No último dia 25 de maio de 2018, entrou em vigor o Regulamento Geral Sobre a Proteção de Dados (RGPD) ou General Data Protection Regulation (GDPR ) – Regulação 2016/679 –, instituído pela União Européia, tendo por objetivo estabelecer regras relativas à proteção de dados pessoais, em especial referentes ao seu tratamento e à sua livre circulação, de modo harmonioso em relação às demais normas aplicáveis sobre o tema.
Em que pese à instituição do RGPD pela UE, seus efeitos se estendem a empresas sediadas em outros países, mas que lá ofertem bens ou serviços ou monitorem e/ou realizem atividades que envolvam o tratamento de dados pessoais de residentes europeus, independentemente da existência de uma filial ou estabelecimento.
Neste caso, as empresas brasileiras e/ou subsidiárias de empresas européias no Brasil poderão ser igualmente impactadas pelos efeitos da RGPD, na medida em que prestarem serviços a empresas e/ou usuários que operem ou se encontrem na Europa e/ou, ainda que não realizem qualquer transação com a Europa, tratem dados de europeus, ainda que em solo brasileiro, a qualquer momento.
De um modo geral, o RGPD estabelece as seguintes regras:
Permissão para uso de dados e o Direito ao Esquecimento.A coleta e uso de dados pessoais somente poderá ser realizada mediante expresso consentimento do titular, ao qual é expressamente garantido o direito de revogar o dito consentimento a qualquer momento – o direito ao esquecimento. Neste contexto, as crianças ganham proteção especial, sendo necessário o consentimento do responsável no caso de crianças com idade inferior a 13 anos.
Além disso, as empresas deverão coletar apenas os dados necessários para que seus serviços funcionem, expondo claramente sua política de proteção de dados bem como os referidos dados serão utilizados.
Exercício dos direitos dos titulares dos dados. Os titulares dos dadospodem, em determinadas situações, verificar, retificar, limitar o uso ou até excluir as informações que empresas guardam sobre ele. No âmbito destes direitos, os titulares têm o direito de transferir suas informações de um serviço conectado para outro, sem sofrer qualquer restrição por parte da empresa que detiver seus dados/informações.
Notificação de vazamento de Dados. Os titulares que tiverem seus dados “hackeados” devem ser avisados em até 72 horas após identificação da violação;
Transferência de dados. Os dados de titulares europeus somente podem ser transferidos para países que possua legislação de proteção de dados equivalente à europeia.
Escritório de proteção de dados ou Data Protection Office (DPO).As empresas que quiserem receber, tratar ou processar dados de europeus terão que criar escritórios de proteção de dados. Essa área será responsável por analisar se a política da companhia está de acordo com as leis europeias.
Processadores de Dados. Os processadores de dados estão diretamente vinculados ao cumprimento do RGPD, obrigando-se a manter registros detalhados sobre todas as vezes que manipularem dados de titulares europeus.
Sanções.A violação das regras de proteção de dados poderá implicar em multa € 10 milhões ou 2% do volume de negócios anual da empresa, a nível mundial, correspondente ao exercício financeiro anterior, o que for maior, ou de até € 20 milhões ou 4% do volume de negócios, de acordo com a natureza e a gravidade das infrações. Sem prejuízo, os aderentes ao regulamento poderão aplicar outros tipos de penalidades, inclusive de ordem penal em razão da inobservância de tais regras.
Portanto, as empresas que se anteciparem à adoção de política de proteção de dados, contarão com um diferencial no mercado e estarão um passo à frente quanto a eventuais mudanças na legislação brasileira.
Cumpre esclarecer que desde 2011 vem sendo discutido um projeto de legislação de proteção de dados no Brasil na Câmara e no Senado. Neste caso, a única legislação vigente que regula de forma limitada tal proteção corresponde ao Marco Civil da Internet que estabelece regras para uso de informações pessoais por parte de empresas conectadas bem como o Código de Defesa do Consumidor.
De todo modo, em que pese à adesão à RGPD pelas empresas brasileiras não ser obrigatória, as empresas que aplicam tal regulamento passarão a exigir que seus parceiros comerciais e fornecedores de dados também o cumpram, como um verdadeiro termômetro para manutenção do fluxo de negócios entre as mesas.
Para tanto, recomenda-se às empresas brasileiras que se enquadrem ao referido regulamento:
1) Identificar processos que exijam o consentimento dos usuários para utilização e processamento dos seus respectivos dados;
2) Revisar e/ou estabelecer políticas de utilização de dados, no sentido de verificar sua clareza e delimitação do uso das informações;
3) Revisar e/ou estabelecer acordos de processamento e transferência de dados, na forma do regulamento vigente.
Por fim, o referido regulamento poderá influenciar o entendimento das autoridades judiciais e administrativas, na medida das regras de proteção de dados pessoais locais, em especial as regras do Código de Defesa do Consumidor e Marco Civil da Internet.
Informamos que o Escritório está apto e à disposição para proporcionar-vos devida profundidade ao tema.
“Este artigo possui caráter meramente informativo, não consistindo em qualquer tipo de consultoria ou orientação técnica e/ou legal a respeito dos temas aqui abordados.”