Regulamento Geral de Proteção de Dados da União Europeia e os impactos no Brasil: 6 coisas que sua empresa precisa saber
Se por um lado os dados pessoais são de extrema relevância para a economia, ao potencializar mercados e facilitar o surgimento de novos negócios, por outro lado, a recorrência de incidentes com dados de usuários, a exemplo do recente escândalo envolvendo o fornecimento indevido de dados de usuários do Facebook à Cambridge Analytica, entidade responsável por realizar análise de dados, em particular, na campanha eleitoral do presidente Donald Trump.
Com isso, nos últimos anos, a temática despertou diversas discussões entre empresários e autoridades públicas e privadas, principalmente, em virtude da dificuldade de acompanhamento da legislação frente aos avanços tecnológicos. Além disso, a história recente ganhou um importante capítulo que alterará a forma como os dados devem ser tratados.
Isso porque, no dia 25/05/2018, entrou em vigor o chamado Regulamento Geral de Proteção de Dados (GDPR) na União Europeia. A proteção de dados não é assunto tão recente na Europa, na medida em que o GDPR substituiu a Diretiva de Proteção de Dados de 1995. Todavia, o novo Regulamento, ao optar por um modelo mais amplo e protecionista aos usuários, em contrapartida à liberdade de negócios pleiteada pelos agentes econômicos, impactará diretamente no tratamento de dados realizado pelos agentes econômicos da área de tecnologia na Europa.
Assim, para auxiliar as empresas brasileiras no que tange à relação com parceiros na Europa e a utilização de dados pessoais de cidadãos da União Europeia, listamos 7 aspectos importantes do GDPR:
- O que é o GDPR e a quem se aplica?
Em linhas gerais, O GDPR é uma norma da União Europeia e será aplicável a qualquer organização que preste serviços ou comercialize bens junto às pessoas residentes na União Europeia e Estados Membros, de modo que colete ou trate dados dessas pessoas.
Nota-se que se trata de uma norma bastante abrangente, afetando as organizações, inclusive as plataformas de e-commerce, que tenham ou não sede na União Europeia. Logo, agentes brasileiros, com sede no Brasil, mas que coletem e tratem dados de pessoas situadas na União Europeia, estão sujeitas ao GDPR.
- O GDPR aplica-se aos serviços e bens gratuitos?
A estratégia de “gratuidade” de alguns serviços será diretamente afetada. Isso porque, acaso ocorra a coleta e/ou tratamento de dados pessoais de pessoas que estão no território da União Europeia, para fins de prestação de serviço ou comercialização/oferta de bens, ainda que gratuito, haverá aplicação das normas do GDPR.
- Quais os principais impactos?
O GDPR visa a proteção dos dados pessoais, independente da cidadania do titular dos dados. Bastará que ocorra o tratamento, monitoramento e/ou coleta de dados pelas prestadoras e comercializadoras de serviços e bens, de um titular de dados, ainda que esteja momentaneamente no território da União Europeia
O Novo Regulamento conferiu aos titulares de dados, maior controle sobre seus dados. Por exemplo, destaca-se a necessidade de maior especificidade em relação aos requisitos do consentimento na coleta e tratamento de dados pessoais, isto é, para qual finalidade será direcionado os dados e qual a necessidade da coleta, prejudicando a anuência e disponibilização de dados por meio de mecanismos de opt out.
Outro ponto de destaque, passa pela obrigação atribuída pelo GDPR aos responsáveis pelo tratamento de dados de assegurar que os terceiros contratados também observem as disposições do Regulamento.
- Consentimento para executar os serviços e acessar os bens?
A questão do consentimento dos usuários e titulares de dados está no cerne das discussões. Uma prática muito comum dos agentes econômicos que atuam na “economia digital” é exigir o consentimento para coleta, monitoramento e tratamento de todo e quaisquer dados dos titulares para que o serviço seja prestado.
Todavia, o GDPR buscou travar a questão ao não permitir que os agentes econômicos vinculem a prestação de seus serviços a uma autorização ampla o para tratamento e coleta de dados não fundamentais à execução dos serviços propostos, o que poderá afetar diretamente nos negócios das empresas e nos termos de uso e políticas de privacidade.
- Vazamentos de dados e penalidades:
O GDPR exige das empresas que, acaso ocorram vazamentos de dados pessoais, comuniquem às autoridades locais competentes no prazo de até 72 (setenta e duas horas) e, a depender da gravidade do caso, notifiquem os próprios usuários.
O Novo Regulamento traz multas bastante rígidas, mostrando que as empresas – inclusive as brasileiras – deverão se preocupar com a temática. As multas variam de acordo com a gravidade, mas podem chegar até € 20 milhões ou o equivalente a 4% do volume de negócios global da empresa.
Próxima Postagem
- O Cenário Brasileiro e como se preparar?
Em que pese a Constituição Federal prever a inviolabilidade a intimidade, a vida privada e a honra, bem como algumas legislações esparsas tratarem do tema superficialmente, em especial o Marco Civil da Internet, até o presente momento a cautela e detalhamento devido ainda não foram concebidos pela legislação nacional. Até o momento, pois alguns projetos de lei tramitam nas casas legislativas, conforme será disposto no próximo informativo sobre a matéria. Além disso, ainda que o cenário legal não seja suficiente, vários agentes econômicos estão sob investigação do Ministério Público, em razão do vazamento de dados de usuários.
Com isso, as empresas brasileiras precisam atentar para a forma em que os dados pessoais de seus usuários e/ou clientes são tratados, coletados e usados. É necessário, portanto, avaliar e diagnosticar a aplicabilidade do GDPR para o business das empresas, revisando os critérios de processamento de dados.
Por outro lado, aqueles que derem esse “passo à frente”, além de agregarem valor à própria imagem, ao preocuparem-se com a proteção de dados pessoais de seus clientes e usuários, estarão previamente aptas e seguras para atuar no cenário internacional, às mudanças que ocorrerão no cenário brasileiro em curto espaço de tempo.
A Equipe de Consultoria Empresarial da Melo Campos Advogados está à inteira disposição para prestar mais informações e esclarecimentos sobre o tema.
FILIPE RIBEIRO DUARTE – Responsável pela área de Consultoria Empresarial da Melo Campos Advogados. Bacharel em Direito pela UFMG. Mestre em Direito Empresarial pela UERJ. Autor da dissertação: “Arquitetura e neutralidade de rede: uma análise dos impactos concorrenciais da prática de zero rating”.
