Como as empresas brasileiras são afetadas pela GDPR?
A GDPR diz respeito às suas normas quanto aos processadores e controladores de dados de usuários. As organizações, controladoras ou processadoras que estão estabelecidas na União Europeia estão sujeitas às aplicações da GDPR, independentemente se o controle ou processo está ou não dentro da União.
Similarmente, as organizações, controladoras ou processadoras, que residem fora da União Europeia, mas que oferecem serviços e mercadorias para a União ou para seus cidadãos, também estão sujeitas às aplicações da GDPR. Esse é o caso de muitas indústrias brasileiras que exportam produtos para a Europa.
Além das indústrias, outras empresas também serão afetadas, das pequenas até as grandes. Vendas onlines de produtos para a Europa, transações bancárias, anúncios publicitários em sites europeus, prestação de serviços aos cidadãos, aluguel de infraestruturas como computação em nuvem e hospedagem de sites são alguns exemplos de negócios que são afetados pela GDPR.
O que fazer para se adequar?
É importante se preparar para que as mudanças políticas sejam baseadas em estruturas de responsabilização e regras transparentes que assegurem a integridade das pessoas envolvidas, em caso de vazamento de informação.
Para atender às exigências do GDPR é preciso seguir algumas dicas importantes de adequação. São elas:
- Identificação dos dados: os dados pessoais, de clientes e funcionários, devem ser identificados em todos os locais de dados de acesso à empresa;
- automatização de políticas de dados: dados padrão de segurança, como controle de acesso, segurança, criptografia, retenção e políticas de privacidade devem ser automatizadas como um tratamento especial de informação;
- criação de processos de remoção de dados: os dados pessoais, de clientes e funcionários, devem ser passíveis de remoção em todas as fontes de dados disponibilizadas pela empresa, como banco de dados, redes sociais, sites corporativos etc;
- detecção de dados desnecessários: dados duplicados ou em excesso a respeito de usuários e funcionários devem ser eliminados;
- realização de auditoria de dados: os dados devem ser passíveis de serem auditados e conferidos, seja pela própria empresa ou por terceiros;
- compreensão de risco: análise de riscos de vazamentos e análise acelerada de causas e motivos em caso de vazamentos de dados de usuários.
É de extrema importância que as empresas afetadas pela GDPR se adequem à legislação. As multas pelo descumprimento são pesadas: até 20 milhões de euros. Em caso de organizações, até 4% do volume anual de negócios. Das duas opções, é aplicado o valor mais alto.
Depois de a União Europeia aprovar a GDPR, lei de proteção de dados pessoais, outros países começaram a se movimentar para criar suas próprias legislações voltadas à privacidade. Foi o caso do Brasil, que no ano passado aprovou a LGPD – Lei Geral de Proteção de Dados. Agora, os Estados Unidos estão discutindo algo similar.
Como os Estados Unidos ainda não possuem diretrizes federais para a proteção de dados, a nova lei criaria um marco regulatório para a coleta, tratamento e uso de dados pessoais no país inteiro. Há controvérsias sobre o modelo da legislação, pela atribuição ao FTC e por retirar autonomia dos estados. Ainda assim, é um dos primeiros passos dos legisladores americanos na tentativa de regulamentação das empresas de tecnologia.
A Argentina, que tem leis de proteção de dados pessoais em vigor desde 1994, está à frente dos países da região. Na verdade, segundo a Comissão Europeia, a Argentina e o Uruguai são os dois únicos países da América Latina com níveis adequados de proteção de dados pessoais; porém, com a GDPR, até mesmo seus regulamentos atuais podem estar sujeitos a mudanças. A legislação atual da Argentina protege os dados pessoais armazenados em todas as plataformas de processamento públicas ou privadas. Além disso, os cidadãos têm acesso às suas informações em bancos de dados públicos.
O México é o próximo da lista, tendo aprovado em 2010 a Lei Federal Mexicana de Proteção de Dados Pessoais em Poder de Particulares, ou mais conhecida como Lei Federal de Proteção de Dados. A preocupação do país com a proteção de dados também levou à criação do Instituto Nacional de Transparência, Acesso à Informação e Proteção de Dados Pessoais (INAI), uma entidade autônoma que protege dados pessoais manipulados por indivíduos e pelo governo federal e promove os direitos de privacidade das pessoas.
Na Colômbia, a Autoridade Colombiana de Proteção de Dados utiliza um regulamento que exige que todos os bancos de dados sejam registrados no Registro Nacional de Bancos de Dados. A atual legislação colombiana inclui a proteção dos direitos dos usuários, a criação de obrigações para quem coleta e gerencia dados, a regulamentação da proteção de dados pessoais financeiros e de crédito e o controle do Registro Nacional de Bancos de Dados.
No 15º Encontro Ibero-Americano de Proteção de Dados, organizado pela Rede Ibero-Americana de Autoridades de Proteção de Dados e pelo Conselho de Transparência do Chile, realizado nos dias 19 a 23 de junho de 2017, foram aprovadas as Normas de Proteção de Dados para os Estados Ibero-Americanos. Na reunião, o Chile também anunciou que planeja atualizar suas leis de Proteção de Dados Pessoais, criadas em 1999, para atender aos padrões da Organização para a Cooperação e Desenvolvimento Econômico (OCDE). O país está usando os regulamentos europeus além da GDPR como modelos para a criação da Agência de Proteção de Dados Pessoais do Chile.
O Peru criou sua legislação de proteção de dados em 2011, que concede autoridade e acesso transparente às informações públicas, fortalecendo a proteção de dados pessoais. A estrutura de proteção de dados pessoais do Peru tem como foco proteger os direitos dos sujeitos e garantir o cumprimento das obrigações das empresas de processamento de dados.
A Costa Rica tem a Lei Geral de Proteção de Dados Pessoais, que garante a todas as pessoas seus direitos fundamentais, como autodeterminação, defesa de liberdades e igualdade, em relação a qualquer processamento de dados relacionados a elas ou a seus ativos.
Nos últimos anos, o Panamá tomou medidas legislativas significativas para regulamentar a proteção de dados eletrônicos e o comércio eletrônico. A Autoridade Nacional do Panamá de Transparência e Acesso às Informações publicou a Lei de Proteção de Dados Pessoais em setembro de 2016. Porém, conforme indicou o caso dos documentos confidenciais do Panamá que foram revelados em 2016 (Panama Papers), ainda há muito trabalho a ser feito.
Com os dados se tornando um dos ativos mais valiosos do mundo atual e com riscos de cibersegurança cada vez maiores, a proteção de dados continua exigindo a nossa atenção. Com a atividade cibercriminosa aumentando em escala global, envolvendo alto custo e problemas de reputação da vítima de violação de dados, a proteção de dados se tornou rapidamente uma necessidade. A escala e a frequência das violações de dados que ocorrem atualmente são alarmantes. Mais do que nunca, a cibersegurança não pode ser postergada, pois exige planejamento, pessoas e processos, além de tecnologias de segurança adaptáveis, desenvolvidas para garantir expansão dinâmica das redes digitais atuais, visualização e coordenação de toda a rede distribuída e resposta automática como um sistema de defesa proativo para lidar com as ciberameaças avançadas.
Referências Bibliográficas
ALVES, Marcelo de Camilo Tavares. Direito Digital. Goiânia, 2009.
BLUM, Renato Opice (Coord.). Direito Eletrônico. Bauru, SP, 2001.
CORRÊA, Gustavo Testa. Aspectos Jurídicos da internet. Saraiva, São Paulo, 2000.
KAMINSKI, Omar (Org.). Internet legal: o direito na tecnologia da informação. 1. ed. 4. tiragem. Curitiba, Juruá, 2006.
PINHEIRO, Patricia Peck. Direito Digital. 4. Ed. São Paulo. Saraiva, 2010.
