O Regulamento Geral sobre Proteção de Dados – o GDPR, sigla em inglês para General Data Protction Regulation -, entrará em atividade em 25 de maio de 2018 e tem ganhado destaque por se tratar do mais relevante agente modificador da legislação de proteção de dados desde o início do século vigente. O Parlamento Europeu e o Conselho da União Europeia aprovaram a medida há pouco mais de um ano.
Em resumo, o GDPR foi especialmente projetado para padronizar as normas de proteção de dados entre os países europeus membros da UE. Na prática, o regulamento contempla qualquer operação de tratamento de informações pessoais, o que inclui desde o registro até divulgação e/ou destruição dos dados referentes a uma pessoa física ou jurídica que possa ser devidamente identificável.
A partir de junho do ano que vem, empresas e cidadãos que, de alguma maneira, vierem a praticar qualquer operação que envolvam a troca de informações pessoais deverão adaptar as suas atividades e seus respectivos contratos às novas exigências para que não corram o risco de sofrerem consequências futuras.
Entre as principais definições do GDPR podemos citar:
1 – Definição e expansão do conceito de Dado Pessoal, incluindo dados genéticos e biométricos. O regulamento estabeleceu como dado pessoal qualquer dado que, isolado ou associado com demais dados, seja capaz de identificar uma pessoa;
2 – Criação de Órgãos Controladores Locais para cada país membro da comunidade Europeia. Estes órgãos serão responsáveis por receber e investigar denúncias, reclamações sobre a adoção do GDPR;
3 – Nomeação de um representante da organização para responder pela gestão dos dados pessoais. Este representante poderá ser uma pessoa, um departamento ou até mesmo empresas externas. Será responsável pela implementação de medidas técnicas e organizacionais adequadas para assegurar e demonstrar que os dados pessoais, mantidos pela empresa, estão em conformidade com os requisitos da GDPR;
4 – Comunicação aos Órgãos Controladores Locais sobre qualquer violação ocorrida em dados pessoais, no prazo máximo de 72 horas. Se a violação representar riscos para o titular, o mesmo também deverá ser avisado;
Como as medidas poderão atingir empresas brasileiras
As novas normas propostas não serão aplicadas apenas para empresas que estejam fisicamente presentes em territórios da União Europeia, elas também poderão ser utilizadas para pessoas e empreendimentos de outros lugares do mundo. Tal fato deverá influenciar diretamente o cotidiano dos brasileiros, sobretudo de pessoas jurídicas.
Atualmente, vivemos em um planeta completamente interativo e interligado. As informações transitam grandes extensões em pouquíssimo tempo. Esse cenário engloba a realização de vendas online através de e-commerce, realização de serviços prestados em plataformas digitais, anúncios publicitários e outras várias possibilidades.
Exemplificando: um indivíduo qualquer que viva em um dos países membros da UE contrata os serviços de uma empresa brasileira, assim sendo, os dois agentes estarão relacionados à oferta de bens e serviços e terão um vínculo onde dados pessoais serão transmitidos. Dessa maneira, a empresa passará a estar sujeita às sanções do GDPR, portanto ela poderá arcar com eventuais punições, que variam entre multas e até proibições de acesso a informações. Uma das saídas existentes é a designação de um representante legal dentro da nação onde o serviço será prestado.
Em suma, as alterações propostas pelo regulamento são complexas e fornecem subsídios para a identificação e implementação dos ajustes necessários. O GDPR estabelece uma série de direitos para os titulares de dados pessoais e impõe diversas obrigações aos agentes de tratamento.
Apesar de todos os novos critérios, não é necessário desespero. Basta as empresas brasileiras conhecerem as suas obrigações e os seus deveres diante do cenário que entrará em vigor. Por isso, é fundamental a adequação para evitar eventuais complicações.
Para ter acesso ao regramento completo, basta acessar: http://www.privacy-regulation.eu/pt/.