Na última sexta-feira, 25/05/ 2018 entrou em vigor a GDPR (General Data Protection Regulation), regulamento geral europeu de proteção de dados pessoais. Esse regulamento é um reflexo daquilo que ocorreu no dia 28 de janeiro de 1981, onde se discutiu pela primeira vez a proteção de dados pessoais na “Convenção 108” do conselho da Europa. Desde então foi decidido que os Estados passariam a trabalhar a informação do indivíduo com mais transparência, trazendo a possibilidade de a população participar na tomada de decisão sobre o uso de seus dados, com isso as empresas deveriam aplicar alguns princípios como o princípio da minimização da especificação de propósito; o Direito a portabilidade de dados; direito a retificação da informação; direito ao esquecimento.
Com a evolução dessas tratativas, surgiram regras que permitiram ao usuário dar o seu consentimento prévio ao entregar dados em plataformas digitais. No brasil, por exemplo, desde 2014 com a implementação do
Marco Civil da internet as empresas tiveram que implementar não apenas uma política de privacidade obrigatória, mas coletar o consentimento prévio do usuário ao tratar dos seus dados pessoais. O marco civil não tem a mesma força de uma GDPR, uma vez que esta é muito mais específica, detalhada e rigorosa, porém já foi um avanço quanto a proteção de dados pessoais dos usuários brasileiros.
Esse processo legal de coleta para o armazenamento e processamento de dados pessoais passou a exigir que tivesse um propósito específico e explícito. Não tinha mais condições de entregar dados as empresas e elas as utilizassem como bem entendessem.
A GDPR trouxe um conceito ampliado de dados pessoais, uma das novidades é que ele não é apenas aquilo que se é identificado, mas também o que é identificável como os dados sensíveis (seria a implementação de dados referente a crença religiosa, a origem étnica ou racial, dados genéticos, opiniões políticas, e etc). Algo que entrou como dados sensíveis foi os dados biométricos, ou seja, toda portaria de prédio ou instituição que possui coleta de dados biométricos para autenticar entrada de uma pessoa, já passou a se enquadrar no nível mais sensível da GDPR com multa elevadíssima.
A Regulação adota, em seu Art. 4, um conceito expansionista, que vai além do dado que efetivamente identifica uma pessoa natural:
“qualquer informação relacionada a uma pessoa natural identificada ou identificável. Uma pessoa natural identificável é alguém que pode ser identificada, direta ou indiretamente, principalmente por meio de referência a um identificador único como nome, número de identificação, dado locacional, identificador eletrônico ou um ou mais fatores específicos a identidade física, psicológica, genética, mental, econômica, cultural ou social da pessoa natural”
EFICÁCIA EXTRATERRITORIAL
Com toda essa problemática e a falta de controle das empresas quanto aos dados dos usuários, viu-se a necessidade da criação de uma regulamentação quanto a proteção desses dados pessoais, nisso nasceu a GDPR. Após os escândalos de vazamento de dados dos usuários do Facebook pela empresa de consultoria Cambridge Analytica, a implementação dessa regulação teve mais força e apoio dos líderes da União Europeia.
Uma das surpresas dessa regulamentação foi aumento do seu escopo territorial. Antes de qualquer análise pormenorizada, é necessário afirmar que ela, a GDPR, não leva, em nenhum momento, para fins de determinação de jurisdição ou de onde e quando a norma será aplicada as pessoas naturais titulares dos dados pessoais. Em outras palavras, a GDPR não se aplica, somente, a cidadãos europeus. A nacionalidade não é um elemento que deve ser levado em consideração. Nesse caso a GDPR alcança empresas que estão estabelecidas em todos os Estados membros da União Europeia, como também organizações que não estão na União Europeia mas ofertam bens, serviços, ou atividades que se relacionam com a União Europeia e que coletam dados de cidadãos europeus.
O impacto começa a aparecer, por exemplo, aos cidadãos brasileiros que possuem dupla nacionalidade. Por exemplo, empresas de cartões de crédito, hotéis, que estão coletando dados de seus clientes, serão atraídos para a aplicação da regra da GDPR.
A melhor doutrina tem entendido que a mera localização física, mesmo que temporária, de uma pessoa natural, independente da sua nacionalidade, em qualquer país da União Europeia, ou locais do mundo que estejam sob sua jurisdição, daria ensejo a aplicação extraterritorial.
Desta forma, a GDPR se aplica a coleta de dados pessoais de pessoas naturais que se encontram na União Europeia, independente da sua nacionalidade, cidadania, domicílio ou residência.
Além disso a GDPR facilitou o processo de centralização, supervisão, e regulação dessas atividades, os chamados “ Balcões centralizados”. Então, basta que a empresa esteja em conformidade com um único país da Europa que a GDPR será aplicada.
O impacto vai ser enorme, imaginem a cidade de São Paulo que possui milhares de estrangeiros que trabalham em prédios executivos que coletam dados biométricos para entrada de pessoas nas instituições. Todas essas empresas terão que se adequar a GDPR, criando um compliance para armazenar todos esses dados.
Dando continuidade, os pontos abaixo são balizas elementares para se verificar se a GDPR se aplica à empresa, independente destas se localizaram fisicamente na União Europeia. Segue um breve resumo destes:
- Aplicação extraterritorial alcança empresas brasileiras com filiais na União Europeia ou que ofertem serviços ao mercado europeu;
- Empresa com filial ou representação na União Europeia;
- Empresa, mesmo sem presença física na UE, mas que oferece serviços ao mercado europeu;
- Empresa, mesmo sem presença física na UE, que coleta dados de pessoas naturais localizadas na UE, independente da nacionalidade;
- Empresa, mesmo sem presença física na UE, que monitora pessoas naturais localizadas na UE, independente da nacionalidade;
- Empresa, mesmo sem presença física na UE, que terceiriza o processamento de dados para empresas localizadas na UE.
Como apontado acima, responsáveis pelo processamento de dados que se encontram fora da União Europeia não podem se valer do conceito de one-stop-shop, qual seja, responder a autoridade de proteção de dados de apenas um país, mesmo que processe dados em referência a outros países membros. Neste cenário, o Responsável estará sujeito às autoridades de todos os países e deve indicar um representante perante as autoridades de cada um, o que pode aumentar os custos operacionais.
Se o Responsável pelo processamento de dados está geograficamente localizado fora da União Europeia e oferece serviços ou produtos para residentes na União Europeia ou monitora o comportamento de residentes na União Europeia. Neste cenário, o responsável não só estará sob a jurisdição da Regulação, mas também estará sujeito à supervisão de todas as autoridades de proteção de dados pessoais dos países para os quais oferece os seus serviços ou produtos ou monitora o comportamento de seus residentes.
TRANSFERÊNCIA INTERNACIONAL DE DADOS
A Regulação permite a transferência de dados pessoais para países terceiros, fora do bloco europeu, por meio de uma série de condições, desde que este seja considerado pela Comissão Europeia um país com um nível “adequado” de proteção de dados pessoais, o que não é o caso do Brasil. O art. 45 estabelece as condições para transferências internacionais baseadas em decisões de adequação, que consideram o país com um nível adequado de proteção. A GDPR especifica que decisões de adequação são conferidas a países com níveis de proteção similar ao garantido na União Europeia.
Entretanto, na ausência de uma decisão da Comissão considerando o país adequado, transferências também são permitidas para países fora da União Europeia em algumas circunstâncias, tais como o uso de cláusulas contratuais padrão – cláusulas genéricas previamente aprovadas pela Comissão Europeia antes de serem introduzidas nos contratos que versam sobre transferências internacionais - ou “Binding Corporate Rules” (“BCR”), aprovadas pelas autoridades nacionais de proteção de dados pessoais para casos particulares, como para uma empresa ou um conglomerado econômico específico. Em ambas as situações, o processo é considerado severamente burocrático, principalmente pelo fato de retirar a simples autonomia das partes para estabelecer os padrões de proteção, uma vez que a intervenção estatal no que será decidido é obrigatória.
Ademais, a Regulação inova ao introduzir, no seu art. 42, a possibilidade de autorizar transferência para países terceiros por meio de selos, certificações, desde que instrumentos jurídicos vinculativos e aplicáveis sejam acordados com o responsável pelo processamento de dados visando garantir proteções apropriadas.
IMPLEMENTAÇÃO DE COMPLIANCES ADEQUADOS E GOVERNANÇAS CORPORATIVAS ATUALIZADAS
A GDPR também trouxe quais as responsabilidades dos controladores e processadores de dados. Ou seja, não só as empresas que coletam dados têm responsabilidades, mas também os terceirizados, alcançando todo o supply chain (cadeia logística) de segurança e de T.I. que hoje fazem um trabalho de processamento de dados, e se esses dados vão para a nuvem, a GDPR, através de seus fiscalizadores, também buscará na nuvem os dados.
Então é uma regulamentação que traz notificação de violação de dados como sendo algo obrigatório, ou seja, se houver um risco de violação de privacidade deve vir uma notificação ao usuário, devendo ter um prazo para que as autoridades supervisoras tenham 72 horas após o descobrimento, ficando sabendo, inclusive, das providências tomadas. Há também regras corporativas vinculativas que devem ser seguidas dentro do processo de transferência internacional de dados, logo, a governança corporativa passa ser revista, pois uma empresa multinacional presentes em vários países não possui muito critério na circulação de dados dentro da empresa de um país para outro, e agora deverá ter esse controle dentro de suas empresas.
Uma das grandes novidades da GDPR é o fato que as empresas agora terão que implementar um painel de controle onde o usuário vai ter acesso a todas as informações que a empresa tem sobre você. Então, por exemplo, se você entra no site de uma empresa multinacional, lá deverá conter o seu perfil ao qual estará inserido todos os dados que a empresa tem sobre você, seja nome, identidade, Cpf, renda, etc. O mais interessante disto é que o usuário terá um controle sobre esses dados fornecidos a empresa e terá a livre opção de excluir ou não aqueles dados do banco de dados da multinacional.
Isso tudo só será possível através de uma governança corporativa atualizada e um sistema de compliance adequado.
APLICAÇÃO DE MULTAS
A GDPR aumentou consideravelmente os valores das multas, que alcança uma amonta de quase U$ 20 milhões de euros ou 4% do faturamento global da empresa ou do grupo econômico, e isso para empresas que estão crescendo como uma startup pode custar todo um trabalho e planejamento de negócio. A aplicação da multa pode incidir no faturamento do grupo econômico, ou seja, se houver dentro de um grupo econômico apenas uma empresa desregulada, a multa pode incidir em todo grupo econômico e seu faturamento. Além disso, após essas multas, a empresa terá restrições na Europa, trazendo assim problemas até mesmo para a marca da empresa.
Conclusão
Com base no exposto acima, qualquer empresa brasileira poderá estar sujeita à jurisdição prescrita pela Regulação caso colete dados pessoais de pessoas naturais, físicas, localizadas na União Europeia, ou ofereça seus serviços e produtos diretamente para o mercado de membros da União Europeia, e caso trate dados de pessoas naturais localizadas no bloco econômico.
Ademais, o Brasil não é considerado pela Comissão Europeia como um país com um nível adequado de proteção de dados. Desta forma, a transferência de dados pessoais de titulares localizados na União Europeia, de forma direta ou indireta, somente poderá acontecer com base em uma das hipóteses autorizativas.
Por questões operacionais e burocráticas, recomenda-se o uso cláusulas contratuais em que o titular localizado em um dos estados membros expressamente autoriza, de acordo com as regras informativas acima descritas, a transferência dos seus dados pessoais para o Brasil ou país onde a empresa vier a processar tais dados, como, por exemplo, por meio de serviços de outsourcing (outra organização é contratada para desenvolver uma certa área da empresa) e cloud computing (Computação e nuvem).Nisso, é aconselhável que as empresas busquem advogados especializados para que entrem em conformidades com as novas regras da GDPR.