Nos últimos anos, notícias sobre o uso indevido de dados pessoais por parte de algumas empresas, especialmente redes sociais, e de vazamento de informações sem qualquer aviso aos titulares desses dados já vinham sendo um indício de que era preciso regular o uso dos dados pessoais coletados na internet, a fim de respeitar a privacidade dos cidadãos. Em consonância com essa necessidade, a União Europeia iniciou, em 2012, os estudos para a elaboração de uma regulação para essas atividades para o bloco. O projeto foi aprovado em 2016 e, em 2018, entrou em vigor. Trata-se do General Data Protection Regulation (GDPR), chamado de Regulação Geral de Proteção de Dados em português.
Com o objetivo de esclarecer os principais questionamentos existentes sobre GDPR, nossos advogados especialistas em Direito Digital elaboraram o presente artigo. Confira!
O que é GDPR?
Como ressaltado, GDPR é a sigla para General Data Protection Regulation, a Regulação Geral de Proteção de Dados da União Europeia, que entrou em vigor em 2018 e ofereceu um período de 2 anos de adaptação pelas empresas.
A principal finalidade dessa regulação é garantir a privacidade das informações pessoais coletadas pelas organizações e o direito do cidadão de ter ciência de quais dados a seu respeito estão em poder dessas organizações. A lei visa, ainda, garantir o direito dos cidadãos de pedir que essas informações sejam eliminadas.
Deve se ajustar à legislação europeia, sob pena de pagamento de multa, qualquer empresa que colete dados de cidadãos europeus. Isso significa que não importa de onde é a empresa, mas, sim, se ela atende ou não algum cidadão com residência em qualquer país do bloco europeu.
Além disso, não importa a que título essa relação se dá — oneroso ou gratuito —, seja prestador de serviço, rede social, companhia de marketing ou varejista. A aplicação da norma também independe do porte da empresa.
Quais são as principais obrigações previstas na GDPR?
Com a entrada em vigor da GDPR, as empresas já devem estar preparadas para o cumprimento das obrigações nela impostas. Entre as mais importantes, destacamos algumas.
Exigência de um DPO
As empresas devem eleger um Data Protection Officer (DPO), executivo responsável por supervisionar o tratamento de dados pessoais, gerenciar as requisições, garantir que os processos estejam em compliance com as exigências da GDPR, se comunicar com as autoridades sempre que necessário e prestar os esclarecimentos solicitados pelo público.
Consentimento do usuário
Outra obrigação imposta à empresa é a necessidade de consentimento do usuário para a coleta dos seus dados pessoais, bem como o esclarecimento sobre a finalidade para a qual os dados serão usados. Para isso, ela deve se valer de linguagem inteligível, transparente e facilmente acessível para se comunicar com os cidadãos.
Acesso aos dados pelo usuário
A empresa deve, ainda, oferecer meios ao usuário de acessar os dados que se encontram sob seu poder, de solicitar a migração de seus dados para outra companhia e de requerer a exclusão de suas informações pessoais e o interrompimento da coleta dos dados.
Além de a empresa garantir meios para que o usuário faça essas solicitações, ela deve respeitar a vontade do titular do dado e cumprir com a determinação recebida.
A proteção dos dados deve ser uma preocupação desde o início da formação do sistema. A proteção de dados dos usuários precisa ser tratada com o mesmo cuidado que a empresa protege seus próprios dados. Trata-se de respeito aos clientes e da preservação de uma boa imagem da instituição perante o público.
Mesmo tomando todos os cuidados necessários, caso a empresa seja vítima de algum ataque cibernético — como invasão a seu sistema, vazamento de dados ou qualquer incidente que coloque os dados coletados em risco —, ela deve notificar a autoridade europeia em até 72 horas após a sua detecção. Além da comunicação aos órgãos oficiais, a organização deve apresentar, ainda, um plano de ação voltado para mitigar o problema ou, no mínimo, reduzir seus impactos na vida das pessoas envolvidas.
Apesar de não ser uma obrigação, existe, ainda, uma recomendação para que as companhias adotem a pseudonimização. Trata-se de uma forma de proteção de dados por meio da ocultação ou substituição de determinadas informações que possam identificar o usuário.
O descumprimento dessas e de outras obrigações previstas na GDPR pode implicar multa de até 20 milhões de euros ou no valor equivalente a 4% do último faturamento anual da companhia — o que for mais alto. A finalidade da GDPR, portanto, é fazer com que as empresas adotem as medidas de proteção necessárias, assumindo essa responsabilidade perante seus usuários.
Como a GDPR afeta o Brasil?
Embora se trate de uma legislação internacional, ela obriga toda e qualquer empresa que armazene, colete ou processe dados de cidadãos que residam em algum país da União Europeia, independentemente de onde seja a sua sede. Isso se aplica, consequentemente, às empresas brasileiras que se encaixam nessa descrição.
Assim, se uma empresa brasileira de marketing digital, por exemplo, que presta serviços para alguém que reside em qualquer país da União Europeia, precisa se adaptar a essas exigências, sob pena de ser condenada ao pagamento de multa ou outra sanção.
Empresas multinacionais, como de redes sociais e serviços de streaming, que adotaram as exigências da GDPR o fizeram para todos os seus usuários, e não apenas para os europeus. Por essa razão, muitas pessoas residentes no Brasil receberam e-mails para autorizar o uso de seus dados. Isso pode se dever tanto a uma questão prática, já que é mais fácil adotar um único sistema para todos, quanto à adoção de uma nova política de proteção.
Nesse sentido, essa também é uma oportunidade para as empresas brasileiras que coletam dados de cidadãos do bloco europeu adotarem as práticas de proteção de dados também para seus clientes nacionais. Além de respeito aos clientes, é uma forma de se antecipar às obrigações da Lei Geral de Proteção de Dados (LGPD) do Brasil. Publicada em agosto de 2018, a nova lei entra em vigor em 2020.
Conclusão
Como vimos, a GDPR objetiva dar maior segurança para os indivíduos da União Europeia que têm seus dados coletados por organizações. A adequação à essa norma é, portanto, obrigatória para todas as empresas que possuem clientes europeus, independentemente da localização de sua sede.
Ficou alguma dúvida? Precisa do auxílio de um advogado especialista? Entre em contato com nosso escritório de advocacia!