Os cuidados com as informações pessoais não será mais a mesma coisa, e estamos falando de boas mudanças na minha opinião, na visão do cidadão. Entenda sobre o GDPR e o que isso afeta em sua empresa.
O fornecimento de dados pessoais para possibilitar o uso de bens e serviços online cresceu exponencialmente sem que fosse possível à legislação acompanhar os avanços tecnológicos na mesma velocidade.
Em um sistema de leis esparsas e, muitas vezes, incompletas, a proteção de dados pessoais se apresentava como uma colcha de retalhos inconsistente em confronto com o mundo interconectado no qual se inseria.
Com o objetivo de criar um novo regime de proteção de dados, foi publicado na União Europeia (UE), em 2016, o Regulamento Geral de Proteção de Dados (General Data Protection Regulation, GDPR), aplicável a todas as organizações estabelecidas na Europa e, dependendo das circunstâncias, também fora dos limites desse território. Após uma vacatio legis de dois anos, a norma está prevista para entrar em vigor em maio de 2018.
Mas o que as empresas brasileiras têm a ver com isso?
Se sua empresa tem negócios na União Europeia o GDPR é relevante. O regulamento adota a regra da extraterritorialidade, afetando organizações estabelecidas fora da UE, mas que realizem negócios na UE. Isso afeta particularmente os negócios baseados na internet, oferecendo bens ou serviços aos consumidores europeus.
Para auxiliar na compreensão do GDPR, sua importância e seu impacto sobre as empresas brasileiras com negócios junto a clientes e parceiros na Europa, enumeramos 10 coisas que sua empresa deve saber sobre o regulamento.
1) O que é O GDPR?
O Regulamento Geral de Proteção de Dados (General Data Protection Regulation, GDPR) é a norma mais recente criada para fortalecer a proteção de dados pessoais de cidadãos da União Europeia.
2) A quem se aplica?
A todos que fazem comercializam bens e serviços junto a Estados-membros da EU, ainda que de forma gratuita. É muito abrangente e afetará quase todas as organizações baseadas neste território, bem como todas as organizações que atuam na UE, mesmo com sede no exterior. Assim, empresas privadas ou públicas brasileiras, que possuem relacionamento com clientes ou parceiros europeus, terão que respeitar o novo regulamento.
Desde grandes instituições à pequenas plataformas de e-commerce, se há coleta ou tratamento de dados pessoais de um indivíduo que está no território da União Europeia, de forma relacionada à oferta de bens ou serviços, ainda que fornecidos gratuitamente, haverá sujeição às normas do GDPR. É importante ressaltar que, se a empresa usa serviços como o Amazon Web Services ou o Google Cloud, por exemplo, estas não poderão ser responsabilizadas em caso de desconformidade de sua empresa com o GDPR.
3) Quando a GDPR entra em vigor?
O GDPR entra em vigor no dia 25 de maio de 2018.
4) Quais as principais mudanças trazidas pela GDPR?
O texto completo da norma estabelece os direitos dos indivíduos e visa facilitar o acesso a informações pessoais detidas pelas empresas, bem como define as obrigações impostas às organizações. Isso inclui um novo regime de multas e uma clara responsabilização na obtenção de consentimento das pessoas sobre as quais coletam informações.Tanto os dados pessoais como os dados sensíveis são abrangidos.
Aqueles, em termos gerais, que se referem a uma informação que pode ser usada para identificar uma pessoa (pode ser um nome, endereço, fotos, endereço IP, etc.). Já os dados pessoais sensíveis, englobam dados genéticos e de saúde, informações sobre pontos de vista religiosos e políticos, orientação sexual e tantos outros.
5) Quais os impactos para os negócios fora da Europa?
Como resultado, as empresas devem esperar que a regulamentação seja rigorosamente aplicada. Portanto, em maior ou menor grau de incidência, todas as empresas que coletam, armazenam ou processam dados de cidadãos da UE, independentemente do volume, estarão sujeitas à aplicação da norma.
6) O que é um DPO?
Encarregado da Proteção de Dados, ou DPO (Data Protection Officer), é responsável pelo compliance na proteção de dados pessoais. Cabe, dentre outras atribuições, informar e orientar os funcionários e contratados da empresa sobre as melhores práticas, colaborar com as autoridades de controle e prestar aconselhamento no que diz respeito à avaliação de impacto sobre a proteção de dados.
A contratação de um DPO é obrigatória em algumas situações, a saber: (i) se a organização é uma autoridade pública (ou seja, uma empresa que exerce controle sobre a manutenção da infraestrutura pública ou possui amplos poderes para regular a propriedade pública); (ii) se está envolvida em monitoramento sistemático em larga escala de dados de usuários e (iii) se a organização processa grandes volumes de dados de usuários pessoais.
7) Quais as sanções previstas na lei?
Um dos elementos mais discutidos é o poder concedido aos reguladores para multar as empresas em desconformidade com a norma. As multas previstas no GDPR são bastante pesadas, em uma tentativa de levantar o interesse de organizações que encaravam suas responsabilidades na proteção de dados de forma descompromissada ou pouco séria.
Pequenas infrações podem resultar em multas de até € 10 milhões ou 2% do volume de negócios global da empresa; infrações mais graves podem chegar a € 20 milhões ou 4% do volume de negócios global da empresa (o que for maior).
8) Como as sanções serão aplicadas?
Para empresas brasileiras que têm uma presença física na Europa, o GDPR pode ser aplicado diretamente pelas autoridades do respectivo Estado-membro da UE. No caso de empresas estrangeiras sem uma presença física neste território, o GDPR exige a designação de um representante “localizado na UE”. Isso não se aplicará a todos – apenas àqueles que, conscientemente e ativamente, conduzem negócios na UE.
Nesse sentido, os tribunais europeus têm a capacidade discricionária de determinar se uma empresa coleta propositadamente dados de cidadãos da UE ou se tal coleta ocorre de forma inadvertida ou ocasional. Mas tudo isso depende do julgamento do Estado-Membro.
9) Como minha empresa deve se preparar?
O planejamento precoce é essencial. Um primeiro passo a ser considerado é a revisão das atividades de processamento de dados, a fim de mapear o ambiente e avaliar a aplicabilidade do GDPR para cada caso específico. Também é fundamental que as empresas designem alguém, seja um funcionário ou um consultor externo, para se responsabilizar pela conformidade em matéria de proteção de dados e que tal pessoa tenha conhecimento, apoio e autoridade para desempenhar seu papel de forma independente e eficaz.
10) E a legislação brasileira?
No Brasil, a legislação aplicável em matéria de proteção de dados é esparsa, encontrando fundamentos na Constituição Federal, no Código Civil, no Código de Defesa do Consumidor e no Marco Civil da Internet, dentre outros diplomas legais.
Em discussão, há o Projeto de Lei 5.276/2016 que, inspirado no GDPR, visa regulamentar de forma mais robusta o tratamento e a proteção de dados pessoais no país, por meio da criação de um conjunto de obrigações e responsabilidades para indivíduos e entes públicos e privados, que coletam e usam e utilizam tais informações. Um incentivo a mais para começar a se preparar desde já.
É certo que o GDPR demanda um aumento significativo do nível de compliance em matéria de privacidade e proteção de dados pessoais, mas o maior desafio é a mudança na mentalidade corporativa, o estabelecimento de um “GDPR state of mind”, isto é, uma nova abordagem que incorpore na espinha dorsal das empresas a importância de adotar uma maior abertura e transparência na coleta, uso e tratamento de dados pessoais.
Trata-se de enxergar além das multas e demais penalidades e entender que a conformidade a tais regras extrapola as perdas financeiras para alcançar outros valores, como reputação e confiança do consumidor.
Não é apenas uma questão de segurança de dados, de leis ou de tecnologia, mas uma questão empresarial que deve ser tratada de forma holística e comprometida, inserida nas estratégias de cada negócio.
Fonte: Jota.info