O QUE É GDPR?
GDPR significa Regulamentação Geral de Proteção de Dados, conjunto de regras que trazem restrições de como as empresas têm que tratar os dados de seus usuários. Aumenta o controle do público sobre quem tem acesso às informações e como elas são utilizadas.
O principal objetivo do GDPR é a proteção de dados pessoais face às novas tecnologias, assegurando a livre circulação desses dados, e, ao mesmo tempo, a transparência por parte dos responsáveis pelo tratamento de dados pessoais e controle das pessoas sobre as suas informações.
As mudanças se aplicam a todas as organizações. Desse modo, restaurantes, varejistas, companhias aéreas e outras empresas que normalmente não consideramos que tenham grandes quantidades de dados precisam cumprir a nova lei.
COMO SURGIU O GDPR?
Surgiu na Europa, como Regulamento Geral de Proteção de Dados da União Europeia (General Data Protection Regulation ou GDPR), em substituição a Diretiva 95/46/EC, escrita na década de 1990, momento ainda incipiente de internet, em que diversos conceitos – como big data, computação em nuvem, marketing comportamental, aplicativos e redes sociais – ainda não existiam e teve sua entrada em vigor na comunidade europeia, neste ano, em 25 de maio de 2018.
O GDPR foi desenvolvido visando à harmonização das leis de proteção de dados dos países da União Europeia, sendo vinculativo e aplicável a todos os Estados-Membros.
Em relação ao Brasil, no último dia 10 de julho foi aprovado pelo plenário do Senado Federal o Projeto de Lei 53 de 2018 da Câmara dos Deputados, que disciplina a proteção de dados pessoais.
O projeto de lei de proteção de dados segue agora para apreciação da Presidência da República, que terá 15 dias úteis para sancioná-lo, vetá-lo integralmente ou vetá-lo parcialmente.
A QUEM SE DESTINA A LEI DE GDPR?
São sujeitos ao PL 53/2018 qualquer pessoa, física ou jurídica, privada ou pública, aplicando-se a qualquer tratamento de dados que tenha como objetivo a oferta ou fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no Brasil, ou que seja realizado com dados pessoais que tenham sido coletados no Brasil. Ou seja, redes sociais, sites de compras e até recepções de prédios terão de atender o PL.
RESUMO DAS REGRAS DO GDPR
Em linhas gerais, os principais termos do pacote de regras são:
• Direito de saber quais dados uma determinada empresa tem sobre você e para que eles serão usados;
• Direito de ser informado se os dados são compartilhados com grupos externos;
• Direito para acessar os dados e levá-los para outro lugar, função também conhecida como portabilidade de dados;
• Direito de, em algumas ocasiões, ter seus dados apagados;
• Além disso, uma liminar pode estipular que as empresas têm que notificar os usuários sobre a violação de dados dentro de 72 horas após a descoberto do problema;
• É necessário que algumas companhias nomeiem quem será o diretor de proteção de dados (DPO);
O QUE ACONTECE SE AS EMPRESAS NÃO SEGUIREM AS REGRAS?
As penalidades contemplam desde advertências escritas até multas milionárias, dependendo da infração cometida. Para as ofensas mais graves, na Europa as organizações podem ser obrigadas a pagar até 20 milhões de euros ou 4% de sua receita total, o que for maior.
No Brasil o PL 53/2018, prevê multa simples ou diária no valor de 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, tendo como base seu último exercício fiscal, excluído os tributos, sendo a multa limitada em R$ 50.000.000,00 por infração
Na maioria dos casos serão advertências mais leves, mas que também podem potencialmente fazer uma empresa menor fechar as portas.
QUAIS CUIDADOS DEVO TER COM O GDPR?
Solicitar autorizações expressas para cada tipo de informação coletada, indicando como serão utilizadas e tratadas.
O PL53/2018 estabelece que dados pessoais somente podem ser armazenados e tratados (i) mediante a autorização e consentimento do titular das informações; (ii) para cumprimento de obrigação legal ou regulatória pelo controlador; (iii) pela administração pública, para tratamento de dados necessários a políticas públicas; (iv) para realização de estudos por órgãos de pesquisa, sendo garantida a anonimização dos dados; (v) quando necessário para a execução de contrato; (vi) exercício regular de direitos em processo judicial, administrativo ou arbitral; (vii) para a proteção da vida ou incolumidade física do titular ou terceiros; (viii) para a tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; (ix) interesses legítimos do controlador ou de terceiro; e (x) proteção ao crédito.
Segundo o PL 53/2018, são direitos do titular, mediante requisição: (i) a confirmação de existência de tratamento; (ii) o acesso aos dados; (iii) a correção de dados incompletos, inexatos ou desatualizados; (iv) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a Lei; (v) portabilidade dos dados pessoais a outro fornecedor; (vi) eliminação dos dados pessoais tratados com o consentimento do titular; (vii) informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; (viii) informação sobre a possibilidade de não fornecer o consentimento e sobre as consequências da negativa; (ix) revogação do consentimento concedido previamente; e (x) requerer a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetam seus interesses.
Ainda, o PL estipula que as pessoas e empresas que armazenem e tratem dados divulguem de modo claro e objetivo as informações que serão coletadas e solicitem uma autorização e consentimento expresso do titular das informações.
Deste modo, autorizações genéricas garantidas através de termos gerais, como praticado hoje em dia, seriam considerados inválidas.
O QUE É O DPO NAS NORMAS DO GPDR?
O DPO (Data Protection Officer, ou Encarregado da Proteção de Dados, em português) será uma figura importante nas empresas e de grande responsabilidade, pois terá a obrigatoriedade de atuar como o canal de comunicação perante os usuários titulares dos dados pessoais e autoridades governamentais controladoras, e de forma geral, prestar assistência sobre as práticas de tratamento de dados pessoais, bem como, verificar se estas estão em conformidade com o GDPR e qualquer outra legislação que vier a entrar em vigor.
QUANDO A EMPRESA DEVE ESTAR PREPARADA?
Se sua empresa apenas tem operações no Brasil, caso sancionado ou vetado parcialmente, o PL53/2018 entrará em vigor decorridos 18 meses da data de sua publicação oficial, possivelmente em 2020.
Neste meio tempo, todos aqueles sujeitos ao PL deverão adequar seus processos internos de acordo com a nova regulamentação.
De todo o modo, se a empresa possui relações com a união Européia, as adequações são urgentes, pois as normas da GDPR entraram em vigor e 25 de maio de 2018.
Referências:
https://blog.idwall.co/2018/07/19/lei-de-protecao-de-dados/
https://www12.senado.leg.br/noticias/videos/2018/07/protecao-de-dados-pessoais-veja-como-deve-ser-coletada-e-tratada-uma-informacao
https://www25.senado.leg.br/web/atividade/materias/-/materia/133486
