OS DESAFIOS TRAZIDOS PELA GDPR E A LGPD/LPDP ÀS EMPRESAS BRASILEIRAS

Em 25 de maio de 2018 entrou em vigor a nova legislação europeia sobre a proteção de dados, mais conhecida como GDPR (General Data Protection Regulation).

Apesar de sua vigência recente, a GDPR foi editada em 24/05/2016, concedendo prazo de dois anos aos países por ela abarcados para sua implementação e a edição de leis específicas sobre a proteção de dados pessoais, uso de dados na relação de emprego, idade mínima para a coleta de dados e liberdade de expressão, bem como sobre as sanções a serem aplicadas em casos do uso indevidos de tais informações.

Dois anos se passaram e vemos que muitos países ainda não conseguiram colocar em prática as diretrizes estipuladas pela nova legislação. Com exceção da Alemanha, França, Reino Unido, Suécia e outros poucos países, os demais países ainda encontram-se discutindo pontos da nova regulamentação e com projetos de lei ainda em fase inicial.

Desta forma, é notório que muitas empresas poderão seguir faltosas com a legislação em questão, por estarem sediadas em países que se encontram sem “lei complementar”, ou, ainda, sem o órgão institucional competente para implementá-la.

O que muitos empresários brasileiros ainda não sabem ou estão em dúvida de como agir é que, apesar da GDPR ser aplicável no território Europeu, seus efeitos podem e devem atingir cidadãos e empresas brasileiras, tudo isso em razão da cláusula que trata sobre o alcance da lei ser de natureza ampla.

Em regra, a nova lei de proteção de dados se aplica ao responsável pelo tratamento de dados, monitoramento de atividades e fornecimento de bens e serviços a indivíduos que estejam, mesmo que apenas de passagem, pelo território europeu.

Note-se que as empresas brasileiras, poderão sentir os efeitos da GDPR, mesmo que não possuam sede em território europeu. É o caso das empresas de e-commerce nacionais, que coletam e armazenam os dados de seus clientes, através de cadastros em seus sites. Essas empresas estarão sujeitas às diretrizes da GDPR e precisam cumprir as novas regras.

A mudança principal trazida pela lei em discussão é o consentimento livre da coleta e tratamento de dados, de forma que não haja dúvidas sobre a real intenção no armazenamento de tais informações.

Assim, será necessária uma análise minuciosa dos atuais Termos de Uso e Políticas de Privacidade das empresas brasileiras, a fim sanar qualquer dúvida sobre qual a intenção na colheita dos dados pessoais, realizar a exclusão de qualquer prestação de serviço ou execução de contrato que condicione o fornecimento de dados que não sejam essenciais, bem como a obtenção do consentimento livre do consumidor e/ou usuário para o armazenamento e tratamento de seus dados.

Por fim, a GDPR assegura que os titulares de dados poderão exigir a exclusão de informações dos bancos de dados a qualquer momento, de forma parcial ou integral, com exceção de casos em que a utilização dos dados esteja vinculada a órgãos de natureza judicial, no decorrer de investigações.

Vale destacar que, apesar da lei europeia não ser obrigatória para as empresas brasileiras, tal regulamentação foi criada com o intuito de produzir um efeito viral. Em outras palavras, as empresas brasileiras que não se adequarem as diretrizes solicitadas poderão ter seu fluxo de negócio reduzido e até mesmo ter oportunidades de expansão bloqueadas, em razão de não se enquadrarem nos padrões exigidos.

Assim, as empresas nacionais que possuem atividade no território europeu ou que buscam expandir suas atividades para tal região, precisam se adequar aos padrões exigidos, sob pena de enfrentarem elevados riscos e, até mesmo, as sanções previstas na norma.

Assim como a lei europeia, a lei brasileira visa à proteção dos dados dos usuários, garantindo a inviolabilidade dos direitos fundamentais, bem como criando diretrizes para a colheita, armazenamento e tratamento de dados e os ditames para o seu compartilhamento.

 A Lei Geral de Proteção de Dados Brasileira – LGPD, publicada em 15/08/2018 e que entra em vigor em 18 meses, tem como maior diferencial a criação de uma agência reguladora.

A criação da ANPD – Agencia Nacional de Proteção de Dados Pessoais – foi vetada, por uma possível inconstitucionalidade na sua criação, eis que foi uma recomendação do legislativo.

Contudo o Presidente Michel Temer sinalizou que solucionará o problema em questão, por meio de um novo projeto de lei ou por uma medida provisória, que seria o meio mais rápido.

Tal agência deverá ser independente e possuir orçamento próprio, sendo capaz de fiscalizar o cumprimento da lei, aplicar multas e sanções, além de realizar o diálogo com os empresários dos mais diversos setores.

Nos casos de uso indevido dos dados ou de vazamento das informações prestadas pelos usuários, as sanções irão de advertências até a aplicação de multa, que poderão variar de 2% do faturamento da empresa até o limite de 50 milhões, podendo, ainda, serem aplicadas multas diárias.

Diante da Revolução Industrial 4.0 em que vivemos, com tudo girando em torno de informações, compartilhamento de dados, criptomoedas e blockchain, é fundamental para o futuro das empresas maior cautela e a criação de um plano de ação a curto e médio prazo, evitando não só as sanções, mas o abalo no relacionamento com clientes e, ainda, a perda da atratividade e competitividade no mercado.