Proteção de dados da União Europeia atingirá empresas brasileiras a partir do dia 25

A advogada Flávia Lubieska Kischelewski atua no setor societário do Prolik.

A General Data Protection Regulation – GDPR (UE) 2016/679 ou Regulamento Geral sobre a Proteção de Dados da União Europeia é a maior reforma normativa sobre o tema nos últimos 20 anos e terá aplicação a partir de 25 de maio de 2018. A regulamentação, existente desde 2016, é vinculante e válida para todos os países que participam da Área Econômica Europeia, que inclui os países membros da União Europeia, além de Islândia, Liechtenstein e Noruega.

Em síntese, o Regulamento reconhece que o tratamento de dados pessoais é um direito fundamental, estabelecendo, assim, regras relativas à proteção das pessoas físicas, identificadas ou identificáveis, no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

A abrangência do Regulamento merece destaque em todo seu extenso texto. Nesse sentido, o tratamento de dados, por exemplo, é definido como “uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registro, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição”.

Cabe destacar que não estão sujeitos ao Regulamento apenas os cidadãos e empresas europeias.  As empresas brasileiras poderão ser diretamente impactadas, pois, segundo o art. 3º, item 2, o Regulamento é aplicável “ao tratamento de dados pessoais de titulares que se encontrem no território da União, efetuado por um responsável pelo tratamento ou subcontratante não estabelecido na União, quando as atividades de tratamento estejam relacionadas com:

a)         A oferta de bens ou serviços a esses titulares de dados na União, independentemente da exigência de os titulares dos dados procederem a um pagamento;

b)         O controle do seu comportamento, desde que esse comportamento tenha lugar na União.”

Observa-se, assim, a necessidade de atenção por parte de empresas nacionais que coletem e utilizem, direta ou indiretamente, dados de pessoas situadas na Europa. Não apenas as “technology companies” precisam conhecer a GDPR e estudar seus impactos em suas atividades. Multinacionais, bancos, empresas de comunicação social e do setor hoteleiro, por exemplo, também devem avaliar se e como serão atingidas pela nova regulamentação, a fim de adotar políticas internas para tratamento de dados pessoais. A terceirização de determinadas atividades que envolvam o uso de dados pessoais também deverá ser vista com mais cautela.

Em caso de descumprimento da GDPR, as penalidades aos infratores podem chegar ao pagamento de multa no importe de até 20 milhões de euros ou a até 4% do seu faturamento anual a nível mundial, com base no último exercício, prevalecendo o que for maior. Apesar disso, num primeiro momento, as autoridades de proteção de dados deverão atuar em caráter orientativo e não apenas punitivo.

Além do GDPR, a advogada Flávia Lubieska N. Kischelewski observa que no Brasil ainda não existe uma legislação específica correspondente ao Regulamento europeu, embora estejam em discussão três projetos de lei. Ainda assim, existem outras leis esparsas que tratam de dados pessoais e também preveem severas punições aos infratores, a exemplo do Marco Civil da Internet, da Lei de Acesso à Informação e da Lei de Cadastro Positivo.

A perspectiva é que, a partir da aplicação da GDPR, novas soluções jurídicas sejam exigidas e que sejam revisadas condições contratuais, especialmente junto a fornecedores e subcontratados, a exemplo do que houve para as medidas de compliance. Também se estima que venham a ser implantadas rotinas de auditoria interna nas empresas e até de certificação por entidades especializadas. Essas novas práticas tendem a tornar os relacionamentos entre empresas e usuários mais transparentes e seguros.