Os dados pessoais são hoje um dos maiores ativos da sociedade mundial, impactando diretamente na definição de modelos de negócio e criação de oportunidades. O mundo todo assiste a um fenômeno progressivo de enormes quantidades de dados pessoais de cidadãos serem coletados, processados e tratados deliberadamente por empresas e instituições públicas e privadas.
Esta crescente importância atribuída aos dados pessoais traz à tona questões envolvendo a privacidade e proteção de dados pessoais e a necessidade de interferência do Direito para regular esta nova realidade.
A União Europeia se preocupa com a tutela desses direitos desde 1995, o que é ilustrado pela criação da Diretiva Europeia 95/46/CE a qual estabeleceu padrões para que seus países membros criassem legislações acerca da proteção de dados pessoais. Ocorre, porém, que no dia 25 de maio de 2018 referida Diretiva será substituída pelo Regulamento Geral de Proteção de Dados (General Data Protection Regulation – GDPR), o qual trará regras sobre a proteção de dados pessoais a serem observadas por todos os países membros da União Europeia, visando harmonizar suas leis, dar, aos cidadãos, maior controle sobre seus dados e aumentar o enforcement sobre empresas que tratam e lidam com dados.
Mas por que o Brasil deve se preocupar com uma Regulamentação Europeia? Não faltam motivos. Primeiro porque algumas empresas brasileiras podem ser diretamente impactadas pela nova regulamentação. Segundo porque negócios e relações comerciais entre o Brasil e países da União Europeia poderão ser mitigados pelo fato de não possuirmos legislação específica sobre o tema. E, terceiro, porque adiantar-se na adaptação às regras da GDPR pode representar vantagem competitiva às empresas brasileiras já que a expectativa é de que, em breve, ocorra a aprovação de uma lei nacional com as mesmas premissas.
A GDPR é uma regulamentação padrão ouro internacional, tendo efeito global, uma vez que impõe seus padrões a todas as entidades que processam dados pessoais, mesmo quando o tratamento se dá fora da limitação geográfica da União Europeia, desde que a entidade que trata os dados possua filial, sede ou representação na União Europeia ou sejam oferecidos de maneira maciça bens/serviços a titulares de dados que se encontram em algum país do bloco europeu ou caso haja monitoramento do comportamento de titulares de dados localizados na União Europeia.
Ou seja, se uma empresa brasileira se encaixa em qualquer das possibilidades acima descritas, deverá se adaptar às regras da GDPR sob pena de ter que arcar com multas por descumprimentos, as quais poderão alcançar a cifra de 20 milhões de euros ou 4% do faturamento global da empresa.
Além disso, a nova Regulamentação permitirá a transferência de dados pessoais para países fora do bloco europeu apenas se o território para o qual se pretende realizar a transferência seja considerado pela Comissão Europeia como um país com um nível “adequado” de proteção de dados pessoais.
O Brasil não está inserido neste rol de países com nível adequado de proteção de dados eis que carecemos de uma legislação específica sobre a matéria – o Marco Civil da Internet aborda o assunto de maneira principiológica e as demais leis esparsas tratam do tema apenas indiretamente e com limitações setoriais. Este hiato legislativo brasileiro impacta nos negócios do Brasil, limitando diversas relações com países europeus.
Com a proximidade de vigência do GDPR e seus impactos nos modelos de negócio brasileiros, a tendência é que os Projetos de Lei de Proteção de Dados que hoje tramitam no Senado e Câmara dos Deputados sejam priorizados a fim de estancar o processo de letargia brasileira quanto à aprovação de um regulamento geral de proteção de dados pessoais.
A expectativa é que, a exemplo do que ocorreu em 2014, quando as divulgações de Edward Snowden aceleraram a aprovação do Marco Civil da Internet no Brasil, um outro acontecimento externo, dessa vez envolvendo o uso indevido de dados pessoais de cerca de 50 milhões de usuários do Facebook pela Cambridge Analytica, também contribua para a priorização da aprovação de uma lei brasileira que trate do tema.
A maior aposta entre os juristas brasileiros é para que ocorra a aprovação do Projeto de Lei nº 5.276/2016, o qual traz uma série de previsões semelhantes ao ordenamento jurídico europeu e exigirá diversas adequações nas empresas brasileiras.
A sociedade global está diante de uma mudança de paradigma de como as empresas lidam com os dados pessoais dos cidadãos e não faltam motivos para que o Brasil concentre suas atenções na matéria. O assunto é complexo e ainda provoca infinitas discussões, todavia, aqueles que mais rápido se inteirarem sobre o tema, mais rápido usufruirão das vantagens oferecidas àqueles que voltam seus olhares à proteção de dados pessoais e sua regulamentação.