CLIENT ALERTS

Compartilhe

Compartilhe

Aplicação do Regulamento Geral de Proteção de Dados Pessoais europeu a empresas brasileiras

Aplicação do Regulamento Geral de Proteção de Dados Pessoais europeu a empresas brasileiras

Aplicação do Regulamento Geral de Proteção de Dados Pessoais europeu a empresas brasileiras

mai.2018

Amanhã, dia 25/05/2018, entrará em vigor o Regulamento Geral de Proteção de Dados Pessoais (RGDP) da União Europeia (UE), que deverá ser observado por pessoas físicas e jurídicas que tratem, processem, usem, coletem, registrem, armazenem, transmitam e disponibilizem dados pessoais de indivíduos localizados na UE. O RGDP foca na atuação de dois agentes principais: “controllers” (pessoa física ou jurídica com poder para decidir quais dados pessoais serão processados e determinar o uso desses dados) e “processors” (executam as orientações de tratamento de dados fornecidas pelos “controllers”), e considera dados pessoais quaisquer dados capazes de identificar uma pessoa, ou a ela relacionados.

 O RGDP fixa as seguintes premissas básicas para o processamento de dados pessoais: (1) interesse legítimo na coleta e processamento dos dados, devendo ser exigido apenas o necessário à atividade; (2) consentimento expresso para o processamento de dados pessoais e total clareza e transparência quanto à forma de processamento, tendo o indivíduo o direito de acessar, corrigir informações e requerer a exclusão de seus dados; e (3) máxima proteção dos dados pessoais processados (seguindo essa orientação, os dados processados somente devem ser transferidos a terceiros caso estes adotem padrões de proteção equivalentes). Violação a esses preceitos e demais disposições do regulamento poderá ensejar a aplicação de sanções, como o pagamento de multas administrativas que, dependendo da gravidade da violação, podem chegar a 20 milhões de Euros ou 4% do faturamento mundial do grupo econômico no ano anterior, o que for maior, sem prejuízo da responsabilização pelas perdas e danos sofridas pelos indivíduos prejudicados pela violação e, eventualmente, responsabilização criminal, a depender da legislação aplicável.

 Tal como algumas outras normas com alcance extraterritorial (ex.: a lei anticorrupção norte-americana FCPA), o RGDP se aplica a pessoas físicas ou jurídicas, mesmo que não estabelecidas na União Europeia, que ofertem bens ou serviços na região. Em vista disso, empresas em todo mundo, inclusive no Brasil, principalmente aquelas que ofertam serviços ou bens via e-commerce ou outras plataformas eletrônicas, vêm adaptando as suas Políticas de Privacidade às disposições do RGDP.

 Sem prejuízo a tais adaptações, pessoas físicas e jurídicas brasileiras que estejam sujeitas ao RGDP deverão, ainda, indicar um representante localizado na UE para servir de referência e contato para autoridades governamentais e indivíduos que desejem tratar da coleta e processamento de dados pessoais. Além disso, dependendo das atividades exercidas (caso sua atividade principal seja o processamento de dados pessoais, ou caso a atividade demande o processamento de dados em larga escala, ou haja o processamento de dados pessoais de categoria especial, como etnia, orientação política, religião, dados genéticos e biométricos, orientação sexual, etc.), será ainda necessário indicar um diretor responsável por lidar internamente com o processamento de dados pessoais, o “Data Protection Officer”.

 É importante ressaltar que o atual Marco Civil da Internet brasileiro já conta com previsões em linha com o RGPD, exigindo a proteção de dados pessoais, a restrição do uso de tais dados, o consentimento expresso para a coleta e processamento de dados pessoais e transferência a terceiros, além do interesse legítimo para a coleta e a transparência na forma de proteção. A lei, no entanto, não se aprofunda no tratamento especial de dados mais sensíveis, como orientação política ou sexual, nem especifica os direitos de restrição ao processamento de dados pessoais. Nesse contexto, vale citar o projeto de lei PL nº 5.276/2016, inspirado no RGDP, que adota as mesmas premissas do regulamento europeu e institui procedimentos e medidas nele previstas, como a identificação de “controllers” e “processors” e de figura equivalente ao Data Protection Officer. Caso tais medidas sejam aprovadas, será recomendável a todas as empresas brasileiras que coletem e processem dados pessoais que alterem seus Termos de Uso e Política de Privacidade à luz das novas regras, para fins de compliance e mitigação do risco de sanções por descumprimento.

RJ (+55 21) 3993 3601 
Av. Rio Branco, 110 
24º andar 
Centro, Rio de Janeiro, RJ 
20040-001 

RJ (+55 21) 3747 1699
Rua da Quitanda, 86
2º andar
Centro, Rio de Janeiro
20091-902

SP (+55 11) 4550 2006
Rua Joaquim Floriano, 834
cj 123/124
Itaim Bibi, São Paulo, SP
04534-003

© 2018 Novotny Advogados