O Regulamento Geral de Proteção de Dados da União Europeia (General Data Protection Regulation - GDPR) entrou em vigor no dia 25 de maio de 2018. Ele substituiu a diretiva atual em matéria de proteção de dados, de 1995, e implementou um sistema atualizado e modernizado de proteção de dados pessoais nos direitos de todos os países da toda a União Europeia - UE e do Espaço Econômico Europeu - EEE. Sua principal preocupação é proteger todos os cidadãos da UE de violações de privacidade e vazamento de dados em uma época em que a sociedade se depara com novas tecnologias, como a computação em nuvem, as redes sociais e o processamento de dados em uma escala sem precedentes. Também pretende estabelecer-se como uma nova referência internacional em relação à proteção de dados pessoais. Trazemos aqui as razões por que o GDPR pode afetar empresas até mesmo fora da UE, como no Brasil.
Princípios
Em linhas gerais, GDPR determina a proibição do processamento de dados, exceto mediante consentimento da pessoa em causa ou determinação legal. Todos os dados devem ser processados de maneira justa, legal e transparente. Os dados pessoais só devem ser coletados para finalidades específicas, explícitas e legítimas, e por isso devem ser adequados, pertinentes e não excessivos para essas finalidades. Nestas circunstâncias, qualquer dado deve ser guardado de maneira segura e apenas pelo tempo necessário e justificável. O GDPR torna o controlador de dados responsável em casos de vazamento de dados ou falha no cumprimento desses princípios fundamentais.
Transferências internacionais de dados
Novos princípios gerais de transferência de dados pessoais para o exterior são definidos no GDPR, pelo qual só se permite essa transferência se um nível adequado de proteção da privacidade de dados puder ser garantido no país de destino. Como a Comissão da UE nunca emitiu uma “Decisão de Adequação” para o Brasil, no entanto, uma empresa brasileira com um estabelecimento na UE só poderá transferir dados pessoais para o Brasil se salvaguardas adequadas forem estabelecidas, se adotar cláusulas contratuais padronizadas pela Comissão, ou se isso for necessário para o comprimento de um contrato ou por razões de interesse público. A transferência internacional de dados dentro de um mesmo grupo econômico pode ser feita de acordo com regras corporativas vinculativas que atendam aos requisitos estabelecidos no GDPR e sejam aprovadas pelas autoridades de proteção de dados competentes. Além disso, empresas de fora da Europa que processam os dados dos cidadãos da UE também terão de manter um representante na UE.
Efeitos sobre entidades estrangeiras
Uma grande novidade é o fato de o GDPR se aplicar a todas as entidades que processem dados de pessoas residentes na UE, independentemente da localização dessa entidade. Isso inclui o processamento de dados pessoais por um controlador ou processador de dados não estabelecido na UE, quando suas atividades incluírem a oferta de bens ou serviços a cidadãos da UE (independentemente de pagamento) ou o monitoramento de comportamentos que ocorram dentro da UE. Empresas estrangeiras sem presença física no território da UE podem recolher dados pertencentes a cidadãos da UE, em regra através da internet, e podem rastrear tais indivíduos também na internet, ou usar técnicas de processamento de dados para desenhar perfis dessas pessoas, de seus comportamentos ou de suas atitudes. Em geral, o GDPR não se aplica a sites estrangeiros, a menos que se considere que ofereçam bens ou serviços a cidadãos da UE, o que só pode ser verificado caso a caso. A mera acessibilidade do site não é suficiente para a aplicação do GDPR. No entanto, na presença de certos fatores, como o uso de línguas estrangeiras adotadas por cidadãos da UE, aceitação do euro ou de moeda de um Estado-membro, ou menção a clientes ou usuários de um Estado-membro, o GDPR pode ser aplicável.
É importante notar que as empresas brasileiras sujeitas ao GDPR - e até mesmo algumas empresas estrangeiras – podem também estar sujeitas ao Marco Civil da Internet no Brasil (lei 12.965/14 e decreto 8.771/16) se fornecerem serviços através da internet e pelo menos uma atividade de tratamento de dados, como sua coleta ou armazenamento, for realizada no Brasil. O GDPR concede uma maior gama de direitos que as poucas disposições de proteção de dados do Marco Civil da Internet e, em termos gerais, é compatível com esta legislação, mas a recíproca não é verdadeira. As empresas que adotarem os princípios do GDPR para todas as suas atividades, portanto, não deverão ter problema algum em cumprir com a lei brasileira.
Consequências
Organizações que violem o GDPR podem ser multadas em até 4% da receita anual mundial de seu grupo econômico ou 20 milhões de euros (o que for maior). Importante notar que suas regras se aplicam tanto aos controladores como aos processadores de dados – o que significa que serviços de nuvem não estarão isentos de cumprir o GDPR. Isso pode levar a um aumento significativo nos índices de punição pelos Estados membros da UE e consequentemente trazer grandes preocupações a respeito de compliance.
Quadro comparativo
_____________________________
*Karin Klempp Franco, Luiz Fernando Plastino Andrade e Lívia Cristina de Moraes Santos são advogados do escritório Barcellos Tucunduva Advogados.