RGDPR: o que impacta essa nova legislação no Brasil
Entrou em vigor no último dia 25 de maio de 2018 o Regulamento Geral sobre Proteção de Dados, também conhecido pela sigla RGDPR – (General Data Protection Regulation) e que substituiu o código de 1995 e o código seguinte em matéria de proteção de dados pessoais do ano de 2003. O respectivo regulamento vem a ser o conjunto de regras sobre a proteção de guarda de dados, que é válido para todos os países que compõem o grupo europeu.Desta forma, uma vez que os Regulamentos da União Europeia se aplicam diretamente em todos os Estados-Membros, podemos afirmar que o RGPD prevalece sobre quaisquer leis nacionais.
O RGPD regula a proteção de dados pessoais, ou seja, dados respeitantes às pessoas físicas e constitui efetivamente o regramento ao modo como deve ser realizado o tratamento de dados de uma pessoa física, sendo suscetível de afetar não só as empresas, mas também qualquer pessoa física, organização, autoridade pública, agência ou outro organismo que proceda ao tratamento de dados de pessoas singulares baseados na União Europeia. Isto inclui fornecedores e outros terceiros a que a empresa recorra para o tratamento de dados pessoais.
A referida regulamentação também impacta de forma direta em todos os RGDPR: O QUE IMPACTA ESSA NOVA LEGISLAÇÃO NO BRASIL departamentos de inúmeras empresas em todo o mundo, visto que, algumas destas pessoas jurídicas poderão ter de contratar ou designar um funcionário para ser o encarregado da proteção de dados. Por certo, que a maior parte das empresas necessitarão implementar práticas atualizadas e salvaguardar as suplementares. Para tanto, recomendase a realização de uma auditoria por especialistas na área, para que as empresas possam enxergar de que forma se encontram neste novo momento técnico e legal.
Ao tratar da natureza dos dados, o RGDP os define como sendo aquelas sensíveis e que estejam sujeitos a condições específicas de tratamento, nomeadamente direitos e decisões automatizadas, a exemplo, dos biométricos, dos dados relativos à saúde e dados genéricos.
Neste sentido, preocupado com a dimensão destes dados, o regulamento determina a nomeação de um Encarregado de Proteção de Dados, o qual terá o papel de controlar os processos de segurança, visando garantir a proteção de dados da empresa em seu dia a dia, a realização de auditorias internas e a elaboração de uma política de tratamento de dados pessoais. Além da criação de procedimentos que garantam a proteção dos dados pessoais, a elaboração de POR ANA PAULA DE MORAES CIO - DIREITO DIGITAL REVISTA TI (NE) JUL/AGO 2018 37 comunicados sobre privacidade, a preparação de procedimentos de resposta a solicitações dos titulares dos dados e a manutenção da documentação apropriada como evidência de todo o processo, sendo certo que, esse Encarregado pode ser funcionário ou empresa terceirizada.
A regulamentação esclarece e determina, ainda, às empresas, que caso uma pessoa jurídica sofra qualquer tipo de vulnerabilidade na segurança tecnológica e que esse incidente resulte na exposição de dados pessoais por ela armazenados, ficam as mesmas obrigadas a notificar seus usuários e a autoridade nacional (órgão que atua como agência reguladora para questões de dados pessoais, comum na maior parte dos países que já possuem leis com o mesmo tema) em menos de 72h.
A exceção a esta regra de 72h só é aplicada nos casos em que o vazamento de dados ocorrido não coloque em risco os direitos e a liberdade das pessoas envolvidas. Caso às empresas descumpram a regra da notificação ou qualquer outra por ela determinada, é determinado pelo RGDP a aplicação pela autoridade nacional de multas que vão de 10 milhões de euros ou 2% do faturamento anual (dependendo do que for maior), até 20 milhões de euros, ou 4% do faturamento anual.
Quanto a sua aplicação, o RGDP é amplamente aplicado, incluindo todos os Estados-Membros da União Europeia, bem como o Reino Unido pós-Brexit em 2019, pois será incorporado na legislação deste país. Contrariando as regras de proteção de dados pessoais estabelecidas pela Diretiva 95/46/CE, o regulamento afeta também quaisquer empresas estabelecidas fora da UE que ofereçam bens ou serviços a pessoas singulares na UE ou que supervisionem o seu comportamento na UE.
Destaca-se que ao contrário do que muitos podem imaginar, o RGDP também é aplicado ao tratamento de dados pessoais de titulares residentes no território da União Europeia, estejam estes localizados fisicamente dentro ou fora da União, que venha a ser feito por alguém que não esteja localizado nela.
E se as atividades de tratamento estiverem relacionadas à oferta de bens ou serviços a esses titulares de dados pessoais, tais como, vendas online por meio de uma plataforma de e-commerce, direcionamento de anúncios publicitários veiculados em uma rede social, prestação de serviço de Cloud Computing e uma infinidade de atividades proporcionadas, sobretudo, por aplicações de Internet.
No Brasil, encontra-se em trâmite no Congresso Nacional o PL 5.276/2016 e PLS 330/2013, os quais ao que tudo indica, devem seguir as mesmas bases do RGDP, inclusive quanto à abrangência do conceito de dado pessoal, complementando o Marco Civil da Internet que não o define da forma que o regulamento o trata.
Uma coisa é certa: O RGDP alterará todo paradigma acerca do tratamento de dados pessoais feito por empresas ao redor do mundo, seja oferecendo produtos ou serviços, seja realizando monitoramento de usuários. Assim sendo, resta prioritário aos gestores jurídicos, de compliance e de TI, estarem antenados com o respectivo regulamento, visto que, o mesmo possui a aplicação de sanções e multas com valores expressivos e até suspensão de operações eletrônicas (via internet).
Por fim e não menos importante, devemos destacar que o RGDP é o instrumento que corresponde a mais dura reação contra à espionagem.
Ana Paula de Moraes é advogada especialista em direito digital e sócia fundadora do De Moraes Advocacia. Leia a revista