Os Impactos do GDPR para as Empresas Brasileiras
No dia 25 de maio de 2018, entrou em vigor o GDPR (General Data Protection Regulation – Regulamento Geral de Proteção de Dados), que é a nova regulamentação europeia de proteção de dados. Sendo que, apesar de ela ser direcionada à UE (União Europeia), afetará empresas de todo o mundo. E a explicação para isso está no fato de que, atualmente, os dados circulam em uma escala global.
Ou seja, até mesmo uma pequena empresa brasileira pode coletar, armazenar e utilizar informações pessoais de uma pessoa que está localizada na UE. Dessa forma, como o GDPR se refere exatamente aos dados de pessoas localizadas na UE, qualquer empresa que vier a lidar com essas informações está sujeita a essa regulamentação.
Por isso, o intuito desse artigo é apresentar uma visão geral sobre os impactos do GDPR para as empresas brasileiras. Leia atentamente e veja quais são os principais detalhes e pontos de atenção em relação à nova regulamentação!
É necessário estar de acordo com o GDPR para assinar contratos com empresas da UE
Um dos impactos mais claros do GDPR para as empresas brasileiras é o fato de as companhias europeias que trabalham com dados e adquirem serviços ou produtos do exterior terem autonomia para lidarem apenas com fornecedores e parceiros (independentemente do país de origem deles) que desenvolvam suas atividades de acordo com a nova regulamentação.
Ou seja, todas as empresas brasileiras que fazem negócios com companhias europeias devem se adequar ao GDPR. Sendo que o mesmo vale para o caso de haver a coleta, o armazenamento e a utilização de dados de pessoas localizadas na UE. Nesse sentido, é interessante ressaltar que a regulamentação não se refere ao cidadão europeu. Na verdade, ela é válida para quem está localizado na UE, independentemente da sua nacionalidade e de o indivíduo estar residindo lá ou apenas passando alguns dias.
Além disso, é necessário deixar claro que o GDPR diz respeito a dados de pessoas físicas. Ou seja, em se tratando de informações corporativas, tem-se outra legislação (que não vem ao caso aqui).
Fato é que, em resumo, pode-se dizer que qualquer empresa que oferta serviços e/ou produtos para a Europa ou lida com informações de pessoas físicas localizadas na comunidade europeia está sujeita ao GDPR.
O GDPR se aplicar tanto ao controlador quanto ao processador dos dados
A nova regulamentação se aplica a dois agentes: o controlador e o processador dos dados. O controlador é o agente com o qual a pessoa física interage diretamente e disponibiliza a ele os seus dados. Ou seja, trata-se das empresas para as quais as pessoas disponibilizam as suas informações. É o controlador que tem o papel principal no tocante à gestão dos dados.
Por isso, como é comum que as empresas (controladores) terceirizem parte das suas atividades, entram em cena também os processadores. Com isso, o GDPR prevê que os processadores, que são, geralmente, empresas especializadas em fazer o gerenciamento de dados, têm um nível de responsabilidade – perante a legislação – semelhante aos controladores.
Em diversas circunstâncias, a regulamentação equiparou a responsabilidades desses dois agentes. Porém, há bastante clareza em relação ao fato de que o controlador sempre é o principal responsável. Exatamente por isso, as empresas precisam ficar atentas na hora de assinarem contratos. Existem diversos pontos sensíveis que podem gerar ônus, por exemplo, para um controlador que assinou um contrato com um processador, sendo que este último cometeu alguma irregularidade. Nesse caso, o controlador também pode ser responsabilizado.
Desse modo, é essencial que as empresas avaliem muito bem os seus parceiros (processadores) no sentido de identificar se eles são capazes de entregar os resultados acordados em total consonância com as exigências do GDPR.
Há a necessidade de as empresas adequarem suas políticas ao GDPR
Antes de a nova regulamentação entrar em vigor, diversas empresas (Facebook, Microsoft, Apple…) enviaram notificações aos seus usuários alertando sobre a atualização de suas políticas de privacidade. Sendo que isso aconteceu exatamente para que elas ficassem em acordo com a nova regulamentação.
Nesse sentido, é importante que todas as empresas que, em algum momento, ficarão sujeitas ao GDPR, adequem suas políticas às novas regras. Aquelas que não fizerem isso correrão grandes riscos ao lidarem com os dados pessoais dos seus clientes e/ou usuários. É essencial se adequar às melhores práticas e desenvolver planos de resposta para a possível ocorrência de problemas.
Tudo isso é uma maneira de garantir que a organização vai aplicar a regulamentação. Não se trata de algo meramente formal. Tem que haver uma concretização da adequação às novas regras. Ou seja, deve-se assegurar, na prática e de forma efetiva, padrões de conduta que garantam a proteção dos dados coletados.
É essencial implementar uma gestão segura/ampla dos dados coletados
Com o GDPR, as empresas, tanto as controladoras como as processadoras, precisam implementar uma gestão muito forte dos dados coletados. Sendo que isso se refere a absolutamente todas as atividades que dizem respeito ao processamento de informações. É crucial saber de maneira precisa informações como:
- Quando o dado foi coletado;
- Qual foi o meio utilizado para obtê-lo;
- Cada processo que esse dado passou;
- Com quem ele foi compartilhado;
- E quem teve (e tem) acesso a esse dado.
Ter todas essa informações é essencial para, diante da ocorrência de um contratempo, como o vazamento desses dados, ser possível identificar a origem do problema. Essa “apuração” interna feita pelas empresas pode até não eximi-las da responsabilidade pelos eventuais danos causados. Porém, é uma maneira de provar a inexistência de má-fé por parte da organização em relação ao ocorrido.
O GDPR prevê a obrigatoriedade da notificação de vazamento de dados
De acordo com a legislação anterior, as empresas não eram obrigadas (legalmente) a notificar os usuários sobre vazamentos de dados. Porém, a nova regulamentação europeia deixa clara a obrigatoriedade da notificação de vazamento. Sendo que existem dois tipos de notificação.
O primeiro se refere à autoridade supervisora. Ela deve ser avisada sobre o vazamento em até 72 após a identificação do problema. Ou seja, faz-se essencial o desenvolvimento de um processo por parte das empresas no sentido de agilizar essa questão. Para o processamento de milhares ou até milhões de dados, 72 horas é um prazo curto. Assim, é primordial ter um processo bem definido para a preparação dos dados a serem informados à autoridade competente.
O segundo tipo de notificação é aquele que deve ser feito às pessoas das quais a empresa possui os dados. Sendo que essa notificação deve ser feita se o vazamento colocar em risco a privacidade dos indivíduos.
Existem altas penalidades para as empresas que agirem em desacordo com a regulamentação
Obviamente, não cabe aqui fazer um detalhamento sobre as penalidades admissíveis a cada situação, pois isso seria muito amplo. De qualquer forma, é necessário que as empresas tenham consciência sobre a existência de punições severas caso elas ajam em desacordo com o que prevê o GDPR.
Em situações graves, podem ser aplicadas multas que chegam a 20 milhões de euros. Sendo que também existe a possibilidade de o ônus recair sobre a receita anual global da organização (4%). Em casos mais simples, a penalidade também é pesada, podendo chegar a 10 milhões de euros ou 2% da receita anual global. Ou seja, independentemente da gravidade da irregularidade cometida, a punição é bastante significativa.
Conclusão
Como foi explicado ao longo do artigo, são diversos os aspectos referentes ao GDPR que geram impactos para as empresas. Sendo que isso independe do país onde elas atuam. Na verdade, o ponto chave é o fato de elas lidarem com dados de pessoas localizadas na UE.
Com isso, as empresas brasileiras que possuem qualquer tipo de contrato com companhias europeias ou que lidam (coletam, armazenam, processam ou utilizam) com dados de usuários localizados na zona de cobertura da nova regulamentação precisam ficar atentas a esse assunto. Do contrário, mesmo que sem intenção, elas podem acabar incorrendo em irregularidades. E isso certamente causará penalidades significativas.