Facebook
Facebook
09 FEBRUARY 2018

Proteção de dados pessoais em voga para 2018

09.02.2018



Ana Carolina Moreira


George de Lucena


Certamente a preocupação com os dados pessoais nunca esteve tão em alta como estará em 2018. A mudança regulatória de Privacidade e Proteção de Dados impactará mundialmente os processos das empresas, inclusive das brasileiras, que processam dados de cidadãos europeus que se encontram na União Europeia e que poderão sofrer a aplicação de multas ou restrições para o processamento desses dados, caso não estejam em compliance.
Buscando resguardar os direitos fundamentais relacionados à privacidade e proteção de dados pessoais, entramos na contagem regressiva para a eficácia do Regulamento Geral de Proteção de Dados Europeu ou "General Data Protection Regulation" – GDPR. A partir de 25 de maio de 2018, inicia-se a possibilidade da autoridade reguladora responsável aplicar sanções e multas pelo descumprimento dos preceitos estabelecidos pelo novo regulamento, e que, nos casos mais graves, podem chegar até € 20.000,00 ou 4% do faturamento anual global da empresa.
Dados do estudo da Dimensional Research/Dell, de setembro de 2016, apontam que mais de 80% das empresas sabem muito pouco ou nada sobre o GDPR, e menos de 1 em cada 3 empresas acredita estar preparada para garantir o compliance com o GDPR. E isso embora o Regulamento Geral de Proteção de Dados Europeu tenha permanecido sem produzir efeitos pelo prazo de 2 (dois) anos, o que é um prazo razoável para esclarecimentos e a implantação de projetos de conformidade com as novas disposições legais.
O Brasil ainda é considerado um país que não possui o nível adequado de proteção de dados pessoais por não possuir Lei Geral
Ainda restam algumas lacunas de entendimento do GDPR que provavelmente serão preenchidas a partir das decisões dos Tribunais Europeus e pelos esclarecimentos prestados regularmente pelo Grupo de Trabalho do Artigo 29, que atua de forma independente em questões consultivas.
Um dos aspectos relevantes do GDPR e ponto de atenção para empresas brasileiras é o princípio da extraterritorialidade, que estende as obrigações e deveres trazidos pelo regulamento a todas as entidades e empresas que coletam e processam dados de cidadãos que se encontram na União Europeia. Na atual dinâmica dos negócios, temos diversas empresas nacionais que se enquadram nesta hipótese e devem, portanto, adequar-se ao disposto no novo regulamento.
Em paralelo, o Brasil ainda é considerado um país que não possui o nível adequado de proteção de dados pessoais exigidos pelo regulamento, por não possuir no ordenamento pátrio uma Lei Geral de Proteção de Dados Pessoais.
Além de leis setoriais e esparsas sobre a matéria, o Marco Civil da Internet prevê, em seu artigo 7º, incisos IX e X, a necessidade de consentimento expresso para coleta, uso e tratamento de dados pessoais quando realizados por meio da internet, e o direito do usuário à exclusão definitiva de seus dados após o término da relação com a prestadora de serviços. No entanto, essas disposições não afastam a necessidade de uma lei específica que aborde os conceitos, as sanções e os meios para garantir sua aplicação, possivelmente por meio da criação de um órgão regulador.
Atualmente, existem três projetos de lei principais sobre proteção de dados pessoais que estão em discussão no Congresso Nacional (PL 4062/12, PL 330/13 e PL 5276/16). Com a entrada em vigor do GDPR, as discussões sobre esses PLs devem ganhar força em 2018 e receber a atenção da sociedade, sobretudo em razão da dificuldade das empresas brasileiras de coletar e processar dados pessoais de cidadãos na União Europeia.
Dentre as diversas mudanças trazidas pelas novas normas, surge a figura do Data Protection Officer, função que deverá ser criada sempre que a atividade do controlador e processador de dados envolver o monitoramento regular e sistemático de dados pessoais em larga escala. Enquadramos nessa hipótese diversas empresas que oferecem serviços e produtos a partir dos dados preexistentes, como scores de crédito, aplicativos de saúde e financeiro, redes sociais, entre outros.
A principal recomendação para 2018 é promover uma mudança cultural focada na proteção de dados e na segurança da informação. As empresas brasileiras têm menos de 4 meses para adequar e estruturar novos processos, contratar soluções, ferramentas e treinar os colaboradores para o GDPR.
Neste sentido, torna-se fundamental uma análise detalhada dos dados existentes nas bases de dados e dos futuros dados que poderão ser coletados para novos negócios. Também é fundamental a revisão dos processos internos para gestão de controle e acesso aos dados, com a verificação detida dos contratos de trabalho e principalmente dos contratos de fornecedores (de todas as áreas) que têm acesso a uma série de informações críticas da empresa, além das ferramentas utilizadas pela área de Tecnologia da Informação. A partir deste levantamento, será possível verificar quais processos são mais críticos e quais são as medidas prioritárias para garantir o cumprimento das disposições do GDPR.

Fonte:
Valor Econômico, Legislação & Tributos / SP


« Voltar