais por um responsável pelo tratamento estabelecido não na União, mas num lugar em que se aplique o direito de um Estado-Membro por força do direito internacional público.