Quarta-feira, 18 de julho de 2018

ISSN 1983-392X

Entra em vigor o Regulamento Geral de Proteção de Dados da União Europeia

Ricardo Barretto Ferreira, Paulo Brancher, Camila Taliberti e Vitor Koketu da Cunha

Um dos principais aspectos do GDPR é a preocupação em proteger a privacidade das pessoas que se encontram no território da União Europeia. Em um ambiente de globalização e economia baseada na internet cada vez mais dependente de dados para se sustentar (data driven economy).

segunda-feira, 4 de junho de 2018

No último dia 25 entrou em vigor o Regulamento Geral de Proteção de Dados da União Europeia (General Data Protectio Regulation ou GDPR)1, que irá mudar significativamente a realidade jurídica das empresas que tratam dados pessoais dentro da União Europeia, ou que tratam dados de pessoas que se encontram na União Europeia.

O Regulamento substitui a Diretiva 95/46/EC, escrita na década de 1990, num momento ainda incipiente de internet, em que diversos conceitos – como big data, computação em nuvem, marketing comportamental, aplicativos e redes sociais – ainda não existiam. O principal objetivo do GDPR é a proteção de dados pessoais face às novas tecnologias, assegurando a livre circulação desses dados, e, ao mesmo tempo, a transparência por parte dos responsáveis pelo tratamento de dados pessoais e controle das pessoas que se encontram na União Europeia sobre a suas informações.

Diferentemente da Diretiva – que estabelecia diretrizes para que cada Estado-Membro da União Europeia adotasse sua própria lei de proteção de dados –, o GDPR foi desenvolvido visando à harmonização das leis de proteção de dados dos países da União Europeia, sendo vinculativo e aplicável a todos os Estados-Membros. Por outro lado, o GDPR também garante aos Estados-Membros certa margem de autonomia para elaborarem disposições mais específicas para adaptar a aplicação das regras previstas no Regulamento.

Um dos principais aspectos do GDPR é a preocupação em proteger a privacidade das pessoas que se encontram no território da União Europeia. Em um ambiente de globalização e economia baseada na internet cada vez mais dependente de dados para se sustentar (data driven economy). O ambiente de negócios da internet traz a peculiaridade de mitigar as fronteiras físicas convencionais, produzindo grandes vantagens para a comunicação e comércio eletrônico. Entretanto, a inexistência de fronteiras do mundo digital também apresenta um grande desafio quando se trata da aplicabilidade de normas fora de uma jurisdição.

De acordo com o estudo "The end of the beginning - Unleashing the transformational power of GDPR"2 da IBM, realizado com 1,5 mil líderes de negócios em 34 países, 60% das organizações está adotando o GDPR como uma oportunidade para melhorar a privacidade, a segurança e o gerenciamento de dados ou como um catalisador de novos modelos de negócios, em vez de simplesmente um problema ou impedimento de conformidade. 96% acreditam que a prova de conformidade com o GDPR será vista como um diferenciador positivo para o público. 76% disseram que o GDPR permitirá relacionamentos mais confiáveis com os titulares de dados, que criarão novas oportunidades de negócios. Mas apenas 36% acreditam que estariam totalmente em conformidade com o GDPR até o prazo final de 25 de maio.

Para empresas brasileiras, haverá significativo impacto do GDPR, na medida em que sua jurisdição torna-se extraterritorial. Ou seja, o GDPR não se limita somente a empresas localizadas na União Europeia, mas também considera o sujeito dos dados tratados e o âmbito dos negócios.

O Regulamento se aplica nos seguintes casos:

  • Quando o tratamento dos dados ocorre no contexto das atividades de uma empresa estabelecida na União Europeia, independentemente do local do tratamento e da nacionalidade dos titulares dos dados;
  • Quando o tratamento de dados pessoais é realizado por empresa não estabelecida na União Europeia, que ofereça bens e serviços, ainda que de forma gratuita, ou monitore o comportamento de pessoas naturais que se encontram na União Europeia.

A consequência dessa aplicação extraterritorial é que qualquer empresa que realize o tratamento de dados de pessoas que se encontrem na União Europeia pode estar sujeita às regras do GDPR, tornando efetivamente global a esfera de aplicabilidade do Regulamento.

No entanto, ainda existem alguns aspectos que precisam ser esclarecidos sobre o GDPR, como, por exemplo, a definição dos termos "estabelecimento" e de "oferta de bens e serviços". As orientações do Article 29 Working Party – autoridade de proteção de dados da União Europeia – serão cruciais para esclarecer o real alcance territorial do Regulamento.

Como norte, na vigência da Diretiva 95/46/CE, o Tribunal de Justiça da União Europeia, já adotou um conceito amplo e flexível de "estabelecimento". No caso que ficou conhecido como Weltimmo v. NAIH (Processo C-230/14)3, a Weltimmo, sociedade constituída na Eslováquia, foi considerada estabelecida na Hungria, pois mantinha uma página internet de intermediação imobiliária onde divulgava, em Húngaro, imóveis localizados na Hungria; um representante local; um endereço postal local; e uma conta em um banco local.

O Tribunal considerou que o termo "estabelecimento" deve ser interpretado extensivamente, com vistas a afastar qualquer abordagem formalista baseada no local de registro da empresa. Assim, para determinar onde uma empresa que se dedica a oferecer serviços exclusivamente na internet está estabelecida, é preciso avaliar tanto o grau de estabilidade da instalação comercial como a realidade do exercício das atividades.

Outra questão relevante é como definir "oferta de bens e serviços" e "monitorar comportamento", para se determinar em que medida uma empresa localizada fora da União Europeia está sujeita ao Regulamento4. Alguns fatores como uso da língua do Estado-Membro; uso de moeda corrente do Estado-Membro; referências a clientes que se encontrem na União Europeia; e ações de marketing direcionadas a pessoas que se encontram na União, podem ser consideradas evidências dessa intenção5.

Não obstante essas indefinições, as empresas brasileiras que realizam tratamento de dados de pessoas que se encontram na União Europeia devem se preparar para o GDPR, adaptando seus procedimentos internos às regras e obrigações impostas pelo Regulamento.

Sem a pretensão de esgotar o assunto, selecionamos alguns pontos importantes a serem observados por empresas que se enquadrem nos requisitos acima mencionados.

Requisitos para tratamento de dados pessoais

De acordo com o GDPR, para que o tratamento de dados pessoais seja lícito, é necessária uma base legal para que os dados pessoais possam ser processados. O artigo 6º do GDPR estabelece que o tratamento somente será lícito e legítimo se pelo menos um dos seguintes itens se aplicar:

  • O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades especificas;
  • O tratamento é necessário para a execução de um contrato no qual o titular dos dados é parte, ou para demandas pré-contratuais a pedido do titular dos dados;
  • O tratamento é necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento está sujeito;
  • O tratamento é necessário para proteger interesses fundamentais do titular dos dados ou de outra pessoa natural;
  • O tratamento é necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública que esteja responsável pelo tratamento;
  • O tratamento é necessário para atender interesses e/ou fins legítimos do responsável pelo tratamento ou de terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.

Embora já estivessem previstas na antiga Diretiva, há uma mudança significativa trazida pelo GDPR no que se refere ao consentimento do titular para o tratamento dos dados pessoais. Considerando o artigo 4º do GDPR, é necessário que o consentimento seja obtido por uma resposta afirmativa do titular indicando sua manifestação de vontade livre, específica, inequívoca e informada, no sentido de que concorda que seus dados pessoais sejam objeto de tratamento.

A obtenção do consentimento deve ser feita de forma explícita, numa linguagem clara e simples, inclusive na forma eletrônica e por check mark. Nos casos em que o tratamento sirva para diversas finalidades, deverá ser dado um consentimento para todas elas. Portanto, a política de consentimento deve ser sempre a do opt-in, não sendo mais aceito o opt-out. O silêncio, as opções pré-validadas ou a omissão não são considerados meios apropriados de consentimento.

Dentre às exceções à regra do consentimento, a hipótese do legítimo interesse ainda carece de uma definição clara e precisa. Portanto, é necessário cuidado ao analisar como será utilizado dentro dos parâmetros legais. A hipótese do legítimo interesse vem acompanhada de limites relativos aos interesses ou direitos e liberdades fundamentais, assim não é uma autorização genérica para todo tipo de tratamento de dados, e até uma melhor definição doutrinária e jurisprudencial deve ser analisada com ressalvas.

A autoridade de proteção de dados da União Europeia – Article 29 Working Party – entende que o responsável pelo tratamento dos dados deve fazer uma análise entre os interesses e direitos fundamentais e o legítimo interesse, para determinar quais dados podem ou não ser utilizados licitamente sem um consentimento específico para o fim a que se destina.

Direitos do titular dos dados

O Regulamento estabelece uma série de direitos aos titulares dos dados pessoais no Capítulo III, tais como:

Direito de informação: o titular dos dados tem o direito de obter a identidade do responsável pelo tratamento; o contato da autoridade responsável pela proteção de dados (DPO), quando aplicável; as finalidades do tratamento; e qualquer informação necessária para garantir um tratamento justo e transparente dos dados.

Direito de acesso: o titular tem o direto de obter a confirmação de que seus dados estão ou não sendo objeto de tratamento e, em caso positivo, pode acessar os dados e receber informações sobre o tratamento e suas finalidades, ser informado para quais terceiros os dados serão divulgados e se existem decisões tomadas automaticamente a partir dos dados tratados.

Direito de retificação: o controlar tem a obrigação de retificar dados incorretos, sem demora injustiçada, a pedido do titular dos dados.

Direito de portabilidade dos dados: o titular dos dados tem o direito de receber os dados a seu respeito ou os dados tenha fornecido, num formado estruturado, de uso comum, fácil leitura e de uma forma legível por máquinas/computadores, e o direito de transmitir esses dados a outro responsável pelo tratamento sem oposição do responsável que recebeu os dados num primeiro momento.

Direito de restrição: o titular tem o direito de se opor ao tratamento de seus dados pessoais, a qualquer momento, por quaisquer motivos particulares. O responsável pelo tratamento deve cessar o tratamento sem demora injustificada, a não ser que prevaleçam outros interesses legais.

Direito ao esquecimento/apagamento: o titular dos dados tem o direito de reivindicar ao responsável pelo tratamento de dados o apagamento/exclusão dos seus dados pessoais sem demora injustificada quando não mais são necessários para a finalidade que motivaram sua coleta; e quando o titular retira seu consentimento para o tratamento de dados e não existe outro fundamento jurídico que justifique o tratamento.

O direito ao esquecimento não se aplica obrigatoriamente quando entrar em conflito com exercício da liberdade de expressão e informação, motivos de interesse público ou cumprimento de obrigação legal prevista pelo direito da União Europeia ou de Estado-Membro a que esteja sujeito.

Transferência internacional de dados

Em regra, a transferência de dados para países fora da União Europeia ou organizações internacionais pode ocorrer para países que asseguram um nível adequado de proteção de dados. A avaliação sobre a adequação é realizada pela Comissão Europeia levando em conta diversos elementos. Uma vez que a adequação do país terceiro é reconhecida, a transferência de dados pessoais pode ocorrer sem autorização específica da autoridade de proteção de dados, tampouco serão necessárias medidas protetivas posteriores. A relação de países com adequação reconhecida é avaliada periodicamente, a cada quatro anos, e divulgada pela Comissão Europeia.

Em caso de transferência para países não aprovados, é necessário que os responsáveis pelo tratamento apresentem as chamadas "garantias de adequação", tais como adoção de regras vinculativas aplicáveis à empresa (Binding Corporate Rules); assinatura de contrato aprovado pela Comissão Europeia ou pela autoridade de proteção de dados; adoção de códigos de conduta e certificações.

Diante da ausência de decisão de adequação, bem como de garantias de adequação, a transferência somente pode ocorrer mediante determinadas hipóteses autorizativas, como consentimento do titular; execução de contrato; razões de interesse público; defesa de direitos em juízo; proteção de interesses vitais do titular ou de terceiros; ou se a transferência seja necessária para informar o público e se encontre aberto à consulta do público em geral ou de qualquer pessoa que possa provar nela ter um interesse legítimo, mas apenas na medida em que as condições de consulta estabelecidas no direito da União Europeia ou de um Estado-Membro se encontrem preenchidas nesse caso concreto.

Na ausência de decisão de adequação ou garantias de adequação, o Regulamento impõe que a transferência para um país terceiro ou uma organização internacional só pode ser efetuada se não for repetitiva, apenas disser respeito a um número limitado de titulares dos dados, for necessária para efeitos dos interesses legítimos visados pelo responsável pelo seu tratamento, desde que a tais interesses não se sobreponham os interesses ou os direitos e liberdades do titular dos dados, e o responsável pelo tratamento tiver ponderado todas as circunstâncias relativas à transferência de dados e, com base nessa avaliação, tiver apresentado garantias de adequação no que se refere à proteção de dados pessoais.

Privacy by Design e Privacy by Default

O Regulamento incorpora expressamente os princípios do privacy by design e privacy by default, no artigo 25, como obrigação legal àqueles responsáveis pelo tratamento de dados pessoais. Dessa forma, é dever do responsável pelo tratamento de dados deve implementar medidas técnicas e organizacionais para garantir que os direitos do titular dos dados sejam respeitados durante todo o ciclo do tratamento de dados, como pseudominimização e minimização dos dados.

As empresas devem levar em conta o tipo de dado que está sendo tratado para adotar as medidas técnicas e organizacionais compatíveis com o risco a que os titulares dos dados estão sujeitos. Quanto mais sensível for o dado pessoal tratado, maior deve ser a preocupação com os riscos à privacidade e direitos fundamentais do titular dos dados.

O objetivo é garantir que os dados pessoais não sejam tratados para qualquer fim, sem o consentimento do usuário e por um número indefinido de pessoas. Ou seja, apenas os dados pessoais necessários para cumprir determinado serviço devem ser coletados. Esses princípios devem ser aplicados a todo o processo, a quantidade de dados pessoais coletados; ao tempo de armazenagem dos dados; à extensão do tratamento de dados; e à acessibilidade dos dados.

Responsabilidades e Penalidades

Diversos artigos do GDPR tratam da obrigatoriedade do responsável pelo tratamento de demonstrar, de forma proativa, que está trabalhando em conformidade com o Regulamento. Ou seja, o responsável pelo tratamento dos dados tem a obrigação e a responsabilidade de aplicar as medidas técnicas e organizacionais necessárias para demonstrar que todos os processos do tratamento de dados estão de acordo com o Regulamento. O GDPR exemplifica o que pode ser considerado evidência de compliance, como documentos e logs de controle.

Além disso, caso a empresa tenha mais de 250 funcionários ou o tratamento efetuado seja suscetível de implicar um risco para os direitos e liberdades do titular dos dados, o responsável pelo tratamento deve manter os registros de tratamento sob a sua responsabilidade e deve cooperar com a autoridade de proteção de dados, disponibilizando os registros, quando necessário, para fiscalização das operações de tratamento.

Empresas que tenham como núcleo da atividade operações de tratamento que exijam um controle regular e sistemático de dados em grande escala, ou tratem de dados sensíveis ou dados pessoais relacionados com condenações penais e infrações, é obrigatória a indicação de um encarregado pela proteção de dados pessoais (Data Protection Officer), que terá diversas atribuições, dentre elas exercer o controle sobre o cumprimento do Regulamento e responder requisições da autoridade de proteção de dados e de outros órgãos governamentais.

Em caso de vazamento de dados, as empresas têm a obrigação de avisar, sem demora injustificada, as autoridades competentes em até 72 horas após tomar conhecimento do fato, a não ser que o vazamento não demonstre risco aos direitos e privacidade dos titulares dos dados.

As autoridades de controle têm competência para investigar os responsáveis pelo tratamento de dados pessoais, podendo requisitar informações, acessar as instalações da empresa, e determinar o cumprimento de medidas relativas ao cumprimento do regulamento. As autoridades também têm a prerrogativa de impor sanções administrativas, que podem chegar até 20 milhões de euros ou 4% do faturamento anual da empresa em nível mundial.

Conclusão

Pelo exposto, verifica-se que é de extrema importância que empresas brasileiras que tratam dados de pessoas que se encontram na União Europeia também se adaptem ao GDPR.

Às empresas brasileiras que não tratam dados pessoais de pessoas que se encontram na União Europeia, vale lembrar que atualmente tramita no Congresso Nacional dois importantes Projetos de Lei pretendem implementar no Brasil uma Lei Geral de Proteção de Dados. O PL 5276/16, de autoria do Poder Executivo e fortemente inspirado no GDPR, e o PLS 330/13, de autoria do senador Antonio Carlos Valadares

O respeito às regras de privacidade e proteção de dados, embora envolva uma série de complexidades, deve ser visto pelas empresas não como custo, mas como um aspecto diferenciador para competitividade no mercado, capaz de transmitir uma imagem de confiança perante seus colaboradores e clientes. Trata-se de uma consequência da nova economia digital globalizada e baseada em dados.

__________

1 Disponível em língua portuguesa em clique aqui.

2 Disponível em inglês em clique aqui.

3 Disponível em clique aqui.

4 Considerando 23 do GDPR.

5 Caso Pammer vs. Hotel Alpenhof (Processo C-585/08). Disponível em clique aqui.

__________

*Ricardo Barretto Ferreira é sócio do escritório Azevedo Sette Advogados.

*Paulo Brancher é sócio do escritório Azevedo Sette Advogados.

*Camila Taliberti é associada do escritório Azevedo Sette Advogados.

*Vitor Koketu da Cunha é interno da área de Telecomunicações, Mídia e Tecnologia do escritório Azevedo Sette Advogados.

últimos artigos

21 Anos da lei de Telecom – Maioridade?

Erik Limongi Sial

O direito criativo

André Marsiglia Santos

Quando o Direito e a tecnologia se conectam

Thaís Folgosi Françoso e Tatiana Maschietto Pucinelli

Escritórios de vanguarda e a inovação disruptiva

Fernanda Negreiros

Greve dos caminhoneiros e a responsabilidade do estado

Paulo Guilherme de Mendonça Lopes e Eduardo Maffia Queiroz Nobre