GDPR: O que é essa regulação criada na União Europeia? Vale para as empresas brasileiras?

Em colaboração com Fialdini Advogados

Quantas pessoas sabem, de fato, como seus dados pessoais são utilizados nas plataformas e aplicativos das empresas em que eles foram cadastrados? Você tem conhecimento se alguma empresa em que você cadastrou seus dados pessoais foi alvo de um vazamento massivo dessas informações? Essas questões, sobre a importância da proteção de dados, também vêm gerando discussões no mundo inteiro.

Neste sentido, a União Europeia, com o intuito de garantir a proteção de dados e transparência na utilização dessas informações, criou o General Data Protection Regulation – GDPR, um Regulamento com diversas normativas sobre como as empresas devem manusear dados, gerar transparência e comunicação. Ele revogará a Diretiva 95/46/CE, que apesar de ter um viés de proteção de dados também, não conseguiu evitar a insegurança jurídica, assim como a fragmentação da aplicação da proteção de dados pela União Europeia.

Destacamos alguns pontos importantes trazidos pelo GDPR, que entrará em vigor dia 25 de maio de 2018:

• será obrigatória a notificação da violação de dados pessoais ao órgão competente no período de 72 horas. Caso seja provável que essa violação resulte em elevado risco para os direitos e liberdades da pessoa, o titular dos dados violados deve ser informado sobre o ocorrido, devendo essa comunicação descrever a natureza da violação dos dados pessoais e dirigir recomendação ao titular para atenuar potenciais efeitos adversos;
• há previsão de “direito ao esquecimento”, de modo que alguns dados podem ser alvo de solicitação de esquecimento pelo titular, ou seja, esses titulares deverão ter o direito a que os seus dados pessoais sejam apagados, caso deixem de ser necessários para a finalidade para a qual foram recolhidos ou tratados ou desrespeitar o que é apresentado no GDPR. Este direito assume maior importância ainda se o titular dos dados era criança quando consentiu em fornecer os dados e não estava totalmente ciente dos riscos inerentes ao tratamento destas informações;
• o consentimento da utilização dos dados deverá ser realizado de forma objetiva, sendo que os termos e condições não mais poderão ser estruturados de forma extremamente longa e que não seja clara para o titular dos dados;
• se o tratamento dos dados for efetuado por uma autoridade ou um organismo público, exceto os tribunais no exercício da sua função jurisdicional; caso as operações de tratamento exijam do responsável um controle sistemático dos dados dos usuários em grande escala; bem como se a organização processa grandes volumes de dados pessoais dos usuários, deverá existir a figura do Data Protection Officer (oficial de proteção de dados), a fim de desenvolver o compliance para a proteção desses dados; e
• as sanções para descumprimentos do Regulamento poderão chegar ao valor de 20 milhões de Euros ou 4% do volume de negócios global da empresa.

Não só as empresas estabelecidas em território europeu terão que se adequar a essa realidade, todas aquelas empresas que lidam com dados de cidadãos da União Europeia terão que obedecer às obrigações estabelecidas no GDPR. O Facebook, por exemplo, já começou a realizar modificações diante do novo Regulamento, como a publicação de uma nova forma de aplicabilidade de suas políticas de privacidade e o anúncio de que outras mudanças neste sentido ocorrerão.

Artigo escrito pelo time de inteligência de mercado do Fialdini Advogados. Veja outros artigos sobre regulamentação do mercado fintech aqui.