Sign In

   

GDPR e proteção de dados pessoais: uma agenda também brasileira

28Mai2018May28,2018
Proteção de Dados e Cybersecurity; Telecomunicações
Jota

Por Thiago Luís Sombra

Mais importante para empresas brasileiras é entender o cenário regulatório e hipóteses de sujeição ao GDPR

Desde a entrada em vigor do Foreign Corruption Practice Act (FCPA), o mundo não conhecia uma lei com efeitos extraterritoriais tão amplos. Tanto quanto objetiva assegurar a proteção de direitos dos usuários da internet estabelecidos na União Europeia, o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, que entrará em vigor nesta sexta, dia 25 de maio, também revela uma subjacente disputa comercial entre Estados Unidos, Ásia e UE pelo fluxo de dados e comércio eletrônico global.

Muitas empresas brasileiras serão diretamente afetadas, por mais que realizem o tratamento de dados pessoais fora da União Europeia, mas ainda desconhecem os impactos da nova regulação, que tende a influenciar de forma decisiva os projetos de lei sobre proteção de dados pessoais em tramitação no Congresso Nacional (PL 5276, 4030 e PLS 330).

Mas o que desperta tanta preocupação com uma lei europeia e em especial para empresas brasileiras? O GDPR tem muitas disposições que guardam semelhança com a legislação anterior, a Diretiva 95/46, porém a grande distinção diz respeito ao valor das multas decorrentes da sua violação: até 4% do faturamento global da empresa ou € 20 milhões. Estima-se que boa parte das empresas europeias poderia ir à falência no cenário atual, caso incorram em alguma violação.

Em linhas gerais, o GDPR é uma norma geral de proteção de dados para toda a União Europeia, mas cada país membro terá a faculdade de dispor sobre determinados temas de acordo com as particularidades culturais e sociais, tal como ocorre na definição da idade mínima para o tratamento de dados de crianças. Embora exista alguma flexibilidade para as leis nacionais, o GDPR tem como objetivo harmonizar o cenário regulatório e empoderar as 28 autoridades de proteção de dados dos países membros. Até o Reino Unido estará sujeito à nova lei, na medida em que incorporou boa parte das suas disposições mesmo com o BREXIT.

O GDPR contempla 4 premissas básicas de aplicação. E aqui já é possível constatar que, além de proteger os direitos dos usuários, a norma tem também por escopo uma clara disputa comercial. Como primeiro foco, o GDPR se aplica ao tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um controlador ou de um processador situado no território da UE, independentemente de o tratamento ocorrer dentro ou fora da UE. Para esta primeira hipótese, o fator territorialidade tem um peso expressivo.

A segunda premissa de aplicação do GDPR está relacionada ao tratamento de dados pessoais quando estas atividades estejam relacionadas com a oferta de produtos ou serviços para titulares de dados residentes no território da UE, independentemente da exigência de pagamento.

A terceira premissa de aplicação diz respeito ao monitoramento de comportamentos de indivíduos, desde que estes comportamentos ocorram dentro do território da UE. Em grande medida, ferramentas como cookies são as principais responsáveis por estes monitoramentos de perfil do usuário. Esta talvez seja a premissa que mais claramente demonstra os outros propósitos do GDPR.

Por fim, a norma tem ainda um traço interessante da expressão do colonizador europeu, na medida em que o GDPR também se aplica ao tratamento de dados pessoais realizado por uma empresa não estabelecida na UE, mas localizada em algum lugar em que se aplique o direito de um Estado-Membro da EU por força do direito internacional público. Este é o exemplo de países colonizados por membros da União Europeia. Por este prisma, o GDPR poderia ser aplicado até em países africanos, por exemplo.

A localização dos servidores, o local de tratamento dos dados e volume de dados processados deixa de ser um fator preponderante para efeito de aplicação do GDPR, na medida em que as empresas estarão sujeitas à lei sempre que direcionem suas atividades a titulares localizados na União Europeia, por mais que o processamento ocorra fora do continente europeu.

O GDPR prevê 6 condições para o processamento de dados pessoais de usuários: o consentimento, a existência de uma relação contratual, uma obrigação legal, interesses vitais, interesses públicos e o legítimo interesse. A despeito da excessiva valorização do consentimento positivo, livre, específico, informado e inequívoco, o fato é que as demais condições de processamento autorizam as operações de processamento com as mesmas condições.

Se a obtenção do consentimento for inviável, ainda assim o tratamento é possível sob outras modalidades. O consentimento deve ser expresso e o uso de ferramentas de seleção opt-in deve ser a regra, de maneira que as escolhas não sejam pré-marcadas (opt-out), salvo se fundadas em relação jurídica anterior. Por esta razão, muitos dos e-mails que usuários tem recebido às vésperas da entrada em vigor do GDPR são desnecessários – afinal fundados em relação jurídica anterior com o usuário – ou incapazes de sanar a forma irregular pela qual os dados foram anteriormente obtidos.

Uma das maiores dificuldades a ser enfrentada em relação ao GDPR envolve a possibilidade de os indivíduos revogarem o consentimento a qualquer momento. As empresas devem adotar mecanismos de fácil compreensão para esse procedimento, salvo quando capazes de justificar a manutenção dos dados com base em outra salvaguarda (legítimo interesse, obrigação legal, interesse vital ou contrato). Além disso, as empresas devem ser capazes de comprovar a qualquer tempo o consentimento obtido dos usuários para os dados coletados e processados para uma determinada finalidade.

No tocante ao processamento de dados de criança, a idade será mínima será aumentada para 16 anos. Abaixo disso, o processamento de dados exigirá a autorização dos responsáveis. Cada jurisdição da UE poderá definir a idade mínima, desde que não fique abaixo dos 13 anos. Vale ressaltar que dados de crianças não se sujeitam à manutenção do armazenamento mesmo após o pedido de exclusão sob o argumento da existência de alguma salvaguarda.

O GDPR tem um enfoque interessante sob a perspectiva de fomento da novação e conciliação com a privacidade e proteção de dados pessoais. As empresas serão obrigadas a implementar em seus produtos a partir da criação medidas de proteção de dados que ampliem o poder de escolha do usuário (privacy by default) e também garantir que mecanismos de proteção adequados sejam incorporados às tecnologias ou produtos já existentes (privacy by design).

Um dos principais papéis a ser desempenhado sob a ótica do GDPR é o do controlador de dados, ou seja, a pessoa jurídica ou física responsável pelo tratamento de dados pessoais. Se por um lado os controladores, ou seja, aqueles responsáveis pelo tratamento de dados pessoais dos usuários terão uma responsabilidade maior, por outro lado os processadores, aqueles que processam dados em nome dos controladores, também deverão observar algumas obrigações. Um desses exemplos ocorre em relação ao processador de dados que empregue 250 ou mais pessoas, visto que deverá manter registros detalhados de suas atividades.

Outro relevante passo para a implementação de um modelo de corregulação eficiente foi a previsão da figura de um Data Protection Officer (DPO) para empresas responsáveis pelo processamento de um volume significativo de dados ou de dados sensíveis. A figura do DPO será responsável pela eliminação das constantes notificações feitas às autoridades reguladoras no modelo da Diretiva 95/46. O DPO será responsável por monitorar as atividades de processamento de dados, além de ser o ponto de contato com as autoridades reguladoras em casos de implementação de novas tecnologias após prévia análise de risco (Privacy Impact Assessment) e incidentes de vazamentos.

Um dos fatores de maior preocupação do GDPR envolve o prazo de notificação das autoridades reguladoras em casos de incidentes de vazamento de dados. O GDPR impõe que as empresas envolvidas devem realizar a notificação o mais rápido possível ou, no máximo, 72 horas após o incidente ser identificada. O cumprimento de um prazo tão exíguo em casos de incidentes de vazamento de dados de proporções transnacionais pode não ser factível. Mobilizar uma rede de investigação, apoio técnico-operacional e jurídico em várias jurisdições a ponto de responder dentro do prazo será um desafio. Por isso, construir uma rede de contatos será um passo importante para empresas transnacionais. Como primeira medida, o mais relevante é que as empresas sejam capazes de demonstrar que adotaram medidas para a identificação dos dados comprometidos, mitigação dos danos e aprimoramento de ferramentas de cibersegurança.

Com um mundo globalizado e sem fronteiras para o comércio eletrônico, as transferências internacionais se tornam o ponto de maior interesse do mercado. Isso porque as transferências de dados para países fora da UE somente poderão ser feitas após a Comissão da União Europeia identificar jurisdições que considera capazes de prover o mesmo nível de proteção adequada (adequacy). Na América do Sul, apenas Uruguai e Argentina são reconhecidos pela UE em razão do requisito da adequação. E embora tenham sido reconhecidos sob a égide da Diretiva 95/46, não se sabe se nos próximos 4 anos serão capazes de promover as adaptações necessárias para manter o reconhecimento.

O Brasil, por não ter um marco legal de proteção de dados e uma autoridade reguladora, não é reconhecido pela UE para permitir as transferências internacionais. Isso significa que as transferências para o Brasil somente poderão ocorrer mediante o (i) consentimento dos usuários, (ii) a celebração de contratos e cláusulas-padrão (model contracts ou model clauses), (iii) normas corporativas vinculantes (binding corporate rules) ou (iv) acordos e tratados bilaterais. As empresas brasileiras já começaram a receber uma avalanche de contratos de seus parceiros comerciais estabelecidos na UE para que também se comprometam a cumprir as suas disposições. É aqui que o GDPR ganha em capilaridade e profusão, uma vez que as redes contratuais irão propagar entre parceiros privados ao redor do mundo as obrigações sobre proteção de dados pessoais. Como a UE e os Estados Unidos negociaram um novo acordo de transferência de dados (privacy shield) para substituir o anterior, os americanos não devem enfrentar num primeiro momento maiores problemas, a despeito da perspectiva diversa com que tratam de temas de privacidade. Pela perspectiva americana, national cybersecurity vem à frente de privacidade.

Uma empresa com operações em várias jurisdições da União Europeia precisará identificar um estabelecimento principal, de modo a que um estabelecimento seja capaz de supervisionar suas atividades. Por outro lado, as empresas subsidiárias estarão sujeitas à autoridade reguladora de sua jurisdição, que estarão autorizadas a realizar auditorias.

Neste primeiro momento de entrada em vigor da lei, o mais importante para as empresas brasileiras é entender o cenário regulatório e as hipóteses de sujeição ao GDPR. Se efetivamente constatada a aplicação do GDPR, o passo seguinte será revisar as políticas corporativas e de incidentes de vazamento de dados em conjunto com os processos pelos quais se realiza a coleta, o tratamento e o armazenamento de dados pessoais. Além disso, cumpre sejam revistos os mecanismos de transferência de dados de dentro para fora da União Europeia e observada a necessidade de designação de um Data Protection Officer (DPO).

Ver notícias do escritório