Direito Digit@l

Uma visão geral da nova regulamentação de proteção aos dados pessoais na Europa – "General data protection regulation"

Os colunistas apresentam uma visão geral da nova regulamentação de proteção aos dados pessoais na Europa.

1/7/2016

Um tema que, sem sombra de dúvidas, é um dos mais importantes nos últimos tempos é a proteção aos dados pessoais. No atual estágio tecnológico parece mais do que claro a importância dos dados para os negócios. Não à toa muito se fala em análise de dados num contexto de "Big Data".

Assim, é fundamental que exista uma regulamentação sobre os dados pessoais justamente porque é preciso permitir que o cidadão tenha algum controle sobre como as suas informções são utilizadas pelas instituições, sejam elas públicas ou particulares.

A existência de uma lei de proteção aos dados pessoais objetiva padronizar requisitos a serem implementados para o adequado uso de dados pessoais e, também, para atribuir a devida responsabilidade em casos de mau uso. Nesta perspectiva é fundamental uma normatização sobre as finalidades de uso dos dados, sobre a necessidade de ambiente seguro e controlado e, provendo garantias ao cidadão de que será protagonista das decisões sobre o uso das suas próprias informações. Tais colocações podem até soar óbvias, mas o fato é que poucas pessoas, de fato, conhecem ou tem a oportunidade de conhecer a exato utilização de seus dados pessoais. Então, em resumo, a maior benesse que se pode ter com a edição de uma lei que proteja os tais dados é equilibrar a assimetria existente entre os titulares e dos que se utilizam dos dados. Sobre a importância do tema já tivemos a oportunidade de discorrer aqui na coluna.

Neste contexto e sob estas premissas é que, em abril, a europa aprovou a "General Data Protection Regulation" (GDPR) que, no entanto, só vigorará a partir de 2018 para que todos possam se organizar para cumprir suas normas.

As grandes empresas como o Facebook e o Google terão que se adaptar às novas normas caso desejem continuar prestando serviços em solo europeu. Embora as novas disposições não obriguem países não europeus, será muito mais plausível que as grandes empresas adotem, paulatinamente, melhorias em outros países. Além disso, sendo a União Europeia um importante bloco econômico, naturalmente, outros países tendem a se inspirar nas suas normas para a confecção de suas legislações. Aliás, esse é o caso do Brasil, cujo projeto de lei 5276/2016 é oriundo do anteprojeto elaborado pelo Ministério da Justiça e que foi claramente inspirado no modelo europeu.

Pode-se dizer que o GDPR focou nos principais grupos do mercado digital, grupos estes que se utilizam de inúmeras ferramentas para rastrear dados dos usuários sob o argumento de lhes prover uma "melhor experiência de navegação" que, em outras palavras, nada mais é que direcionamento mais preciso, segmentado, de produtos.

Quanto ao direito dos cidadãos, estes terão mais informações sobre como seus dados são processados, informação esta que deverá ser de fácil acesso e em linguagem que facilite a compreensão. Além disso, passou a considerar dados genéticos e biométricos como pessoais e, portanto, protegidos pelas normas do GDPR.

Há, ainda, a possibilidade de que os usuários se valham da portabilidade para transferir seus dados de um serviço para outro. Quanto a isso, ainda precisaremos aguardar para verificar a viabilidade técnica já que as empresas, muitas vezes, precisarão adaptar seus bancos de dados em razão de utilizarem padrões distintos. Essa norma parece ter poder de causar alguma dificuldade de cumprimento. Vamos aguardar para ver.

Sobre o direito ao esquecimento, hoje vigente na União Européia em decorrência do caso Mário Costeja X Google Spain julgado pelo Tribunal de Justiça Europeu, a nova normativa esclarece alguns pontos e aumenta seu escopo, além de positivá-lo.

Há, ainda, norma que declara o direito dos usuários saberem se seus dados foram "vazados" ou "hackeados" já que se previu a implementação do "data breach notification", isto é, a obrigação de comunicar o usuário sobre o vazamento para que ele possa tomar medidas que visem resguardar seus direitos (previsão contida no projeto de lei brasileiro mencionado e, ainda, em diversos estados norte-americanos).

Sobre o consentimento, este é fundamental na nova normativa porque exige o legítimo interesse para a utilização dos dados, ou seja, não se considera que eles são livremente concedidos para os prestadores dos serviços que os exigem (também previsto no projeto brasileiro).

Talvez o ponto mais importante seja o fato de que o GDPR criará um regime único para todos os países que integram a União Europeia, não se tratando de uma diretiva, mas de uma legislação que abrangerá todo o bloco. Evidentemente, essa uniformização favorece os usuários além de trazer segurança jurídica.

Além disso, o nível de algumas obrigações será proporcional ao risco envolvido na atividade de processamento de dados pessoais, o que é razoável sob a perspectiva da análise de risco e da proporcionalidade, evitando obrigações muito onerosas em situações de riscos menores (também previsto no projeto de lei brasileiro).

Importante previsão de direito é o do "privacy by design", ou seja, as medidas protetivas da privacidade e dos dados pessoais deverão ser inseridas nos equipamentos desde sua concepção (também previsto no projeto de lei brasileiro).

Não se deixou de prever pesadas multas para os casos de descumprimento, podendo as mesmas chegarem a vinte milhões de euros ou até quatro por cento do faturamento mundial da empresa (para algumas delas essa previsão poderá fazer com que as multas cheguem à casa dos bilhões).

Com tantos direitos para os cidadãos era esperado que também adviessem obrigações e responsabilidades. Há uma série de regras destinadas aos responsáveis pelo tratamento dos dados, o que inclui muito do que se mencionou acima, mas agora com vistas a quem coleta e processa os dados.

Por fim, no caso de transferência internacional de dados o GDPR exige que o país que receber os dados precisará conferir o mesmo nível de proteção, o que é salutar. A questão que se põe é: como isso será monitorado? Será algo de fiscalização factível? Ou bastará se verificar a existência de uma lei sobre o tema? Algo a ser conferido com o tempo...

O GDPR vem em boa hora e espera-se que seja um verdadeiro marco na proteção de dados pessoais. Quanto à lei brasileira, fiquemos de olho no andamento dos projetos de leis que tratam do tema, em especial o 5276/2016, que nos parece o de maior probabilidade de conversão em lei.

Veja mais no portal
cadastre-se, comente, saiba mais

Colunistas

Coriolano Aurélio de Almeida Camargo Santos é advogado e Presidente da Digital Law Academy. Ph.D., ocupa o cargo de Conselheiro Estadual da Ordem dos Advogados do Brasil, Seção São Paulo (OAB/SP), com mandatos entre 2013-2018 e 2022-2024. É membro da Comissão Nacional de Inteligência Artificial do Conselho Federal da OAB. Foi convidado pela Mesa do Congresso Nacional para criar e coordenar a comissão de Juristas que promoveu a audiência pública sobre a criação da Autoridade Nacional de Proteção de Dados, realizada em 24 de maio de 2019. Possui destacada carreira acadêmica, tendo atuado como professor convidado da Università Sapienza (Roma), IPBEJA (Portugal), Granada, Navarra e Universidade Complutense de Madrid (Espanha). Foi convidado pelo Supremo Tribunal Federal em duas ocasiões para discutir temas ligados ao Direito e à Tecnologia. Também atua como professor e coordenador do programa de Lei Geral de Proteção de Dados (LGPD) da Escola Superior de Advocacia Nacional do Conselho Federal é o órgão máximo na estrutura da Ordem dos Advogados do Brasil (CFOAB). Foi fundador e presidente da Comissão de Direito Digital e Compliance da OAB/SP (2005-2018). Atuou como Juiz do Tribunal de Impostos e Taxas de São Paulo (2005-2021) e fundou a Comissão do Contencioso Administrativo Tributário da OAB/SP em 2014. Na área de arbitragem, é membro da Câmara Empresarial de Arbitragem da FECOMERCIO, OAB/SP e da Câmara Arbitral Internacional de Paris. Foi membro do Conselho Jurídico da FIESP (2011-2020) e diretor do Departamento Jurídico da mesma entidade (2015-2022). Atualmente desempenha o papel de Diretor Jurídico do DEJUR do CIESP. Foi coordenador do Grupo de Estudos de Direito Digital da FIESP (2015/2020). Foi convidado e atuou como pesquisador junto ao Conselho Nacional de Justiça (CNJ), em 2010, para tratar da segurança física e digital de processos findos. Além disso, ocupou o cargo de Diretor Titular do Centro do Comércio da FECOMERCIO (2011-2017) e foi conselheiro do Conselho de Tecnologia da Informação e Comunicação da FECOMERCIO (2006-2010). Desde 2007, é membro do Conselho Superior de Direito da FecomercioSP. Atua como professor de pós-graduação da Universidade Presbiteriana Mackenzie desde 2007, nos cursos de Direito e Tecnologia, tendo lecionado no curso de Direito Digital da Fundação Getúlio Vargas, IMPACTA Tecnologia e no MBA em Direito Eletrônico da EPD. Ainda coordenou e fundou o Programa de Pós-Graduação em Direito Digital e Compliance do Ibmec/Damásio. É Mestre em Direito na Sociedade da Informação pela FMU (2007) e Doutor em Direito pela FADISP (2014). Lecionou na Escola de Magistrados da Justiça Federal da 3ª Região, Academia Nacional de Polícia Federal, Governo do Estado de São Paulo e Congresso Nacional, em eventos em parceria com o Departamento de Justiça dos Estados Unidos, INTERPOL e Conselho da Europa. Como parte de sua atuação internacional, é membro da International High Technology Crime Investigation Association (HTCIA) e integrou o Conselho Científico de Conferências de âmbito mundial (ICCyber), com o apoio e suporte da Diretoria Técnico-Científica do Departamento de Polícia Federal, Federal Bureau of Investigation (FBI/USA), Australian Federal Police (AFP) e Guarda Civil da Espanha. Além disso, foi professor convidado em instituições e empresas de grande porte, como Empresa Brasileira de Aeronáutica (EMBRAER), Banco Santander e Microsoft, bem como palestrou em eventos como Fenalaw/FGV.GRC-Meeting, entre outros. Foi professor colaborador da AMCHAM e SUCESU. Em sua atuação junto ao Conselho Nacional de Política Fazendária (CONFAZ), apresentou uma coletânea de pareceres colaborativos à ação governamental, alcançando resultados significativos com a publicação de Convênios e Atos COTEPE voltados para a segurança e integração nacional do sistema tributário e tecnológico. Também é autor do primeiro Internet-Book da OAB/SP, que aborda temas de tributação, direito eletrônico e sociedade da informação, e é colunista em Direito Digital, Inovação e Proteção de Dados do Portal Migalhas, entre outros. Em sua atuação prática, destaca-se nas áreas do Direito Digital, Inovação, Proteção de Dados, Tributário e Empresarial, com experiência jurídica desde 1988.

Leila Chevtchuk, eleita por aclamação pelos ministros do TST integrou o Conselho Consultivo da Escola Nacional de Formação e Aperfeiçoamento de Magistrados do Trabalho – ENAMAT. Em 2019 realizou visita técnico científica a INTERPOL em Lyon na França e EUROPOL em 2020 em Haia na Holanda. Desembargadora, desde 2010, foi Diretora da Escola Judicial do Tribunal Regional do Trabalho da 2ª região. Pela USP é especialista em transtornos mentais relacionados ao trabalho e em psicologia da saúde ocupacional. Formada em Direito pela USP. Pós-graduada pela Universidade de Lisboa, na área de Direito do Trabalho. Mestre em Relações do Trabalho pela PUC e doutorado na Universidade Autôno de Lisboa.