O General Data Protection Regulation (GDPR) é um novo diploma normativo da União Europeia (UE) que passou a vigorar em 25 de maio de 2018 e regulamenta a privacidade e o tratamento de dados pessoais, com o objetivo de otimizar a proteção de dados pessoais de cidadãos europeus, bem como regulamentar as obrigações de organizações que coletam e processam dados pessoais.

Foto: Ricardo Rotundo

Com efeito, o escopo territorial do GDPR é bem abrangente (art. 3), sendo aplicável às organizações fora da UE nas seguintes condições: (i) qualquer empresa que oferta produto e/ou serviço, pago ou gratuito, para pessoa natural dentro da UE; (ii) qualquer empresa que monitora o comportamento de pessoas que vivem na Europa.

Vale dizer: se uma empresa brasileira realiza o tratamento de dados pessoais de cidadãos da UE, mesmo operando fora do território europeu, o GDPR será aplicável à sua organização.

A empresa que estará sujeita ao GDPR deve notificar e deixar claro para todos os colaboradores de sua organização que as novas regras passaram a vigorar a partir do dia 25 de maio de 2018 e que devem ser integralmente observadas e respeitadas.

Todos os dados armazenados pela empresa devem ser documentados, bem como sua procedência e com quem tais dados são disponibilizados. Uma auditoria periódica de dados e processos é uma boa prática de governança.

Os Termos de Uso e as Políticas de Privacidade dos websites devem ser revistos, alterando-os de acordo com as diretrizes estipuladas pelo GDPR, visando o maior nível de segurança, controle e privacidade de dados possível.

Recomenda-se que a organização revise todos seus processos e procedimentos internos, de modo que os direitos dos usuários/clientes, conforme estipulados pelo GDPR, possam ser exigidos e atendidos a qualquer momento, especialmente no que diz respeito ao direito de portabilidade e à investigação de eventuais vazamentos de dados.

A empresa deve formalizar com sua base de usuários/clientes o consentimento de que determinadas informações serão armazenadas, utilizadas ou até compartilhadas, de acordo com as diretrizes do GDPR (art. 7) e da legislação vigente no Brasil, qual seja: Lei 13.709/2018 – comumente denominada Lei Geral de Proteção de Dados (LGPD).

É preciso verificar a idade e data de nascimento de cada usuário/cliente, a fim de determinar se será necessário exigir autorização dos pais em relação ao uso de dados do menor de idade (art. 8).

Um dos pontos trazidos pela regulamentação europeia é o Right to Erasure ou Right to be Forgotten; em tradução livre, direito de apagar, direito de ser esquecido ou, simplesmente, direito ao esquecimento. Em suma, o direito ao esquecimento garante ao usuário/cliente o direito de ser apagado de qualquer base de dados, mediante pedido encaminhado à empresa responsável e detentora dos dados (art. 17).

Outrossim, nos termos do art. 37 do GDPR, é necessário designar alguém para ocupar o cargo de encarregado de proteção de dados (também denominado data protection officer), para que a implementação de diretrizes se faça de maneira organizada e independente das demais áreas da empresa.

De acordo com o diploma europeu, multas serão majoradas pela autoridade supervisora, na medida do descumprimento. Em determinados casos, as organizações podem sofrer sanções de 10.000.000,00 € (dez milhões de euros) até 4% do seu faturamento, a depender da infração.

A possibilidade de majoração de multas desta magnitude acaba por abalar a indústria de tecnologia e aquelas organizações que lidam com dados. Por isso é de extrema importância que as empresas brasileiras, sujeitas ao GDPR, estejam em compliance com a nova regulamentação, bem como conscientes de suas obrigações perante as autoridades competentes, mormente pelo fato de que a adoção de Código de Ética e Conduta é atenuante de eventual penalidade (art. 83, 2, “j”).

×