Lei Europeia de Proteção de Dados Pessoais (GDPR) e seus efeitos no Brasil

Como sabemos, dados pessoais compõem um dos principais ativos na sociedade da informação.

Por essa razão, novas normas jurídicas vêm sendo discutidas para acompanhar a demanda cada vez maior de proteção da privacidade e da guarda correta das informações pessoais que são tratadas por sistemas de informação.

No Brasil, o Marco Civil da Internet (Lei nº 12.965/14), ao estabelecer princípios, garantias, direitos e deveres para o uso da internet, deu um importante passo na proteção de dados pessoais, ao lado de outros mecanismos e diplomas legais que já estavam em vigor, como o remédio constitucional do habeas data, o Código de Defesa do Consumidor, a Lei do Cadastro Positivo (Lei nº 12.414/2011) e a Lei de Acesso à Informação (Lei nº 12.527/2011).

Para uma proteção mais ampla e abrangente dos dados pessoais, discute-se no Poder Legislativo brasileiro, uma lei de proteção de dados pessoais. Os projetos atualmente em discussão são os seguintes: Projeto de Lei nº 4.060/2012 (que tramita na Câmara dos Deputados), Projeto de Lei nº 5.276/2016 (de autoria do Poder Executivo, que tramita apensado ao PL 4.060/2012) e os Projetos de Lei nºs 330/2013, 131/2014 e 181/2014 (que tramitam no Senado Federal e foram fundidos em um substitutivo pelo Senador Aloysio Nunes).

Além disso, as empresas brasileiras que fazem tratamento de dados pessoais na oferta de produtos ou serviços também estarão sujeitas, a partir de 25 de maio de 2018, às regras do Regulamento Geral de Proteção de Dados (Regulamento 2016/679 da União Europeia), conhecido como GDPR, acrônimo, em inglês, para General Data Protection Regulation, que trata da proteção dos indivíduos quanto ao tratamento e à livre circulação de seus dados pessoais.

Vejamos a seguir os principais aspectos da GDPR que devem ser levados em consideração pelas empresas brasileiras.

No que diz respeito ao âmbito de aplicação territorial da GDPR, o artigo 3º diz que suas regras se aplicam ao tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento, de um responsável pelo tratamento ou de um subcontratante situado no território da União Europeia, independentemente de esse tratamento ocorrer dentro ou fora da União.

A GDPR entende o “tratamento” (artigo 4º, item 2) de forma bastante ampla, como uma operação efetuada sobre dados pessoais, por meios automatizados ou não automatizados, tais como a coleta, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação e a destruição de qualquer informação relativa a uma pessoa física identificada ou identificável.

A GDPR também se aplica ao tratamento de dados pessoais de titulares residentes no território da União Europeia, estejam estes localizados fisicamente dentro ou fora da União, que venha a ser feito por alguém que não esteja localizado na União, quando as atividades de tratamento estiverem relacionadas à oferta de bens ou serviços a esses titulares de dados pessoais, tais como, vendas online por meio de uma plataforma de e-commerce, direcionamento de anúncios publicitários veiculados em uma rede social, prestação de serviço de cloud computing e uma infinidade de atividades proporcionadas, sobretudo, por aplicações de Internet.

Portanto, se uma empresa brasileira, no âmbito da oferta de bens ou serviços, ainda que fornecidos gratuitamente, faz o tratamento de dados pessoais de um cidadão de um país da União Europeia, que esteja localizado fisicamente no Brasil, ficará essa empresa sujeita às normas da GDPR e às penalidades aplicáveis que podem incluir multas de até €20 milhões ou 4% do faturamento global anual da empresa.

A nomeação de um encarregado de proteção de dados (DPO – Data Protection Officer), a realização de auditorias internas, a elaboração de uma política de tratamento de dados pessoais, a criação de procedimentos que garantam a proteção dos dados pessoais, a elaboração de comunicados sobre privacidade, a preparação de procedimentos de resposta a solicitações dos titulares dos dados e a manutenção da documentação apropriada como evidência de todo o processo, estão entre as tarefas a serem realizadas pelas empresas.

Caso a empresa não possua capacitação interna para a tomada dessas providências, deve-se recorrer a uma assessoria jurídica especializada que possa acompanhar todo o processo estratégico de implementação das medidas, minimizando os riscos de violação da GDPR. A mudança é complexa, mas as empresas brasileiras que anteciparem esse processo de mudança certamente terão maior facilidade em 2018 para conquistar clientes e negociar seus contratos comerciais.