O fornecimento de dados pessoais para possibilitar o uso de bens e serviços online cresceu exponencialmente sem que fosse possível à legislação acompanhar os avanços tecnológicos na mesma velocidade. Em um sistema de leis esparsas e, muitas vezes, incompletas, a proteção de dados pessoais se apresentava como uma colcha de retalhos inconsistente em confronto com o mundo interconectado no qual se inseria.
- WhatsApp - Como Baixar Todos os seus Dados
- Uber - Como Baixar Todos os seus Dados
- Twitter - Como Baixar Todos os seus Dados
- Snapchat - Como Baixar Todos os seus Dados
- LinkedIn - Como Baixar Todos os seus Dados
- Instagram - Como Baixar Todos os seus Dados
- Facebook - Como Baixar Todos os seus Dados
- Apple - Como Baixar Todos os seus Dados
- Google - Como Baixar Todos os seus Dados
Com o objetivo de criar um novo regime de proteção de dados, foi publicado na União Europeia (UE), em 2016, o Regulamento Geral de Proteção de Dados, aplicável a todas as organizações estabelecidas na Europa e, dependendo das circunstâncias, também fora dos limites desse território. Após uma vacatio legis de dois anos, a norma está prevista para entrar em vigor em maio de 2018.
A decisão tomada na União Europeia impacta todo o globo e as empresas precisam estar preparadas.
O que é a GDPR?
É um conjunto de normas que devem ser adotadas por todas as empresas que operam usando dados dos cidadãos europeus.
Por que a GDPR foi criada?
Quando o assunto é dados pessoais de usuários, há muita preocupação em protegê-los. Nesse cenário, a EU-GDPR vem zelar pela liberdade e pelos direitos dos usuários.
As normas são restritas a Europa?
Toda empresa que opera na Europa com coleta ou tratamento de dados precisa se adequar às normas. Nesse cenário estão, inclusive, gigantes do mercado – como Amazon, Google, Facebook e Adobe – que, como atuam na Europa, atenderão às normas. Esse movimento faz com que outras empresas adotem as normas da GDPR. Em outras palavras, as normas que nasceram na Europa se tornam boas práticas de referência para todo o globo.
Toda a regulamentação conta com 11 capítulos e está disponível no site do GDPR. Confira abaixo os principais pontos da GDPR:
Disponibilizar a identidade e o contato do controller*;
Disponibilizar os contatos da empresa de data protection**, se houver;
Detalhar os motivos para o processamento de dados e as bases legais para isso;
Listar os destinatários dos dados (ou suas categorias), se houver;
Citar o período que o dado ficará armazenado ou – se não for possível – o critério usado para determinar tal período;
Explicitar as possíveis consequências da falta de fornecimento dos dados;
Detalhar a fonte dos dados, se veio de uma fonte pública e não foi coletada diretamente do usuário;
Conceder o direito do usuário retificar seus dados;
Conferir o direito de retirar o consentimento de processamento dos seus dados a qualquer momento;
A coleta de dados sensíveis (que revelam origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos, dados relativos à saúde ou dados relativos à orientação sexual) só é permitida quando o processamento é necessário para fins de medicina preventiva ou ocupacional, para a avaliação da capacidade de trabalho do funcionário, diagnóstico médico, prestação de cuidados de saúde ou sociais ou tratamento ou gestão de sistemas e serviços de saúde ou assistência social com base em Do direito da União ou do Estado-Membro ou por força de contrato com um profissional de saúde.
O tratamento dos dados de uma criança é legal quando a criança tiver pelo menos 16 anos. Nos casos em que a criança tenha menos de 16 anos de idade, tal tratamento só será lícito se e na medida em que o consentimento seja dado ou autorizado pelo titular da responsabilidade parental sobre a criança, desde que essa idade inferior não seja inferior a 13 anos.
*Controller é a empresa que determina os fins e os meios do processamento de dados.
**São os responsáveis por supervisionar a estratégia e a implementação da proteção de dados para garantir a conformidade com os requisitos do GDPR.
Mas o que as empresas brasileiras têm a ver com isso?
Se sua empresa tem negócios na União Europeia o GDPR é relevante. O regulamento adota a regra da extraterritorialidade, afetando organizações estabelecidas fora da UE, mas que realizem negócios na UE. Isso afeta particularmente os negócios baseados na internet, oferecendo bens ou serviços aos consumidores europeus.
Para auxiliar na compreensão do GDPR, sua importância e seu impacto sobre as empresas brasileiras com negócios junto a clientes e parceiros na Europa.
A quem se aplica?
A todos que fazem comercializam bens e serviços junto a Estados-membros da UE, ainda que de forma gratuita. É muito abrangente e afetará quase todas as organizações baseadas neste território, bem como todas as organizações que atuam na UE, mesmo com sede no exterior. Assim, empresas privadas ou públicas brasileiras, que possuem relacionamento com clientes ou parceiros europeus, terão que respeitar o novo regulamento. Desde grandes instituições à pequenas plataformas de e-commerce, se há coleta ou tratamento de dados pessoais de um indivíduo que está no território da União Europeia, de forma relacionada à oferta de bens ou serviços, ainda que fornecidos gratuitamente, haverá sujeição às normas do GDPR. É importante ressaltar que, se a empresa usa serviços como o Amazon Web Services ou o Google Cloud, por exemplo, estas não poderão ser responsabilizadas em caso de desconformidade de sua empresa com o GDPR.
O que é um DPO?
O Encarregado da Proteção de Dados, ou DPO (Data Protection Officer), é responsável pelo compliance na proteção de dados pessoais. Cabe, dentre outras atribuições, informar e orientar os funcionários e contratados da empresa sobre as melhores práticas, colaborar com as autoridades de controle e prestar aconselhamento no que diz respeito à avaliação de impacto sobre a proteção de dados. A contratação de um DPO é obrigatória em algumas situações, a saber: (i) se a organização é uma autoridade pública (ou seja, uma empresa que exerce controle sobre a manutenção da infraestrutura pública ou possui amplos poderes para regular a propriedade pública); (ii) se está envolvida em monitoramento sistemático em larga escala de dados de usuários e (iii) se a organização processa grandes volumes de dados de usuários pessoais.
Quais as sanções previstas na lei?
Um dos elementos mais discutidos é o poder concedido aos reguladores para multar as empresas em desconformidade com a norma. As multas previstas no GDPR são bastante pesadas, em uma tentativa de levantar o interesse de organizações que encaravam suas responsabilidades na proteção de dados de forma descompromissada ou pouco séria. Pequenas infrações podem resultar em multas de até € 10 milhões ou 2% do volume de negócios global da empresa; infrações mais graves podem chegar a € 20 milhões ou 4% do volume de negócios global da empresa (o que for maior).
Como as sanções serão aplicadas?
Para empresas brasileiras que têm uma presença física na Europa, o GDPR pode ser aplicado diretamente pelas autoridades do respectivo Estado-membro da UE. No caso de empresas estrangeiras sem uma presença física neste território, o GDPR exige a designação de um representante “localizado na UE”. Isso não se aplicará a todos – apenas àqueles que, conscientemente e ativamente, conduzem negócios na UE. Nesse sentido, os tribunais europeus têm a capacidade discricionária de determinar se uma empresa coleta propositadamente dados de cidadãos da UE ou se tal coleta ocorre de forma inadvertida ou ocasional. Mas tudo isso depende do julgamento do Estado-Membro.
Como minha empresa deve se preparar?
O planejamento precoce é essencial. Um primeiro passo a ser considerado é a revisão das atividades de processamento de dados, a fim de mapear o ambiente e avaliar a aplicabilidade do GDPR para cada caso específico. Também é fundamental que as empresas designem alguém, seja um funcionário ou um consultor externo, para se responsabilizar pela conformidade em matéria de proteção de dados e que tal pessoa tenha conhecimento, apoio e autoridade para desempenhar seu papel de forma independente e eficaz.
E a legislação brasileira?
No Brasil, a legislação aplicável em matéria de proteção de dados é esparsa, encontrando fundamentos na Constituição Federal, no Código Civil, no Código de Defesa do Consumidor e no Marco Civil da Internet, dentre outros diplomas legais. Em discussão, há o Projeto de Lei 5.276/2016 que, inspirado no GDPR, visa regulamentar de forma mais robusta o tratamento e a proteção de dados pessoais no país, por meio da criação de um conjunto de obrigações e responsabilidades para indivíduos e entes públicos e privados, que coletam e usam e utilizam tais informações. Um incentivo a mais para começar a se preparar desde já.
É certo que o GDPR demanda um aumento significativo do nível de compliance em matéria de privacidade e proteção de dados pessoais, mas o maior desafio é a mudança na mentalidade corporativa, o estabelecimento de um “GDPR state of mind”, isto é, uma nova abordagem que incorpore na espinha dorsal das empresas a importância de adotar uma maior abertura e transparência na coleta, uso e tratamento de dados pessoais.
Trata-se de enxergar além das multas e demais penalidades e entender que a conformidade a tais regras extrapola as perdas financeiras para alcançar outros valores, como reputação e confiança do consumidor. Não é apenas uma questão de segurança de dados, de leis ou de tecnologia, mas uma questão empresarial que deve ser tratada de forma holística e comprometida, inserida nas estratégias de cada negócio.
Comente e compartilhe este artigo!⬛◼◾▪ Social Media ▪◾◼⬛⬛◼◾▪ Blogs ▪◾◼⬛• SFE® • SFE Tech® • SFE Terms® • SFE Books® • SFE Biography®
⬛◼◾▪ CONTATO ▪◾◼⬛
