Aprovado há dois anos, o Regulamento Geral de Proteção de Dados (mais conhecido pela sigla em inglês GDPR) passou por um período de vacância (conhecimento ou publicidade) e finalmente passará a ser aplicada em países da comunidade europeia. Mas apenas lá? Na verdade, o impacto da medida é global.
A revista NOVAREJO digital está com conteúdo novo. Acesse agora!
Em linhas gerais, a ideia é que a coleta, tratamento ou qualquer outro uso de dados estaria submetido a uma série de regras sob a fiscalização de uma espécie de agência reguladora presente em cada um dos países da comunidade europeia. Um dos itens que serão fiscalizados é o uso dessa informação. A empresa deve comunicar o cliente sobre a utilização desse dado, seja para fins comerciais ou não.
Por exemplo? Pense no dono de uma pousada no Brasil em busca de clientes na Europa. No momento em que o proprietário passa a utilizar os dados desse consumidor europeu ou qualquer pessoa que vive na Europa passa a estar sujeito a essas regras. O Airbnb seria um exemplo.
O potencial é todo o tipo de empresa: da maior para as empresas de um dono só. Vítor Morais de Andrade, especialista em direito do consumidor e coordenador do curso de direito da PUC São Paulo, comenta sobre o impacto da medida. Veja:
NOVAREJO: O que é o GDPR?
Vitor Morais de Andrade – É o regulamento geral de proteção de dados que passará a ser aplicado no dia 25. Tal regulamento terá efeito global, atingindo empresas situadas nos países integrantes da EU e também no Brasil, desde que processem dados de pessoas localizadas na Europa ou destinados a ela. Também são afetadas empresas que ofertarem bens ou serviços para pessoas localizadas na Europa ou cujo serviço implique na análise ou controle de seu comportamento.
Qual o impacto dessa legislação no âmbito da UE e fora dela?
R: As empresas terão que se adaptar passando a considerar a privacidade a partir do desenho de seus produtos e serviços, garantindo que os titulares de dados sejam ouvidos e tenham autodeterminação de suas informações e segurança no armazenamento de seus dados desde a origem do armazenamento.
Será fundamental o estabelecimento de relações transparentes para autorização na utilização dos dados exigindo, na maioria das situações, comportamento ativo do consumidor para que autorize de forma válida e legítima a utilização de seus dados para desenvolvimento de atividades econômica.
Leia também:
Caso Facebook e fraudes de dados estão mudando rotina de compra
Para o setor da Comunicação Social há necessidade de reinterpretar o consentimento do consumidor. O seu silêncio não mais implicará na concordância com a utilização de seus dados. Além de conhecimento inequívoco e detalhado sobre o que, como, quando, onde, com quem e até quando serão utilizados seus dados passa a ser obrigatório. Além disso, será necessário um procedimento para certificar que o titular dos dados deu seu consentimento para utilização.
Empresas terão profissionais destacados para essa função?
R: Outro impacto será também no campo da segurança da informação, o que pode ser feito por meio de Código de Condutas, Certificação (ex. ISO 27001), selos, etc. Some-se a isso a necessidade das empresas possuírem um DPO (Data Protection Officer), com conhecimento jurídico e tecnológico sobre dados pessoais, além de compliance, organização e processos e independência de suas funções.
Leia também:
9 em cada 10 modelos de negócios consideram gestão de dados
Além disso, há a necessidade de garantia do direito ao apagamento dos dados pelo titular. Outro aspecto de profundo impacto é a possibilidade de portabilidade de dados, que garante ao titular o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento. As transferências internacionais ficarão sujeitas a verificação da Autoridade Europeia da adequação do nível de proteção de dados dos pais ou aprovação de regras contratuais vinculativas que garantam uma proteção adequada aos dados. Em caso de descumprimento, as sanções podem atingir 20 milhoes de euros ou até 4% sobre o faturamento global anual, o que for maior.
Onde há legislações semelhantes em vigor ou em discussão?
R: Para os padrões da EU, são cerca de 15 países. É o caso da Argentina, Uruguais, EUA, Canadá, entre outros.
E o Brasil? Estamos discutindo o assunto?
R: Já temos algumas leis esparsas que tratam do tema. O Código Civil, o CDC, o Marco Civil da Internet, que em especial já disciplina alguns critérios para tratamento de dados pessoais, além de uma série de normas de caráter penal, foram o arcabouço jurídico vigente.
Falta, ainda, a aprovação de uma Lei Geral de Proteção de dados, que se discute há mais de 10 anos e que há pelo menos já existem Projetos de Lei que buscam dirimir estes problemas (PL 4060/12 apensado ao PL 5276/16; PLS 330/13;).
O que as empresas brasileiras devem fazer?
R: Verificar se as empresas cumprem a legislação vigente no país, em especial as regras impostas pelo Marco Civil da Internet, CDC e Código Civil. Além disso, as empresas que se sujeitarem a aplicação do GDPR, conforme informado acima, devem adaptar suas condutas e procedimentos.
Por fim, é recomendável uma avaliação de todas as condutas e procedimentos da empresa acerca de cumprimento das regras de proteção de dados vigentes e acompanhamento dos referidos projetos de lei.