A revolução tecnológica e o desenvolvimento de uma economia digital permitem às empresas privadas e às entidades públicas a utilização de dados pessoais numa escala sem precedentes. Tal contexto, aliado a episódios recorrentes de violação da privacidade (como o que envolveu recentemente o Facebook e a Cambridge Analytica), tem desafiado órgãos reguladores globalmente.
A União Europeia (EU), em resposta a esses desafios, elaborou novas regras de proteção à privacidade e de tratamento de dados pessoais, a partir da edição do “General Data Protection Regulation” (“GDPR” – Regulamento (EU) 2016/779), que vigorará a partir de 25 de maio de 2018. Como as regras do GDPR são também aplicadas a empresas situadas fora da EU que ofereçam bens ou serviços a residentes na EU, empresas brasileiras podem estar sujeitas a tais regras.
O GDPR regula principalmente a forma pela qual as empresas poderão tratar dados pessoais de residentes na EU. O termo “tratamento de dados pessoais” é definido no GDPR de modo abrangente e engloba, dentre outras atividades, a coleta, o armazenamento, e a utilização de informações que identifiquem ou permitam a identificação de indivíduos europeus, como nome, endereço, telefone, e-mail e documentos de identidade.
As principais inovações do GDPR são:
Aplicação extraterritorial: O GDPR se aplica a empresas situadas na EU ainda que estas tratem dados pessoais fora da EU, bem como a empresas não situadas na EU que ofereçam bens ou serviços a residentes na EU ou que monitorem o seu comportamento na EU.
Nomeação de representante de proteção de dados: Uma empresa sem estabelecimento na EU que trata dados pessoais de residentes na EU deve nomear um representante de proteção de dados na EU para interagir, se necessário, com indivíduos e autoridades locais de proteção de dados na EU.
Consentimento: O GDPR exige que as empresas obtenham o consentimento dos indivíduos para o tratamento de seus dados pessoais. O pedido de consentimento deve ser conciso, transparente, inteligível e acessível. O consentimento deve ser dado de modo inequívoco e poderá ser a qualquer tempo revogado.
Direito ao esquecimento: O chamado “direito de ser esquecido” autoriza o indivíduo, sob certas condições, a solicitar à empresa que tenha acesso a seus dados pessoais que os apague, interrompa sua disseminação ou suspenda seu tratamento quando não forem mais relevantes para os propósitos originais ou quando o consentimento do indivíduo para o tratamento de seus dados seja revogado.
Governança: O GDPR obriga as empresas a implementar um programa de proteção de dados pessoais, mantendo um registro formal das atividades de tratamento sob sua responsabilidade para demonstrar o cumprimento das regras previstas no GDPR. Além disso, um oficial de proteção de dados precisará ser nomeado em determinadas circunstâncias de forma a monitorar o cumprimento do GPDR, aconselhar a empresa sobre tal cumprimento e atuar como o principal ponto de contato para questões que envolvam privacidade e tratamento de dados pessoais.
No caso de descumprimento das regras previstas no GDPR, a empresa infratora poderá se sujeitar ao pagamento de multa que pode chegar a € 20 milhões ou 4% de seu faturamento anual global, o que for maior.
Assim, a partir de 25 de maio de 2018, as empresas brasileiras com operações em países comunitários ou que processem dados de cidadãos europeus deverão estar atentas às regras e exigências do GDPR, para que possam se adequar, respeitando o direito dos usuários e instaurando procedimentos preventivos para evitar desdobramentos desfavoráveis.
Por Ricardo Pinto da Rocha Neto
