GDPR: a lei europeia que pode afetar a sua empresa mesmo no Brasil
Atual entendimento da aplicação territorial da GDPR vs LGPD, e como operacionalizar este momento dentro das empresas brasileiras
terça-feira, 30 de março de 2021
Atualizado às 16:15
Estamos hoje numa era da UNIVERSALIZAÇÃO DA ECONOMIA e dos dados pessoais também!
Vou explicar: Nunca antes foi visto no planeta, uma PANDEMIA de dimensões iguais a essas em que estamos vivendo nos dias de hoje, com restrições de "ir e vir", comércio e demais serviços encerrados de forma propositada, para conter aglomerações de pessoas e com isso houve uma explosão do chamado e-commerce.
A pandemia do novo coronavírus trouxe diversos impactos para o mundo empresarial, o principal deles foi a obrigação da digitalização. Uma pesquisa realizada recentemente indica que, ao todo, foram efetuadas 24,5 milhões de compras online, um aumento de 98% em relação a abril de 2019.
Assim como a maioria dos setores, o mercado de varejo online está passando por um momento de profunda transformação e com ela, muitas lojas precisam aprimorar seus serviços digitais.
As empresas, principalmente com atuação na internet, como um e-commerce, cada vez mais coletam dados pessoais para personalizar a experiência dos usuários nos sites e converter em mais vendas. Tudo isso, sem mencionar que, agora, todas as organizações são unicamente responsáveis pelas informações que coletam, processam e compartilham.
Os e-commerces serão bastante afetados com a Lei Geral de Proteção de Dados (LGPD). As lojas online terão obrigatoriamente que mudar seus termos de uso e sua Política de Privacidade.
Mas você sabia, que além da adequação obrigatória à LGPD, se a sua empresa ofertar bens ou serviços, coletar dados pessoais de europeus, ou de pessoas localizadas na União Europeia, ela será obrigada a se adequar também à GDPR?
Não iremos discutir aqui as formas de coleta de dados e seus agentes de tratamento, apenas as obrigações da aplicação da GDPR no território Nacional Brasileiro.
Por exemplo, digamos que você possua um e-commerce de nicho (nicho de mercado) que comercialize produtos em nível global, inclusive, para os países da União Europeia, caso ocorra algum incidente, em que os dados pessoais de seus clientes sejam vazados, você precisaria seguir a regulamentação em questão e tomar as medidas cabíveis citadas pelo GDPR. Inclusive, você também estaria sujeito às sanções descritas no regulamento em caso de vazamento de dados.
Aprovada em meados de 2016 e aplicada em toda União Europeia, a GDPR é considerada uma das maiores referências de uma lei de proteção de dados no mundo e está vigente desde Maio de 2018.
A LGPD foi assumidamente baseada na GDPR!!
Em geral, a LGPD é muito parecida com a GDPR, mas a lei brasileira ainda possui lacunas e menos especificações do que sua base de inspiração, e por isso, existem alguns pontos de divergência aos quais precisamos nos atentar, de um modo geral.
A Lei Geral de Proteção de Dados, lei 13.709/18, apesar de vigente desde agosto de 2020, é extremamente recente no Brasil e por isso carece ainda ser analisada e bem entendida no dia a dia de cada empresa ou organização, pois são operacionalidades diferentes, em função dos dados coletados e da sua atividade. (Ex: Empresa privada ou pública, organização do terceiro setor, poder público ou órgãos do judiciário)
Como se dá este entendimento no Brasil, por dados coletados de pessoas estrangeiras, oriundas da União Europeia (EU)??
Uma das questões controversas nos dias de hoje, é em relação a quem seria protegido pelo GDPR, no âmbito da aplicação territorial (no Brasil), uma vez que se tem afirmado que os residentes da UE estariam contemplados.
Pois bem, após melhor entendimento e situações concretas da Operação de um DPO/ENCARREGADO, analisando o artigo 3º do Regulamento, este determina que as regras do GDPR (Regulamento Geral de Proteção de Dados Europeu) são aplicáveis ao tratamento de dados pessoais, efetuado no contexto das atividades de um estabelecimento, responsável pelo tratamento ou das atividades de um subcontratante, situado no território da União Europeia, independentemente de o tratamento ocorrer dentro ou fora da União. Mas afinal, quais seriam os limites da territorialidade?
Ocorre que, devido à própria natureza dos dados pessoais e sua capacidade de dispersão, o conceito de territorialidade é ampliado. Dessa forma, o GDPR será aplicável: a indivíduos, cidadãos europeus, ou não, que residem no território da União Europeia, mesmo quando estes não estejam localizados fisicamente na UE, (de passagem, à turismo, etc). Estes também estão sob a proteção do Regulamento, uma vez que usam serviços que podem coletar seus dados ou informações pessoais.
Vejamos situações como Hotéis (Turismo), plataforma de venda de ingressos relacionados a diversões e cultura, empresas aéreas (Transporte), organizações religiosas com locais de visitação por Fé e demais, que atendem pessoas nacionais e estrangeiras, afinal o Brasil é um Pais de elevado potencial turístico, de Norte a Sul do País.
A necessidade (obrigação) será garantir uma proteção ampla a todos os indivíduos que tiverem seus dados pessoais coletados (em território nacional), por empresas ou instituições que realizam a coleta, o armazenamento ou transferência de dados fazendo com que estas prestem contas, por imposição do Art. 3º do GDPR.
Fato é que o GDPR apresenta um escopo abrangente, que afetará a política de uso de muitas empresas, cujas bases encontram-se no território da UE (mesmo com sede no exterior), ou mesmo aquelas que recebam dados transferidos/ tratados destas. Portanto, empresas privadas ou públicas brasileiras, que possuem relacionamento com clientes, parceiros europeus, ou coletam dados de pessoas físicas com nacionalidade Europeia, terão que adequar-se ao GDPR, a fim de respeitar o novo Regulamento.
Caso isto seja descumprido, o GDPR prevê de maneira clara, a possibilidade de responsabilização daqueles que realizarem a coleta inadequadamente.
Não dá para dizer que a adequação será uma tarefa simples, pois exige mudanças complexas, no entanto, será muito benéfica para toda a sociedade, uma vez que busca transparência e ao mesmo tempo, segurança.
Ao usar os dados com disciplina, você cria benefícios tanto para seu negócio quanto para o consumidor.
Eduardo Oliveira
Professor Universitário, DPO, Auditor e Consultor em LGPD e COMPLIANCE, Perito Judicial do TJSP e Diretor de uma Agência de Inteligência.
Susana Guimarães
Advogada e DPO em LGPD.