502 segundos
Você pode ter notado que, nos últimos meses, a caixa de entrada de seu e-mail foi bombardeada por notificações de sites e aplicativos que informaram sobre suas atualizações de Políticas de Privacidade. Esta atitude em massa foi motivada pela entrada em vigor do Regulamento Geral sobre Proteção de Dados (GDPR, na sigla em inglês para General Data Protection Regulation) – e principalmente, pelas severas punições impostas às entidades que desrespeitarem a norma.
Confira no artigo de hoje o motivo pelo qual esta norma, nascida na Europa, pode ser apontada como uma das mais relevantes alterações na legislação de proteção de dados dos últimos anos e qual sua influência para as empresas brasileiras.
GDPR – do que se trata?
O GDPR é um projeto idealizado em 2012, mas que passou a vigorar apenas em 25 de maio de 2018. Seu objetivo é a padronização das normas de proteção de dados e identificação de pessoas naturais que se encontram na União Europeia (UE), independentemente da sua nacionalidade, cidadania, domicílio ou residência[i].
Garantia aos usuários
Para os usuários da internet, este avanço legislativo implica alcance oficial de alguns direitos básicos, como, por exemplo:
- A coleta de informações fica sujeita a sua autorização — revogável a qualquer tempo;
- As Políticas de Privacidade devem, obrigatoriamente, ser elaboradas em termos de uso mais simples, claros e de fácil entendimento para qualquer indivíduo;
- “Direito de ser esquecido”[ii]: qualquer internauta deve ser capaz de requisitar a total exclusão de seus dados em qualquer servidor online;
- A qualquer momento, o cidadão europeu poderá fazer uma vistoria própria para confirmar quais de seus dados estão em posse da empresa em questão.
Obrigações
Para ficar em conformidade com o Regulamento, as entidades de direito público e privado que coletam dados de seus usuários, consumidores, fornecedores e empregados cidadãos da União Europeia possuem, dentre outras, as seguintes obrigações:
- Disponibilizar políticas de privacidade claras, acessíveis, que discriminem o motivo e forma de uso dos dados coletados[iii];
- Obrigatoriedade de ter um encarregado de proteção de dados (DPO – Data Protection Officer);
- Reforçar políticas e procedimentos de segurança de dados;
- Adotar procedimentos em caso de violação de dados (notificação em 72h às autoridades e aos titulares);
- Elaborar códigos de conduta e certificação.
A quem se aplica?
Embora o regulamento tenha surgido em outro continente, sua aplicabilidade nos demais países, inclusive Brasil, é uma realidade. Isto porque a regra engloba toda e qualquer empresa, independentemente de onde ela esteja sediada, que oferte de maneira maciça bens/serviços e colete, armazene e processe dados de cidadãos europeus[iv].
Assim, pelo caráter extraterritorial do regulamento, as empresas brasileiras deverão cumprir com o GDPR nos casos de:
- Monitorarem o comportamento de pessoas que se encontram na UE;
- Prestarem serviços, ainda que gratuitos, ou fornecerem bens para essa região, ainda que não localizem na UE;
- Processarem dados fora da UE, mas possuírem estabelecimento lá localizado, independentemente de onde os dados pessoais sejam processados.
Descumprimento do GDPR
Caso a entidade receba denúncia pela violação de dados pessoais, a empresa poderá receber sanções que vão desde uma simples notificação até a proibição do tratamento de dados. Mas, o que realmente impressiona é a possibilidade de aplicação de multa de € 20 milhões ou de até 4% sobre a receita anual global da companhia, aquilo que for maior.
Para empresas brasileiras que têm uma presença física na Europa, as sanções do GDPR podem ser aplicadas diretamente pelas autoridades do respectivo Estado-membro da UE. No caso de empresas estrangeiras sem uma presença física, mas que, conscientemente e ativamente, conduzem negócios na UE, o GDPR exige a designação de um representante “localizado na UE”, que ficará responsável por receber a notificação de violação da norma[v].
Devo me preocupar?
O GDPR deve ser considerado como questão de compliance para quem desenvolve de forma maciça atividades com a União Europeia, principalmente as voltadas ao e-commerce, anúncios publicitários, outsourcing e cloud computing.
A inobservância do regulamento pode trazer, além da expectativa de aplicação de sanções, o comprometimento da marca e renome das empresas, as quais ficarão sujeitas às rescisões contratuais sem direito à multa ou indenizações, além de serem impedidas de processarem dados no bloco europeu.
A atenção às regras e designação de responsável em outro país certamente aumentará os custos operacionais da Companhia, mas a adaptação à norma é medida necessária para se manter no mercado de forma estável. Portanto, caso a empresa se enquadre em um dos casos supracitados, recomenda-se a imediata análise sobre sua operacionalização e as obrigações que deve passar a assumir.
Previsão legal no Brasil e atuação preventiva
No Brasil, a legislação aplicável em matéria de proteção de dados é esparsa, encontrando fundamentos na Constituição Federal, no Código Civil, no Código de Defesa do Consumidor e no Marco Civil da Internet, dentre outros diplomas legais, além de alguns projetos de Lei que estão em trâmite[vi].
De todo modo, a tendência é que a legislação se torne mais voltada ao tema e as empresas passem a tratar com mais responsabilidade os dados a que têm acesso. Neste cenário, aqueles que fazem tratamento de dados devem mapear o ambiente digital e avaliar a aplicabilidade do GDPR para cada caso específico.
Assim, independentemente de legislação nacional específica sobre o tema, é necessário que as empresas passem a informar aos usuários, de modo conciso, transparente e inteligível, o que será feito com as informações coletadas, abrindo mão de contratos virtuais enormes e confusos. E, para tanto, é essencial a elaboração de Termos de Uso e Política de Privacidade por um profissional qualificado.
Além disso, outras ações preventivas devem ser tomadas pelas empresas brasileiras, como, por exemplo, i) elaboração de sites com layout simplificado, explicando ao usuário qual o objetivo da captura de seus dados pessoais; ii) exclusão rápida e definitiva dos dados de um usuário, caso ele deseje; iii) feedback rápido ao usuário sobre os dados armazenados a respeito dele, caso seja solicitado; e iv) inclusão de alerta sobre o uso de cookies em páginas monitoradas.
Certamente, o regulamento pressionará empresas do mundo inteiro a se preocuparem mais com a segurança e privacidade dos dados de seus clientes, fornecedores e empregados.
O GDPR surgiu em um contexto no qual os dados são considerados como uma nova modalidade de riqueza, e o tratamento inapropriado das informações tem gerado cada vez mais desconfiança dos usuários da internet.
Assim, em meio a tantas notícias sobre vazamento de dados que têm vindo à tona, a preocupação sobre o cumprimento da regulamentação não deve se limitar somente ao afastamento de sanções. Trata-se de oportunidade para que as corporações permaneçam no mercado comprometidas em alcançar boa reputação e credibilidade para com aqueles que confiam seus dados a elas.
Equipe Tributária do Molina Advogados
[i] A proteção é conferida para pessoas físicas: 14º item das considerações do regulamento: pelo presente regulamento deverá aplicar-se às pessoas singulares, independentemente da sua nacionalidade ou do seu local de residência, relativamente ao tratamento dos seus dados pessoais. O presente regulamento não abrange o tratamento de dados pessoais relativos a pessoas coletivas, em especial a empresas estabelecidas enquanto pessoas coletivas, incluindo a denominação, a forma jurídica e os contactos da pessoa coletiva.
[ii] Artigo 17 GDPR“O titular tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada, e este tem a obrigação de apagar os dados pessoais”
[iii] O consentimento do titular dos dados deverá ser dado mediante um ato positivo claro que indique uma manifestação de vontade livre, específica, informada e inequívoca de que o titular de dados consente no tratamento dos dados que lhe digam respeito, como por exemplo mediante uma declaração escrita, inclusive em formato eletrônico, ou uma declaração oral. O consentimento pode ser dado validando uma opção ao visitar um sítio web na Internet, selecionando os parâmetros técnicos para os serviços da sociedade da informação ou mediante outra declaração ou conduta que indique claramente nesse contexto que aceita o tratamento proposto dos seus dados pessoais. O silêncio, as opções pré-validadas ou a omissão não deverão, por conseguinte, constituir um consentimento. O consentimento deverá abranger todas as atividades de tratamento realizadas com a mesma finalidade. Nos casos em que o tratamento sirva fins múltiplos, deverá ser dado um consentimento para todos esses fins. Se o consentimento tiver de ser dado no seguimento de um pedido apresentado por via eletrônica, esse pedido tem de ser claro e conciso e não pode perturbar desnecessariamente a utilização do serviço para o qual é fornecido.
[iv] O tratamento de dados pessoais de titulares de dados que se encontrem na União por um responsável ou subcontratante que não esteja estabelecido na União deverá ser também abrangido pelo presente regulamento quando esteja relacionado com o controlo do comportamento dos referidos titulares de dados, na medida em que o seu comportamento tenha lugar na União.
[v] PERONGINI. Maria Fernanda Hosken. 10 coisas que sua empresa deve saber sobre o GDPR da União Europeia <https://www.jota.info/opiniao-e-analise/artigos/10-coisas-que-sua-empresa-deve-saber-sobre-o-gdpr-da-uniao-europeia-15012018> conteúdo acessado em 19.06.2018
[vi] PL 330, PL 5276 e PL 4060
