A GDPR europeia e o risco de uso de dados pessoais para as empresas

A GDPR (General Data Protection Regulation), nova regulamentação europeia para a proteção de dados pessoais, entra em vigor no próximo dia 25 de maio e traz riscos adicionais para empresas de todo o mundo, inclusive do Brasil. Isso porque sua abrangência se estende a todas corporações que ofereçam produtos e serviços resultantes do monitoramento de dados pessoais de cidadãos europeus e até mesmo de outras regiões que estejam apenas em trânsito pela União Europeia.

De acordo com a nova legislação, as empresas passam a ser obrigadas a criarem configurações de privacidade em seus produtos e propriedades digitais. Além disso, será exigida uma mudança de postura, pois as organizações que ofertam produtos e serviços a partir do monitoramento de comportamentos e de dados pessoais precisarão avaliar continuamente os riscos de violação de privacidade, justificarem como obtiveram permissão para usar dados e documentar como as informações foram utilizadas.

Como a GDPR não necessita ser internacionalizada por uma legislação aprovada pelos governos, todas as empresas brasileiras que tiverem qualquer relacionamento que envolva o tratamento de dados pessoais – todo tipo de informação que possibilite a identificação de uma pessoa – de europeus ou até mesmo brasileiros, sejam os que possuem dupla cidadania ou apenas que estejam de passagem pelos países do bloco, estarão sujeitas às novas normas e às penalidades previstas pelo regulamento.

Notícias relacionadas

As regulações em torno dos vazamentos de dados estão, primeiramente, relacionadas às regras de notificação das companhias que foram invadidas, o que tem por objetivo impedir que cidadãos europeus estejam expostos a casos como o da Netshoes. No final de 2017, dados como nome, CPF, e-mail, data de nascimento e histórico de compras de 2 milhões de clientes foram vazados na internet após ataque de hacker ao sistema da companhia. Após firmar compromisso com o Ministério Público do Distrito Federal, em março, a empresa obteve prazo encerrado no início do mês seguinte para notificar todos afetados pela ação. Caso a GDPR estivesse em vigor e a Netshoes fosse europeia, a empresa teria até 72 horas para avisar todos os envolvidos. O mesmo ocorreria com relação a clientes brasileiros que estivessem em trânsito pela Europa ou cidadãos daquele continente que tivessem suas informações vazadas aqui. Caso contrário, estaria sujeita às punições previstas pela regulamentação.

As multas previstas pela GDPR têm um teto de 4% do faturamento bruto anual de uma empresa, ou até 20 milhões de euros. É a punição prevista para casos em que um usuário tem seus dados processados sem seu consentimento, violação de privacidade, entre outros. Já companhias flagradas com registros em desordem ou que não comunicarem autoridades ou os afetados por vazamentos – como no caso da Netshoes – estão sujeitas a multas de 2% de sua receita, conforme o artigo 28 da regulamentação.

Falhas na segurança de sistemas não resultam de má-fé. Mas há também um gigantesco comércio de informações pessoais entre empresas. Os usuários que têm seus dados transmitidos de uma companhia para outra, além de desconhecerem estas práticas, não participam dos lucros por ela gerados. A falta de políticas corporativas que garantam a guarda e o processamento de dados pessoais adequados pode resultar no fim de um negócio. Com o Projeto de Lei 5.276/2016, inspirado na GDPR e discutido hoje no Senado, cresce significativamente o número de companhias brasileiras que estarão expostas a este risco. Já para os usuários da internet, essas regulamentações trazem proteção adicional para sua privacidade.

(*) Victor Hugo Pereira Gonçalves é sócio do escritório Pereira Gonçalves Sociedade de Advogados – PGSA. Atua há 16 anos como especialista em Direito Digital. É autor do livro Marco Civil Comentado (GEN Forense, 2016). Bacharel em Direito pela Pontifícia Universidade Católica de São Paulo – PUCSP (2004), em História pela Universidade de São Paulo – USP (2005), Professor da FATEC Carapicuíba em Direito Empresarial (2006-2008) e Segurança Empresarial. Pesquisador do Grupo de Pericia Forense em Sistemas Informatizados do CnPq. Vice-Presidente da Comissão de Responsabilidade Social da OAB/SP (2006-2008). Professor do INFI FEBRABAN. Mestre em Direitos Humanos pela Faculdade de Direito da Universidade de São Paulo (USP). Doutorando pela Faculdade de Direito da Universidade de São Paulo (USP).

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui
Captcha verification failed!
CAPTCHA user score failed. Please contact us!