GDPR, O REGULAMENTO GERAL SOBRE A PROTEÇÃO DE DADOS DA UNIÃO EUROPEIA: VOCÊ ESTÁ PREPARADO?

Uma investigação sobre o vazamento de dados de mais de 50 milhões de usuários do Facebook reacendeu o debate acerca da segurança nas redes sociais. Um inquérito foi aberto pelo Ministério Público do Distrito Federal a fim de verificar a maneira pela qual a estratégia de usar os dados vazados pelo Facebook pode ter interferido nas eleições norte-americanas e se a mesma estratégia ia ser usada também no Brasil. A empresa Cambridge Analytica foi contratada por Donald Trump na campanha presidencial e veio para o Brasil em 2017. Ela estabeleceu parceria com uma empresa brasileira, que decidiu não renovar o contrato depois que as denúncias vieram à tona.

Enquanto a sociedade digital está cada vez mais conectada – o Brasil é um dos países que mais utiliza redes sociais[1] –  e entrega seus dados pessoais para aplicativos, desde 2016 tramita na Câmara dos Deputados um projeto de lei que prevê o tratamento de dados pessoais, vez que o Marco Civil da Internet, embora seja considerado um avanço, trata da proteção de dados de forma generalista. Há um apelo veemente por uma legislação específica para a proteção de dados individuais, pois é sabido que a grande maioria dos usuários não lê os termos de aceite dos aplicativos que utilizam.

Atentos à velocidade dos avanços tecnológicos e preocupados com o crescimento do fornecimento de dados pessoais para possibilitar o uso de bens e serviços online, países da União Europeia publicou em 2016 o Regulamento Geral de proteção de Dados (General Data Protection Regulation, GDPR), aplicável a todas as organizações estabelecidas na Europa e, em algumas circunstâncias, também às estabelecidas fora deste território, prevista para entrar em vigor em maio de 2018.

Mas o que vem a ser o GDPR? Qual a sua importância e seu impacto sobre as empresas brasileiras? Quais as sanções previstas? É sobre isso que iremos tratar enquanto a legislação pátria ainda carece de processo legislativo.

O GDPR, General Data Protection Regulation (Regulamento Geral de proteção de Dados) é uma norma criada para que haja o fortalecimento da proteção de dados pessoais dos cidadãos da União Europeia, por meio de regulamentos e sanções para qualquer empresa que use de maneira indevida ou perca esses dados. A legislação promove a ampliação da definição de dados pessoais e coloca as empresas em alerta máximo para proteger dados pessoais, em ambientes de análise, desenvolvimento e manipulação desses dados.

A norma causa impacto para quaisquer empresas (privadas ou públicas) que manipulam e tratam dados pessoais: a) de cidadãos da União Europeia (EU); b) de cidadãos de nacionalidade distinta, mas residentes na União Europeia, e: c) que estejam armazenados no território da União Europeia ou que sejam parte de fluxo internacional de dados em negócios realizados com outras empresas sediadas na União Europeia. A título de exemplo podemos citar as multinacionais com matriz na Europa e operações em outros países, além dos setores de transporte que operam por meio de aplicativos, turismo (hotéis, agências, sites de pacotes de viagem, companhias aéreas), financeiro (cartão de crédito, meios de pagamento) e seguros de vida, saúde e de viagem. Sempre que houver coleta, manipulação ou tratamento, relacionada à oferta de bens e serviços, de dados pessoais de um indivíduo residente no território da União Europeia, ainda que fornecidos gratuitamente, haverá sujeição às normas do GDPR.

Empresas no compliant podem sofrer sanções de natureza pecuniária, tendo em vista que as penalidades são consideradas pesadas: em caso de infrações mais graves as multas podem chegar a 20 milhões de euros ou 4% do volume de negócios global da empresa (o que for maior). No que tange à aplicação das sanções, se uma empresa estrangeira (brasileira, por exemplo) possui presença física em algum país da Europa, a sanção será aplicada diretamente pela autoridade do respectivo Estado-membro. Caso a empresa estrangeira não possua presença física na Europa, mas conduz negócios na Europa, a norma exige a nomeação de um representante localizado na União Europeia para permitir que indivíduos e autoridades locais de proteção de dados possam ter um contato na EU (art. 27,GDPR[2]). Além disso, a reputação da empresa pode ser afetada por uma repercussão negativa na imprensa e mídias sociais podendo até mesmo vir a ser ré em processos coletivos ajuizados por consumidores ou funcionários, o que pode danificar a sua imagem e criar uma barreira comercial.

A norma prevê que “os princípios da proteção de dados deverão aplicar-se a qualquer informação relativa a uma pessoa singular identificada ou identificável.”. Ou seja, a atuação da norma alcança uma ampla categorização de tratamentos de dados pessoais, tais como: nome completo, nacionalidade, documento de identidade, cadastro de pessoas físicas, gênero, CNPJ e outras informações societárias, endereços de e-mail, endereços residenciais, números de telefone, informações sobre sistemas operacionais, endereços IP, geolocalização, elementos de identidade física (etnia ou biometria), fisiológica (saúde e vida sexual), mental (religião, opiniões políticas, filosóficas ou orientação sexual), dados financeiros (bancários ou creditícios) etc. Tal proteção se refere a qualquer operação de manipulação de dados pessoais como coleta, reprodução, transmissão, arquivamento, armazenamento, transferência, modificação, acesso, destruição/eliminação, entre outras.

Como dito, no Brasil, a matéria é tratada de forma genérica contando com fundamentos constitucionais, disposições esparsas no Código Civil e no CDC e com a principiologia do Marco Civil da Internet. Contudo, tramita o Projeto de Lei 5.276/2016[3] que busca regulamentar o tratamento e a proteção de dados pessoais no país.

A preparação para o compliance de privacidade/proteção de dados pessoais demandada pelo GDPR é um desafio. Alinhado à blindagem jurídica necessária para alcançar e manter a conformidade com o GDPR, deve estar o amadurecimento de mentalidade dos gestores e de todos os envolvidos, para além da preocupação com as multas, de modo a ser visualizado um panorama de perdas de valores que abrangem não somente a imagem da empresa, mas a confiança de consumidores e fornecedores e a judicialização de conflitos.

A nova legislação europeia surge como uma peça complementar às normas previstas no PL 5.276/2016 (em tramitação), no sentido de impor a implementação de medidas de proteção para mitigar os riscos envolvendo o tratamento e a manipulação de dados pessoais dos sujeitos que compõem essa nova sociedade, a sociedade digital.

Marcelo Alves Pereira, advogado no Espírito Santo.

[1] O relatório Digital in 2017, feito pela We Are Social em parceria com a Hootsuite, apontou que 58% da população brasileira é usuária das redes sociais, percentual que representa mais de 122 milhões de usuários. <https://wearesocial.com/special-reports/digital-in-2017-global-overview>, acesso em 29/03/2018.

[2] <https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679&from=EN>, acesso em: 29/03/2018.

[3]<http://www.camara.gov.br/proposicoesWeb/prop_mostrarintegra;jsessionid=DEFDB1CFC136FA39B12516DE9CE7BF5A.proposicoesWebExterno1?codteor=1457459&filename=PL+5276/2016>, acesso em: 29/03/2018.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *