Domingo, 22 de outubro de 2017

ISSN 1983-392X

Como será o futuro dos negócios com a vigência do Regulamento Geral de Proteção de Dados Europeu?

sexta-feira, 29 de setembro de 2017

Se há um tema que tem chamado a atenção das pessoas nos últimos tempos é a proteção de dados pessoais. É que no mundo atual, amplamente permeado pelo uso de tecnologias que dependem de dados, impera o vigilantismo como modelo de negócios, o que, de um lado, é excelente para um mais preciso direcionamento de produtos e serviços e, por outro, péssimo para a privacidade das pessoas. Justamente por isso tem se falado tanto na necessidade de regulamentação do uso de dados pessoais.

A existência de um regulamento para a proteção de dados pessoais poderia padronizar requisitos para o seu uso proporcional ao meio pelo qual foram coletados e, ainda, para atribuir as devidas responsabilidades para os casos de abuso ou negligência. Assim, pode-se dizer que os maiores benefícios que se pode obter com a edição de uma lei geral de proteção de dados são a segurança jurídica (vez que não temos uma lei específica para isso) e o equilíbrio de poder entre os titulares dos dados e aqueles que deles se utilizam (hoje a assimetria é evidente).

Neste contexto a Europa está sendo pioneira em estabelecer rígidas formas de proteção e responsabilização ao aprovar o Regulamento Geral de Proteção de Dados – RGPD – (2016/679, de 27 de abril de 2016) do Parlamento e do Conselho Europeu, que entrará em vigor a partir de maio de 2018.

Podemos apontar algumas das principais mudanças, indicando-as da seguinte forma:

a) Aplicabilidade extraterritorial. A jurisdição estendida do RGPD, que será aplicada para todos os que tratem dados de cidadãos europeus, independentemente da localização das empresas, é, sem dúvidas, a grande alteração. É que as normas anteriores eram ambíguas e restringiam-se ao contexto de um estabelecimento. O RGPD é muito claro ao determinar que será aplicado ao processamento de dados pessoais de cidadãos da União Europeia ainda que o tratamento de dados se dê fora do continente europeu. Além disso, empresas de outras localidades que processem dados de cidadãos europeus terão que nomear um representante na União Europeia.

b) Penalidades. As empresas poderão ser multadas em até 4% do faturamento global ou até vinte milhões de euros, o que for maior. As maiores punições serão aplicadas para os casos em que as empresas não tiverem obtido o consentimento adequado dos cidadãos ou em razão da violação da privacidade pelo design.

c) Consentimento. Os requisitos para a obtenção do consentimento foram detalhados, isto é, exige-se clareza, objetividade, acessibilidade e propósito/finalidade específicos. Deve ser tão fácil retirar o consentimento quanto dá-lo.

d) Notificações sobre vazamentos. As notificações de vazamentos de dados serão obrigatórias sempre que resultarem em risco para os direitos e liberdades individuais, o que deverá ser feito em até 72 horas do conhecimento do vazamento.

e) Direito de Acesso. É o direito de confirmar com os oficiais de cumprimento se há dados pessoais sendo tratados pela empresa, onde estão e qual o propósito. Uma cópia deles, sem qualquer custo ao solicitante, deve ser providenciada em formato digital quando requerida pelo titular dos dados.

f) "Direito" ao esquecimento. Também conhecido como "apagamento de dados" é o direito do titular de ver seus dados apagados, não mais compartilhados ou processados por terceiros todas as vezes que retirar o consentimento para isso ou quando os dados não mais forem relevantes para os motivos pelos quais foram inicialmente coletados. O interesse público na disponibilidade dos dados deverá ser considerado para o atendimento destas solicitações.

g) Portabilidade de dados. É o direito de portabilidade para os dados, isto é, o direito de pedir que sejam transferidos para o âmbito de controle de outro oficial de cumprimento.

h) Privacidade pelo design. É o conceito de que a privacidade deve ser pensada desde a concepção inicial do sistema de tratamento de dados e não implementada depois.

i) Oficiais de cumprimento / data privacy officers. Haverá requisitos internos de manutenção de registros, com obrigações mais específicas para os casos em que os oficiais de cumprimento lidarem com operações de processamento que exigem monitoramento regular e sistemático de pessoas em grande escala ou de especial categorias de dados ou dados relativos a condenações e ofensas criminais.

Cremos, assim, que o RGPD vai dificultar os modelos de negócios para as empresas europeias e norte-americanas, já que a gestão dos dados deverá ser mais complexa e cara. Pensamos que será um grande desafio para as empresas apresentarem-se como confiáveis para coletar dados pessoais. As que conseguirem o consentimento terão o caminho livre para usar dados de forma bastante importante para o desenvolvimento de produtos/serviços. As que não conseguirem o consentimento das pessoas certamente levarão mais tempo para o desenvolvimento dos negócios. Talvez até não consigam seguir com suas atividades.

Com o RGPD as empresas poderão ter acesso a dados compilados por outras, rivais, desde que os titulares autorizem a portabilidade, o que demandará melhores produtos/serviços e preços. Por outro lado, muitas bases de dados simplesmente não serão portáveis em face de incompatibilidade sistêmica. Será curioso ver como isso será resolvido. De qualquer forma, o incremento das medidas de segurança da informação parece ser algo com que as empresas passarão a se preocupar ainda mais.

Por outro lado, algumas empresas poderão se tornar verdadeiras guardiãs de dados pessoais, quase como uma "caixa forte", já que o RGPD permite que os dados pessoais sejam encaminhados para um só local seguro. Estas empresas poderão ser novas gigantes da tecnologia ao sugerir onde e quando os clientes poderão comprar e como pagar. Talvez até negociem dados massivamente, em nome dos titulares, com empresas de telefonia ou TV a cabo.

Manter os dados dos consumidores seguros está prestes a tornar-se mais caro e complexo. Fazer o mínimo exigido pode não ser suficiente para o sucesso dos negócios. Mas os que estiverem em conformidade poderão transitar por caminhos nunca antes pensados. O tempo dirá.

Coriolano Aurélio de Almeida Camargo Santos

Coriolano Aurélio de Almeida Camargo Santos é Ph.D. Advogado. Diretor Titular Adjunto do Departamento Jurídico da FIESP. Conselheiro Estadual eleito da OAB/SP (2013/2018). Presidente da Comissão de Direito Digital e Compliance da OAB/SP. Mestre em Direito na Sociedade da Informação e certificação internacional da "The High Technology Crime Investigation Association (HTCIA)". Doutor em Direito com certificado internacional em Direito Digital pela Caldwell Community College and Technical Institute. Professor e coordenador nacional do programa de pós-graduação em Direito Digital e Compliance da Faculdade Damásio. Professor convidado dos cursos de pós-graduação da USP/PECE, Fundação Instituto de Administração, Univeridade Mackenzie, Escola Fazendária do Governo do Estado de São Paulo Fazesp, Acadepol-SP, EMAG e outras. Desde 2005 ocupa o cargo de juiz do Egrégio Tribunal de Impostos e Taxas do Estado de São Paulo. Professor convidado do curso superior de Polícia da Academia de Polícia Civil de São Paulo. Professor da Escola Nacional dos Delegados de Polícia Federal - EADELTA.

Marcelo Crespo

Marcelo Crespo é advogado especialista em Direito Criminal, Digital e Compliance. Doutor e mestre em Direito Penal pela USP. Especialista em Direito Penal e em Segurança da Informação pela Universidade de Salamanca. Professor Titular em Processo Penal na Faculdade de Direito de Sorocaba/SP. Professor nos cursos de pós-graduação em Direito e Processo Penal e no MBA em Direito Eletrônico, ambos da EPD - Escola Paulista de Direito. Coordenador do MBA em Compliance da EPD - Escola Paulista de Direito. Membro Consultor da Comissão de Crimes de Alta Tecnologia da OAB/SP.