Nova lei de proteção de dados exige novo compliance

Carlos Arruda*

20 Junho 2018 | 05h40

A disponibilização e coleta dos dados pessoais para compra e uso de bens e serviços, nas modalidades on-line e off-line, avançou de forma exponencial no ecossistema comercial nacional, restando, até aqui, desacompanhado de qualquer sorte de legislação regulatória, que viajasse na mesma velocidade dos avanços tecnológicos, em que pese a nova Lei Nacional que regerá a matéria.

No dia 25 de maio e com o fito de dar guarida a um novo e mais completo certame de proteção de dados das pessoas, entrou em vigor (vacatio legis cumprida), na União Europeia, o Regulamento Geral de Proteção de Dados – GDPR (General Data Protection Regulation), que alcançará todas as corporações fincadas em solo europeu e também, dependendo do caso concreto, os atores empresariais situados fora dos limites do Velho Continente.

Contudo ao ponto, é fato que as empresas brasileiras também terão que observar o aludido diploma legal, posto que o conjunto de normas adota a regra da extraterritorialidade, fazendo efeito em corporações estabelecidas fora da UE, mas que, por óbvio, realizem operações comerciais com entes da UE.

Adiante e no frigir dos ovos, o sistema legal de proteção afeta incisivamente empresas brasileiras públicas ou privadas, que possuem relacionamento comercial com clientes ou parceiros europeus. De grandes players a pequenos sites de comércio eletrônico, ou ainda em uma remota pousada no sul da Bahia, nos casos em que houver a coleta de dados pessoais de um consumidor, originário da União Europeia, haverá a obrigatoriedade da aplicação das normas do GDPR.

Imperativo frisar que as companhias que disponibilizam serviços de “nuvem” não serão responsabilizadas por eventuais desconformidades relativas ao GDPR, sendo certo que serão imputadas as sanções devidas às empresas contratantes do cloud.

O princípio norteador da construção legal do regulamento – e aqui vale um parênteses sobre o vídeo publicado semanas atrás, em que Mark Zuckerberg mostrava como seria a manipulação genética de dados nos humanos em futuro próximo – primou por proteger dados, tais como genéticos, de saúde, de religião, políticos, de orientação sexual e tantos outros que pertencem ao indivíduo, punindo severamente, em modalidade pecuniária, os infratores que visualizavam suas responsabilidades na proteção de dados, de forma descompromissada.

Na minha opinião, as empresas devem olhar à frente e perceber que a perda financeira talvez não seja o maior prejuízo em infrações ao GDPR, já que falamos de reputação, respeito, confiança, diversidade, patrimônios íntimos, que tem de fato, valor intangível para os seus consumidores.

Não restam dúvidas que o Regulamento Europeu terá por consequência, em sede mundial, um aumento significativo da atuação dos Compliance Officers, que terão, sobremaneira, novos desafios em temas de respeito à privacidade e proteção de dados pessoais dos consumidores.

Nesta esteira, o próprio regramento sob comento instituiu a figura do DPO (Data Protection Officer), colaborador que em alguns cenários, conforme o tamanho da empresa, é de contratação obrigatória e que deve se imbuir de informar, orientar e desenhar regulamentos jurídicos corporativos acerca das melhores práticas, visando a relação harmônica da organização com a legislação.

Por derradeiro, cabe ao empresário brasileiro, que se enquadra nos destinatários do regulamento, desde logo mapear toda a operação e buscar apoio jurídico especializado no que for pertinente, de forma a se adequar e efetivar o cumprimento dos dispositivos, dando um “opt-in”, para a construção de um mundo melhor para todos.

*Carlos Arruda, coordenador do Núcleo de Direito Digital da Nelson Wilians Advogados Associados

Mais conteúdo sobre:

Artigo