Proteção europeia sobre dados pessoais e as empresas brasileiras

Proteção europeia sobre dados pessoais e as empresas brasileiras

Fernando Santiago*

24 Maio 2018 | 05h00

Fernando Santiago. FOTO: DIVULGAÇÃO

Em maio de 2017 uma prestigiosa revista estrangeira divulgou um texto no qual afirma que o recurso mundial mais precioso do século XXI deixou de ser o petróleo e passou a ser a informação, notadamente a de caráter pessoal.

O fato recentemente divulgado sobre o vazamento de dados pessoais do Facebook obtidos pela Cambridge Analytica – empresa que ajudou a eleger um presidente dos Estados Unidos contra todas as estatísticas e probabilidades – mostra a importância desse precioso recurso na geopolítica mundial.

No Brasil, embora não haja – ainda – uma legislação específica sobre a proteção de dados pessoais (o Projeto de Lei do Senado 330/2013 e o PL 4060/12 avançam devagar no Congresso), tais informações já são qualificadas como “interesses e direitos difusos, coletivos e individuais” passíveis de proteção. As interessantes intervenções da Comissão de Proteção dos Dados Pessoais do Ministério Público do Distrito Federal em casos recentes de vazamento de dados pessoais no Brasil (Netshoes, Vivo, Uber, Twitter etc.) atestam que determinados órgãos de defesa do cidadão (e consumidor, no caso brasileiro) já incorporaram o assunto às suas pautas cotidianas.

Nesse cenário, um fato jurídico ocorrido na Europa vai acelerar sobremaneira a forma na qual a questão do tratamento de dados pessoais vem sendo incorporada à rotina das empresas brasileiras. Com efeito, no dia 25 de maio de 2018 entra em vigor uma regulamentação europeia que afetará inúmeras empresas no Brasil que, ressalte-se, estão totalmente despreparadas para tal evento. Trata-se do Regulamento (UE) 2016/679 do Parlamento e do Conselho Europeus, de 27 de abril de 2016, mais conhecido como o novo Regulamento Geral de Proteção de Dados (RGPD).

O novo RGPD revoga a antiga Diretiva de 1995, inovando em relação à mesma sob vários aspectos, notadamente quanto a sua aplicação extraterritorial e quanto à responsabilidade do subcontratado.

Sobre o primeiro ponto, o RGPD aplica-se diretamente a qualquer empresa que colete dados de residentes da União Europeia (UE) ou que oferte seus bens ou serviços na UE – com ou sem pagamento -, ou, ainda, que simplesmente monitore o comportamento de residentes da UE (criação de perfis-alvo, marketing direcionado e assim por diante).

Em relação ao segundo ponto, o RGPD estende a responsabilidade – e a possibilidade de pesadas sanções – também aos subcontratados das empresas europeias situados fora da UE (no Brasil, por exemplo), que tratem ou que tenham acesso aos dados protegidos pelo Regulamento.

A lista de potenciais empresas brasileiras afetadas pelas novas normas é imensa, como operadoras de turismo, empresas de transporte aéreo, empresas de seguros, de e-commerce, prestadores de serviços de informática (hospedagem, manutenção, data-centers), agências de marketing, integradores de software, etc.

As empresas submetidas ao RGPD devem cumprir uma série de obrigações que variam em intensidade e complexidade em função de determinados fatores, como a razão pela qual estão submetidas ao Regulamento, o volume dos dados tratados ou acessados, e também a natureza e o grau de sensibilidade dos dados tratados ou acessados.

Tais obrigações vão desde a adoção de determinados procedimentos como, por exemplo, a manutenção e atualização constante de um registro dos tratamentos de dados por elas realizados, a realização de um Plano de Impacto Sobre a Vida Privada (PIA) abordando e analisando detalhadamente os riscos às liberdades individuais e potenciais consequências para os titulares dos dados pessoais tratados ou coletados pelas empresas em caso de sinistro, o dever de informar as autoridades europeias ou o responsável de tratamento sobre qualquer sinistro afetando os dados tratados, até mesmo a obrigação de nomear um representante na União Europeia junto às autoridades de regulação competentes.

O descumprimento do RGPD pode gerar sanções extremamente pesadas, como multas de 10 milhões a 20 milhões de euros ou de 2% a 4% do faturamento anual mundial da empresa – o que for maior. São riscos importantes demais para ser ignorados.

Diante desse quadro, só resta às empresas brasileiras adaptarem-se a essa nova ordem mundial, pois se o Brasil está muito bem posicionado internacionalmente em relação ao petróleo do século XX, ele tem ainda imensos progressos a fazer em relação àquele do século XXI.

*Sócio fundador do Chenut Oliveira Santiago Advogados Associados. Doutor e Mestre em Direito Público Econômico pela Université de Paris 1 Panthéon-Sorbonne, exerce suas atividades no Brasil e na Europa, representando empresas brasileiras em assuntos relacionados à proteção de dados pessoais junto à Commission Nationale de l’Informatique et des Libertés (CNIL)

Mais conteúdo sobre:

Artigo