Proteção de Dados Pessoais- Brasil e EU
Por Graciela Ribeiro / Artigos
Lei Geral de proteção de dados pessoais (LGDP) do Brasil e a GDPR (European General Data Privacy Regulation) da União Europeia
O Congresso Nacional aprovou no 10/07, e agora falta apenas a sanção presidencial para o Brasil passar a ter uma legislação específica para a proteção de dados pessoais. O texto aprovado cria uma autoridade nacional para regular e fiscalizar o assunto, orientada por um colegiado multissetorial inspirado no Comitê Gestor da Internet e com regras para os setores público e privado.
A partir da sanção, haverá um período de 18 meses para que as previsões do texto legal entrem em vigor – a exemplo do que aconteceu na revisão das diretrizes europeias de proteção de dados pessoais, chamada GDPR (European General Data Privacy Regulation) que aprovadas ainda em 2016 começaram a valer no fim de maio deste 2018.
A GDPR visa aumentar a proteção da privacidade, o direito de acesso aos dados pessoais por parte dos indivíduos e as responsabilidades das entidades que controlam e processam dados pessoais, sensíveis e comportamentais. Baseada em governança, gestão de dados e transparência, a GDPR já é vista como uma nova era da proteção de dados e privacidade. Empresas e escritórios precisam, portanto, estar alinhado.
As multas por não conformidade começam em 10 milhões de euros ou 2% do faturamento anual global, podendo chegar a 20 milhões de euros ou 4% do faturamento, prevalecendo sempre a maior quantia.
Inobstante a lei brasileira ter essa vacância de 18 meses, acaso a sua empresa esteja em rede com negócios internacionais, transmissão de dados pessoais ou sensíveis que envolvam a União Europeia, ou se você é prestador de serviços e soluções (inclusive jurídicas) para entidades com essas características, você também será impactado desde já pelo regulamento da União Europeira, através da GDPR.
Basicamente, se você trafega dados digitalmente, sentirá em maior ou menor escala os efeitos.
A GDPR se aplica à coleta de dados pessoais de pessoas naturais que se encontram na União Europeia, independente da sua nacionalidade, cidadania, domicílio ou residência.
Adicionalmente, em suma, será verificado que, caso uma empresa brasileira, de uma forma ou de outra, colete, processe ou receba dados pessoais de pessoais naturais localizadas na União Europeia, independente da sua nacionalidade, incluindo dados de consumidores, colaboradores, dados financeiros, ou ofereça serviços para algum dos 28 países do bloco europeu, poderá estar sujeita a jurisdição prescrita pela norma, dando ensejo ao dever de conformidade com esta (compliance), o que poderá ter um impacto nas suas operações e custos de transação.
Ademais, além das multas previstas na GDPR, mesmo que a empresa brasileira não se encaixe, diretamente, nos elementos e/ou pontos de contato que ensejam a aplicação da nova regulamentação, caso esta preste serviços de tratamento de dados para empresas, como coleta, armazenamento, enriquecimento, profiling, seja ela contratada ou subcontratada por empresas que estão sujeitas à GDPR, estas somente podem contratar com empresas que também estejam em conformidade. Esta nova obrigação legal pode, eventualmente, ser causa para rescisão justificada de contratos, sem direito a multas contratuais e cláusulas penais, caso tal premissa não esteja prevista nos acordos.
É que o artigo 3 da regulação sustenta que toda organização que colete dados pessoais ou comportamentais de sujeitos de dados na União Europeia estão submetidos às exigências da GDPR. Esse sujeito de dados não precisa, necessariamente, ser um cidadão, pode ser um turista ou visitante. O escopo da GDPR é bastante amplo. Informação pessoal (sensível ou não) se refere aos dados concedidos pelo indivíduo, enquanto informação comportamental se refere aos dados coletados pela organização a partir da observação do sujeito.
Isso significa que qualquer entidade coletando dados de indivíduos enquanto eles estejam na União Europeia está sujeita às exigências da GDPR.
Senão vejamos um quadro explicativo disso:
Assim, acaso se aplique a sua empresa, os passos mais importantes para estar em conformidade é a consciência compartilhada da regulação entre todas as pessoas na organização.
Mesmo pessoas que não tenham em suas atribuições formais o acesso a informações pessoais e sensíveis, precisam estar cientes e preparadas sobre os impactos da regulação. Também é necessário fazer um inventário de dados, sabendo quais dados sua organização processa ou controla, como foram obtidos e como são usados.
Com essa visão mais ampla, as políticas de utilização de dados precisam ser revistas e comunicadas, respeitando as bases legais para a sua prática. Também é preciso verificar se as políticas adotadas asseguram os direitos dos sujeitos de dados, inclusive permissões de responsáveis por crianças e menores de idade, e as formas de acesso e prestação de conta desses dados. Outro ponto importante é averiguar os procedimentos para detecção, notificação e investigação de violações de privacidade. Ter uma pessoa responsável pela Proteção de Dados (o Data Protection Officer) também pode ser uma ação necessária em alguns tipos de atuação, e isso traz transformações nos organogramas e estruturas de empresas e escritórios jurídicos, assim como o conceito de Data Protection by Design que incorpora as políticas e estratégias de proteção de dados e a conformidade à regulação geral como centro de produtos, serviços e negócios.
A GDPR causa uma profunda mudança de paradigma, que passa a priorizar responsabilidade ativa, flexibilidade, importância do contexto e da cooperação. A regulação implica uma aplicação direta, sem transposição e substituição de normas nacionais.
A adequação à GDPR requer mudanças legais, organizacionais e técnicas que empresas e escritórios precisam encarar por diversos pontos de vista. São 99 artigos, dos quais 44 são obrigações de conteúdo jurídico, como âmbito de aplicação, tipologia de dados, pedido de consentimento para terceiros ou menores de idade, códigos de conduta. Há ainda medidas técnicas (cinco, no total) e de segurança (três), que englobam, entre outras coisas, encriptação, acessos autorizados, atualização dos sistemas e antivírus, devolução de dados e obrigações de notificação.
Essa é uma grande mudança cujas empresas, inobstante a GDPR, devem se familiarizar, porquanto o texto de LGPD (Lei Geral de Proteção de Dados) aprovado no Brasil, que segue para sanção do Presidente da República, é praticamente uma tradução das regras europeias.
Os profissionais de escritório precisam estar preparados para atender às demandas desse tipo de cliente e para adequarem seus serviços, operações e políticas às exigências da GDPR e posterior LGPD para processamento de informações.
O advogado bem preparado nessa área será um aliado valioso para o compliance e competitividade de empresas em contextos de digitalização global.
Por Graciela Ribeiro, Sócia Fundadora da Ribeiro & Costa Advocacia.
