O GDPR completa um ano de aplicação: confira os desafios da implementação desta regulamentação de dados pessoais e as lições que podemos absorver

O Regulamento Geral de Proteção de Dados Pessoais (GDPR) fora aprovado em 15 de abril de 2016 e, passado o período de transição (vacatio legis) de 2 anos, entrou em vigor, revogando a Diretiva Europeia 95/46/CE sobre proteção de dados pessoais, em 25 de maio de 2018.

Diferentemente da Diretiva revogada, o GDPR é vinculativo e aplicável em todos os países membros da União Europeia e membros do Espaço Econômico Europeu (Islândia, o Liechtenstein e a Noruega), não necessitando de aprovação de legislação nacional pelos países membros para sua internalização e aplicação.

Assim, muito embora a Europa já trabalhasse o tema da proteção de dados há muitos anos e mais intensamente após 1995, com a respectiva Diretiva, a imposição e vinculação do GDPR fez toda diferença a esta tutela, principalmente, no tocante à adesão desta pelo setor empresarial.

Algumas empresas/plataformas digitais, às vésperas do início da aplicação do GDPR, inclusive optaram por deixar de ofertar bens e serviços ao mercado¹ europeu com receio dos riscos e impactos que a referida legislação poderia trazer aos seus negócios.

Em abril de 2018, uma pesquisa feita pela Netsparker Ltda.², realizada com 300 executivos, chegou a mostrar que 59,6% das empresas entrevistadas gastariam entre $ 50.000 a $1.000.000,00 para se adequarem ao GDPR, sendo que 10,3% das empresas entrevistadas superariam a marca de $1.000.000,00, em investimentos. No entanto, apesar do impacto econômico 88,10% dos entrevistados declararam que os seus negócios estavam receptivos com a legislação e a necessidade de se adequar.

Outra pesquisa de executivos feita pela PwC³ com empresas dos EUA, do Reino Unido e do Japão com presença na Europa, disseram ter concluído os preparativos, sendo que 88% relataram terem gasto mais de $ 1 milhão em preparativos para o GDPR e 40%, relataram terem gasto mais de $ 10 milhões. O padrão de aumento de gastos foi consistente, independentemente do tamanho da empresa.

Um ano de implementação se passou desde então e, para os brasileiros, esta experiência de adequação do mercado europeu representa uma oportunidade que deve, desde já, ser analisada e aproveitada, antes mesmo que a nossa Lei Geral de Proteção de Dados (LGPD) entre em vigor.

Os números atuais divulgados pela Autoridade Sueca de Proteção de Dados Pessoais denotam que desde maio de 2018, esta recebeu 3.000 reclamações e 3.500 denúncias de violações de privacidade, os temas mais recorrentes nas queixas foram videovigilância e marketing direto.

O Relatório da Autoridade Sueca, ainda, revela que (i) três em cada quatro suecos se preocupam como os dados pessoais são tratados; (ii) oito em cada dez suecos estão familiarizados com o texto do GDPR; (iii) três em cada quatro organizações públicas e privadas consideram que o seu programa de implementação do GDPR foi bem sucedido⁴.

De acordo com dados do recente Relatório elaborado pelo European Data Protection Board, organismo europeu criado pelo GDPR que garante a aplicação consistente das regras estabelecida por este instrumento, o GDPR está sendo aplicado de forma consistente em todos os estados membros, apoiado por ampla cooperação entre autoridades de privacidade⁵.

Em outro estudo, realizado pela GDPRPlan, com dados da Autoridade do Reino Unido (ICO – Information Commissioner’s Office), verifica-se que 87% das reclamações tratadas por esta Autoridade consistem em violação a Proteção de Dados/GDPR, o que representa um aumento de 133% deste tipo de reclamação, considerando o ano de 2017 (anterior ao início de aplicação do GDPR).

Paralelamente, a nível nacional, levantamento da consultoria Accenture realizado recentemente, demonstra que 76% dos brasileiros possuem receio de sofrer violação de dados e ter dados sensíveis como alvo de ataques cibernéticos⁶.

Analisando todos estes dados e fatos à luz do cenário nacional de vacatio legis em trâmite e de pendência da criação de Autoridade e aprimoramento da LGPD por meio da medida provisória 869/18, inevitavelmente, chegamos às seguintes conclusões/lições e reflexões:

• Antes que o vacatio legis chegue ao fim, mostra-se de suma importância que o Brasil consiga retirar do papel a sua Autoridade de Proteção de Dados Pessoais e a estruture de forma independente e autônoma, pois só assim será possível a implementação da tutela de proteção de dados pessoais de forma consistente e com segurança jurídica, evitando-se, ainda, a pulverização desta tutela por órgãos e autoridade locais;
• O orçamento de adequação à LGPD, assim como para adequação ao GDPR, mostrar-se-á mais gravoso às micro e pequenas empresas, desta forma, diante a necessidade de todos em se adequar, faz-se necessário que a ANPD, uma vez criada, crie regulação específica a este setor empresarial diante das concessões possíveis, sem afetar a tutela de proteção de dados, a exemplo de algumas disposições do GDPR – considerando 13, 98, 132, 167⁷.
• É necessário que a ANPD e o setor empresarial incorporem e viabilizem, em seus canais de atendimento, os direitos do titular de dados, provendo a educação e conscientização do titular e buscando sempre a solução de eventuais conflitos. Como os dados demonstram o entendimento de que as gerações nascidas no meio digital não se importam com a privacidade e compartilhamento de dados resulta em falácia, o que falta é conscientização do usuário da internet a respeito de coleta e tratamento de seus dados pessoais.

A nossa LGPD em muito se espelhou e se assemelha ao GDPR, ressalvadas algumas particularidades, assim, o Brasil só tem a ganhar, se souber se aproveitar propriamente da experiência estrangeira de implementação

_______________

_______________

*Vitor Morais de Andrade é sócio do escritório LTSA Advogados.

*Lygia Maria Moreno Molina Henrique é advogada do escritório LTSA Advogados.

*Fernando Henrique Anadão Leandrin é sócio do escritório LTSA Advogados.