Segunda-feira, 21 de outubro de 2019

ISSN 1983-392X

Vigência do GDPR impactará a proteção de dados no Brasil

Ademir Antonio Pereira Junior e Gabriel de Carvalho Fernandes

Além da possível incidência direta nas atividades das empresas brasileiras que se enquadrem nas hipóteses acima, o fluxo de dados com países da UE será um desafio.

segunda-feira, 28 de maio de 2018

Entrará em vigor em 25 de maio o Regulamento Geral de Proteção de Dados – GDPR, a nova lei europeia sobre a proteção de pessoas em relação ao processamento e livre movimentação de dados pessoais. Com sua vigência, o GDPR passará a exercer efeitos no processamento e circulação de dados pessoais de pessoas naturais que se encontram em países membros da União Europeia e de empresas baseadas nos países-membros.

De acordo com a nova lei, dados pessoais são toda a informação, em qualquer formato, que possa identificar uma pessoa natural. Para o GDPR, uma pessoa natural é aquela que pode ser identificada, direta ou indiretamente, pela referência à um nome, número de identificação, dados sobre localização, um identificador online, ou um ou mais fatores relacionados à sua identidade física, psicológica, genética, mental, econômica, cultural ou social.

A incidência do GDPR pode ser acionada a partir de duas hipóteses principais. Na primeira, é aplicável a todas empresas baseadas na União Europeia que coletam e processam dados pessoais, ainda que o processamento ocorra fora dos países-membros. Na segunda, empresas baseadas fora da União Europeia, mas que monitorem o comportamento ou ofertem bens e serviços à indivíduos no território da EU, devem se adequar às normas do GDPR.

Em caso de descumprimento, empresas estarão sujeitas à multa de até € 20 milhões ou até 4% de seu faturamento global, a depender de qual valor constituir maior penalidade. Para fins de aplicação de penalidades, a Comissão Europeia poderá considerar o faturamento do grupo econômico da empresa sancionada, a depender do caso concreto. Além disso, empresas poderão estar sujeitas a ações indenizatórias propostas por pessoas ou associações lesadas e a danos de imagem gerados por possível exposição na mídia.

Com o GDPR, empresas terão de mostrar que tomaram medidas técnicas e organizacionais – privacy by design and by default - para implementar medidas de proteção de dados em suas atividades. A nova regulação exige que políticas e salvaguardas de proteção de dados devem estar presentes em todas as etapas de processamento. Há também o dever de reportar falhas de proteção em até 72h de sua descoberta. Além disso, empresas cujas atividades são especialmente enquadras no GDPR deverão ter um Agente de Proteção de Dados (Data Protection Officer), funcionário responsável pelo cumprimento de leis e gestão do tratamento de dados.

Empresas também deverão ser transparentes sobre quais dados são coletados, como são processados, por quem, com qual finalidade e sob qual fundamentação legal este processamento ocorreu. Com o GDPR, a obtenção de consentimento necessita autorizações claras e fáceis de serem compreendidas, de escopo específico, que podem ser canceladas a qualquer momento pelo indivíduo.

A nova regulação possibilita que indivíduos tenham acesso aos seus dados pessoais coletados, podendo solicitar que tais dados lhe sejam disponibilizados para transferência a outras plataformas, ratificados ou deletados. Como indivíduos podem transferir seus dados entre diferentes plataformas, sua disponibilização deve garantir a possibilidade de portabilidade.

A nova lei europeia certamente é um marco de referência que impactará o cenário brasileiro. Empresas brasileiras que processem dados de indivíduos que se encontram na União Europeia relacionados (a) à oferta de bens e serviços ou (b) ao monitoramento de comportamento naquele território estarão ao alcance da nova lei europeia. Outras hipóteses de incidência são: (c) empresas que tiverem bases de dados integradas com outras empresas ou grupos econômicos baseados na Europa ou que processem dados lá coletados e (d) empresas que utilizarem solução de gestão de dados contratada por matriz ou grupo localizado na Europa.

Além da possível incidência direta nas atividades das empresas brasileiras que se enquadrem nas hipóteses acima, o fluxo de dados com países da UE será um desafio. O GDPR só permite a transferência de dados a países cujo nível de proteção a dados pessoais é compatível com o grau de proteção europeu ou exige das empresas uma política de proteção de dados compatível com a lei europeia.

O Brasil não possui lei abrangente de proteção de dados pessoais ou autoridade específica sobre o tema. Atualmente, a Comissão Europeia não considera o Brasil um país de nível regulatório de proteção a dados equivalente ao europeu. Para empresas brasileiras, isso se traduzirá na criação de programas de compliance robustos sobre a coleta e processamento de dados.

Pode-se esperar que esta assimetria regulatória impacte projetos de lei no Congresso Nacional e a interpretação de normas brasileiras existentes, como o Código de Defesa do Consumidor e o Marco Civil da Internet. Da mesma forma, pode-se esperar que a aplicação do GDPR motivará instituições fiscalizadoras, como o Ministério Público, a examinarem mais de perto a proteção de dados pessoais no Brasil. Mesmo que indiretamente, o GDPR certamente impactará em como dados serão manejados por empresas brasileiras.

__________

*Ademir Antonio Pereira Junior é advogado da Advocacia José Del Chiaro.








*Gabriel de Carvalho Fernandes é advogado da Advocacia José Del Chiaro.