Direito Digit@l

Como será o futuro dos negócios com a vigência do Regulamento Geral de Proteção de Dados Europeu?

Como será o futuro dos negócios com a vigência do Regulamento Geral de Proteção de Dados Europeu?

29/9/2017

Se há um tema que tem chamado a atenção das pessoas nos últimos tempos é a proteção de dados pessoais. É que no mundo atual, amplamente permeado pelo uso de tecnologias que dependem de dados, impera o vigilantismo como modelo de negócios, o que, de um lado, é excelente para um mais preciso direcionamento de produtos e serviços e, por outro, péssimo para a privacidade das pessoas. Justamente por isso tem se falado tanto na necessidade de regulamentação do uso de dados pessoais.

A existência de um regulamento para a proteção de dados pessoais poderia padronizar requisitos para o seu uso proporcional ao meio pelo qual foram coletados e, ainda, para atribuir as devidas responsabilidades para os casos de abuso ou negligência. Assim, pode-se dizer que os maiores benefícios que se pode obter com a edição de uma lei geral de proteção de dados são a segurança jurídica (vez que não temos uma lei específica para isso) e o equilíbrio de poder entre os titulares dos dados e aqueles que deles se utilizam (hoje a assimetria é evidente).

Neste contexto a Europa está sendo pioneira em estabelecer rígidas formas de proteção e responsabilização ao aprovar o Regulamento Geral de Proteção de Dados – RGPD – (2016/679, de 27 de abril de 2016) do Parlamento e do Conselho Europeu, que entrará em vigor a partir de maio de 2018.

Podemos apontar algumas das principais mudanças, indicando-as da seguinte forma:

a) Aplicabilidade extraterritorial. A jurisdição estendida do RGPD, que será aplicada para todos os que tratem dados de cidadãos europeus, independentemente da localização das empresas, é, sem dúvidas, a grande alteração. É que as normas anteriores eram ambíguas e restringiam-se ao contexto de um estabelecimento. O RGPD é muito claro ao determinar que será aplicado ao processamento de dados pessoais de cidadãos da União Europeia ainda que o tratamento de dados se dê fora do continente europeu. Além disso, empresas de outras localidades que processem dados de cidadãos europeus terão que nomear um representante na União Europeia.

b) Penalidades. As empresas poderão ser multadas em até 4% do faturamento global ou até vinte milhões de euros, o que for maior. As maiores punições serão aplicadas para os casos em que as empresas não tiverem obtido o consentimento adequado dos cidadãos ou em razão da violação da privacidade pelo design.

c) Consentimento. Os requisitos para a obtenção do consentimento foram detalhados, isto é, exige-se clareza, objetividade, acessibilidade e propósito/finalidade específicos. Deve ser tão fácil retirar o consentimento quanto dá-lo.

d) Notificações sobre vazamentos. As notificações de vazamentos de dados serão obrigatórias sempre que resultarem em risco para os direitos e liberdades individuais, o que deverá ser feito em até 72 horas do conhecimento do vazamento.

e) Direito de Acesso. É o direito de confirmar com os oficiais de cumprimento se há dados pessoais sendo tratados pela empresa, onde estão e qual o propósito. Uma cópia deles, sem qualquer custo ao solicitante, deve ser providenciada em formato digital quando requerida pelo titular dos dados.

f) "Direito" ao esquecimento. Também conhecido como "apagamento de dados" é o direito do titular de ver seus dados apagados, não mais compartilhados ou processados por terceiros todas as vezes que retirar o consentimento para isso ou quando os dados não mais forem relevantes para os motivos pelos quais foram inicialmente coletados. O interesse público na disponibilidade dos dados deverá ser considerado para o atendimento destas solicitações.

g) Portabilidade de dados. É o direito de portabilidade para os dados, isto é, o direito de pedir que sejam transferidos para o âmbito de controle de outro oficial de cumprimento.

h) Privacidade pelo design. É o conceito de que a privacidade deve ser pensada desde a concepção inicial do sistema de tratamento de dados e não implementada depois.

i) Oficiais de cumprimento / data privacy officers. Haverá requisitos internos de manutenção de registros, com obrigações mais específicas para os casos em que os oficiais de cumprimento lidarem com operações de processamento que exigem monitoramento regular e sistemático de pessoas em grande escala ou de especial categorias de dados ou dados relativos a condenações e ofensas criminais.

Cremos, assim, que o RGPD vai dificultar os modelos de negócios para as empresas europeias e norte-americanas, já que a gestão dos dados deverá ser mais complexa e cara. Pensamos que será um grande desafio para as empresas apresentarem-se como confiáveis para coletar dados pessoais. As que conseguirem o consentimento terão o caminho livre para usar dados de forma bastante importante para o desenvolvimento de produtos/serviços. As que não conseguirem o consentimento das pessoas certamente levarão mais tempo para o desenvolvimento dos negócios. Talvez até não consigam seguir com suas atividades.

Com o RGPD as empresas poderão ter acesso a dados compilados por outras, rivais, desde que os titulares autorizem a portabilidade, o que demandará melhores produtos/serviços e preços. Por outro lado, muitas bases de dados simplesmente não serão portáveis em face de incompatibilidade sistêmica. Será curioso ver como isso será resolvido. De qualquer forma, o incremento das medidas de segurança da informação parece ser algo com que as empresas passarão a se preocupar ainda mais.

Por outro lado, algumas empresas poderão se tornar verdadeiras guardiãs de dados pessoais, quase como uma "caixa forte", já que o RGPD permite que os dados pessoais sejam encaminhados para um só local seguro. Estas empresas poderão ser novas gigantes da tecnologia ao sugerir onde e quando os clientes poderão comprar e como pagar. Talvez até negociem dados massivamente, em nome dos titulares, com empresas de telefonia ou TV a cabo.

Manter os dados dos consumidores seguros está prestes a tornar-se mais caro e complexo. Fazer o mínimo exigido pode não ser suficiente para o sucesso dos negócios. Mas os que estiverem em conformidade poderão transitar por caminhos nunca antes pensados. O tempo dirá.

Veja mais no portal
cadastre-se, comente, saiba mais

Colunistas

Coriolano Aurélio de Almeida Camargo Santos é advogado e Presidente da Digital Law Academy. Ph.D., ocupa o cargo de Conselheiro Estadual da Ordem dos Advogados do Brasil, Seção São Paulo (OAB/SP), com mandatos entre 2013-2018 e 2022-2024. É membro da Comissão Nacional de Inteligência Artificial do Conselho Federal da OAB. Foi convidado pela Mesa do Congresso Nacional para criar e coordenar a comissão de Juristas que promoveu a audiência pública sobre a criação da Autoridade Nacional de Proteção de Dados, realizada em 24 de maio de 2019. Possui destacada carreira acadêmica, tendo atuado como professor convidado da Università Sapienza (Roma), IPBEJA (Portugal), Granada, Navarra e Universidade Complutense de Madrid (Espanha). Foi convidado pelo Supremo Tribunal Federal em duas ocasiões para discutir temas ligados ao Direito e à Tecnologia. Também atua como professor e coordenador do programa de Lei Geral de Proteção de Dados (LGPD) da Escola Superior de Advocacia Nacional do Conselho Federal é o órgão máximo na estrutura da Ordem dos Advogados do Brasil (CFOAB). Foi fundador e presidente da Comissão de Direito Digital e Compliance da OAB/SP (2005-2018). Atuou como Juiz do Tribunal de Impostos e Taxas de São Paulo (2005-2021) e fundou a Comissão do Contencioso Administrativo Tributário da OAB/SP em 2014. Na área de arbitragem, é membro da Câmara Empresarial de Arbitragem da FECOMERCIO, OAB/SP e da Câmara Arbitral Internacional de Paris. Foi membro do Conselho Jurídico da FIESP (2011-2020) e diretor do Departamento Jurídico da mesma entidade (2015-2022). Atualmente desempenha o papel de Diretor Jurídico do DEJUR do CIESP. Foi coordenador do Grupo de Estudos de Direito Digital da FIESP (2015/2020). Foi convidado e atuou como pesquisador junto ao Conselho Nacional de Justiça (CNJ), em 2010, para tratar da segurança física e digital de processos findos. Além disso, ocupou o cargo de Diretor Titular do Centro do Comércio da FECOMERCIO (2011-2017) e foi conselheiro do Conselho de Tecnologia da Informação e Comunicação da FECOMERCIO (2006-2010). Desde 2007, é membro do Conselho Superior de Direito da FecomercioSP. Atua como professor de pós-graduação da Universidade Presbiteriana Mackenzie desde 2007, nos cursos de Direito e Tecnologia, tendo lecionado no curso de Direito Digital da Fundação Getúlio Vargas, IMPACTA Tecnologia e no MBA em Direito Eletrônico da EPD. Ainda coordenou e fundou o Programa de Pós-Graduação em Direito Digital e Compliance do Ibmec/Damásio. É Mestre em Direito na Sociedade da Informação pela FMU (2007) e Doutor em Direito pela FADISP (2014). Lecionou na Escola de Magistrados da Justiça Federal da 3ª Região, Academia Nacional de Polícia Federal, Governo do Estado de São Paulo e Congresso Nacional, em eventos em parceria com o Departamento de Justiça dos Estados Unidos, INTERPOL e Conselho da Europa. Como parte de sua atuação internacional, é membro da International High Technology Crime Investigation Association (HTCIA) e integrou o Conselho Científico de Conferências de âmbito mundial (ICCyber), com o apoio e suporte da Diretoria Técnico-Científica do Departamento de Polícia Federal, Federal Bureau of Investigation (FBI/USA), Australian Federal Police (AFP) e Guarda Civil da Espanha. Além disso, foi professor convidado em instituições e empresas de grande porte, como Empresa Brasileira de Aeronáutica (EMBRAER), Banco Santander e Microsoft, bem como palestrou em eventos como Fenalaw/FGV.GRC-Meeting, entre outros. Foi professor colaborador da AMCHAM e SUCESU. Em sua atuação junto ao Conselho Nacional de Política Fazendária (CONFAZ), apresentou uma coletânea de pareceres colaborativos à ação governamental, alcançando resultados significativos com a publicação de Convênios e Atos COTEPE voltados para a segurança e integração nacional do sistema tributário e tecnológico. Também é autor do primeiro Internet-Book da OAB/SP, que aborda temas de tributação, direito eletrônico e sociedade da informação, e é colunista em Direito Digital, Inovação e Proteção de Dados do Portal Migalhas, entre outros. Em sua atuação prática, destaca-se nas áreas do Direito Digital, Inovação, Proteção de Dados, Tributário e Empresarial, com experiência jurídica desde 1988.

Leila Chevtchuk, eleita por aclamação pelos ministros do TST integrou o Conselho Consultivo da Escola Nacional de Formação e Aperfeiçoamento de Magistrados do Trabalho – ENAMAT. Em 2019 realizou visita técnico científica a INTERPOL em Lyon na França e EUROPOL em 2020 em Haia na Holanda. Desembargadora, desde 2010, foi Diretora da Escola Judicial do Tribunal Regional do Trabalho da 2ª região. Pela USP é especialista em transtornos mentais relacionados ao trabalho e em psicologia da saúde ocupacional. Formada em Direito pela USP. Pós-graduada pela Universidade de Lisboa, na área de Direito do Trabalho. Mestre em Relações do Trabalho pela PUC e doutorado na Universidade Autôno de Lisboa.