Venho me fazendo esta pergunta há pelo menos um ano, preocupada com a proximidade da entrada em vigor, em 25/05/18, do novo Regulamento Geral de Proteção de Dados (679/2016), conhecido como GDPR, acrônimo, em inglês, para General Data Protection Regulation. Desde a aprovação do novo Regulamento, em 27/04/16, os 28 países que compõem a União Europeia vêm envidando esforços para bem compreender e corretamente adequar suas políticas e sistemas no que se refere ao processamento de dados pessoais. A comunidade acadêmica mobilizou-se nesse sentido, empresas de tecnologia desenvolveram novos sistemas e criaram novos negócios, e o que, entretanto, não afastou o temor dos empresários europeus quanto às gravíssimas consequências que podem advir do não cumprimento das normas e dos princípios integrantes do Regulamento.
No Brasil, inobstante o expressivo crescimento da internacionalização das empresas, seja na forma de subsidiárias, seja na forma de franquias, não se constata, ainda, similar preocupação, muito embora o Regulamento destine-se a todas as empresas, em que lugar do mundo estejam, que processem dados pessoais de cidadãos europeus por força de oferecimento de bens e de serviços.
Mas, afinal, no que consiste o GDPR? O Novo Regulamento, que foi aprovado pelo Parlamento Europeu e pelo Conselho, assenta-se em 173 consideranda que constituem a base normativa e principiológica que ensejou a necessidade de fortalecimento do regramento atinente ao uso e processamento de dados pessoais. É relevante anotar que, já no item 1, estabeleceu-se que “a proteção das pessoas singulares relativamente ao tratamento de dados pessoais é um direito fundamental”.
O Regulamento, em seu art. 4º, é bastante minucioso no que se refere à definição de cada qual dos conceitos descritos ao longo do texto, entendendo-se desde logo como “dados pessoais”, conforme está no item 1, qualquer informação relativa a uma pessoa identificada ou identificável. “É considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrônica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa singular”. Deve ser anotado que, ao lado deste rol não exaustivo de exemplos, alinham-se igualmente os chamados “dados sensíveis”, que guardam relação com informações pessoais relativas a etnia, religião, condições de saúde, informações biométricas, orientação política e sexual, dentre outras.
O tratamento de dados, por seu turno, pode ser definido como “uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição”, na forma do quanto disposto no item 2 do art. 4.
Pois bem. Colocados esses elementos essenciais e sem descer ao detalhamento conceitual estabelecido pelo Regulamento, a relevância que se extrai tão somente destas duas definições é que a violação do regramento no que se refere ao tratamento de dados pessoais implica na imposição de multa que parte da cifra de 20 milhões de euros, podendo chegar a 4% do volume de negócios anual, se tal resultado for superior àquele montante, conforme preconizado no art. 83.
Mas não é só. À infringência do regramento atinente às operações de dados pessoais soma-se uma outra situação, que diz respeito à própria segurança destes dados, de modo que ataques cibernéticos ou vazamentos que exponham os dados protegidos são capazes de ensejar as mesmas consequências.
Sendo assim, é evidente que as empresas que mantêm clientes em território europeu devem, para minorar os riscos decorrentes do não cumprimento integral do Regulamento, implementar as políticas adequadas, anotando-se aqui, que, para os fins do GDPR, é irrelevante que o tratamento de dados ocorra fora do território da União Europeia, conforme preconizado pelo art. 3. item 1.
Há diversos passos a serem seguidos e que percorrem os tópicos da implementação de estratégias e de programa de privacidade e proteção, estruturação de equipe de governança, designação de encarregado de proteção de dados (DPO – Data Protection Officer) e alocação de recursos para esses fins.
Aparentemente, trata-se de complexa tarefa e, por essa razão, crê-se que a resistência à alteração das políticas internas e sua postergação sejam naturais. De todo modo, além da obrigação de caráter mandatório do Regulamento, quer-se crer que as elevadas cominações a serem impostas na hipótese de descumprimento devam ser desde logo consideradas sob pena de inviabilidade de prosseguimento dos próprios negócios.
A conclusão que se chega, pois, é que não há, mais, muito tempo a perder.
.
.
A autora, Viviane Nóbrega Maldonado, é Juíza de Direito no Estado de São Paulo, professora na área de Direito Digital, Especialista em Relações Internacionais (FGV-MBA) e Mestre em Direito Comparado pela Universidade de Samford (USA), cujo tema de tese é “The Right to Be Forgotten”. Autora do livro “Direito ao Esquecimento“, lançado em 2017, pela Editora Novo Século.
Contribuição devidamente realizada pela autora.
Pingback: Empresas brasileiras que atuam em território europeu se prepararam para a entrada em vigor do GDPR – Portal da Privacidade
Pingback: Infográficos com resumos sobre a GDPR - Tiago Souza
Pingback: Empresas brasileiras que atuam em território europeu já se prepararam para a entrada em vigor do GDPR? — Portal da Privacidade - Opice Blum