Select Page

O que é a GDPR ou a lei de proteção de dados europeia?

O que é a GDPR ou a lei de proteção de dados europeia?

Nos últimos anos, as notícias de uso indevido de dados pessoais por parte de algumas empresas como o Facebook e de vazamento de informações sem qualquer aviso aos titulares desses dados já vinha sendo um indício de que era preciso regular o uso dos dados pessoais coletados, a fim de respeitar a privacidade dos cidadãos.

Em consonância com essa necessidade, a União Europeia iniciou em 2012 os estudos para essa regulação. O projeto foi aprovado em 2016, mas só no dia 25 de maio deste ano de 2018 entrou em vigor. Trata-se do General Data Protection Regulation da União Europeia (GDPR), ou Regulação Geral de Proteção de Dados, em português.

Para entender um pouco mais sobre o que é GDPR, quais obrigações são estabelecidas e como essa regulação afeta o Brasil, continue a leitura deste artigo!

O que é GDPR?

Como ressaltado, GDPR é a sigla para Regulação Geral de Proteção de Dados da União Europeia, que entrou em vigor neste ano e oferece um período de 2 anos para adaptação pelas empresas.

A principal finalidade é garantir a privacidade das informações pessoais coletadas e o direito do cidadão ter ciência de quais dados estão em poder das organizações, bem como de pedir que essas informações sejam eliminadas dos seus registros.

Deve se ajustar à legislação europeia, sob pena de pagamento de multa, qualquer empresa que colete dados de cidadãos europeus. Isso significa que não importa de onde é essa empresa, mas se ela atende ou não algum cidadão com residência em qualquer país do bloco europeu.

Além disso, não importa a que título essa relação se dá — oneroso ou gratuito —, seja prestador de serviço, rede social, companhia de marketing, varejista ou qualquer outra empresa, independentemente do porte: desde que colete dado pessoal, estará sujeita à regulação.

Quais são as principais obrigações previstas na GDPR?

Com a entrada em vigor da GDPR, as empresas já devem estar preparadas para o cumprimento das obrigações impostas. Entre as mais importantes, destacamos algumas.

Exigência de um DPO

As empresas devem eleger um Data Protection Officer (DPO), que é o executivo responsável por supervisionar o tratamento dos dados pessoais, gerenciar as requisições, garantir que os processos estejam em compliance com as exigências da GDPR, comunicar-se com as autoridades sempre que necessário e prestar os esclarecimentos solicitados pelo público.

Consentimento do usuário

Outra obrigação imposta à empresa é a necessidade de consentimento do usuário para a coleta dos seus dados pessoais, bem como o esclarecimento sobre a finalidade para a qual os dados serão usados. Para isso, ela deve se valer de linguagem inteligível, transparente e facilmente acessível para se comunicar com os cidadãos.
Acesso aos dados pelo usuário.

A empresa deve, ainda, oferecer meios ao usuário de acessar os dados que se encontram sob seu poder, de solicitar a migração dos seus dados para outra companhia e de requerer a exclusão das informações pessoais e o interrompimento da coleta dos dados.

Além da empresa garantir meios para que o usuário faça essas solicitações, ela deve respeitar a vontade do titular do dado e cumprir com a determinação recebida.

A proteção dos dados deve ser uma preocupação desde o início da formação do sistema, como parte essencial e crucial desse. A proteção de dados, portanto, precisa ser tratada com o mesmo cuidado que a empresa protege os seus próprios dados. Trata-se de respeito aos clientes e da preservação de uma boa imagem perante o público.

Mesmo tomando todos os cuidados necessários, caso a empresa seja vítima de algum ataque cibernético — como invasão ao seu sistema, vazamento de dados ou qualquer incidente que coloque os dados coletados em risco —, ela deve notificar a autoridade europeia em até 72h após a sua detecção. Além da comunicação aos órgãos oficiais, a organização deve apresentar um plano de ação voltado para mitigar o problema ou, no mínimo, para reduzir os impactos na vida das pessoas envolvidas.

Apesar de não ser uma obrigação, existe uma recomendação para que as companhias adotem a pseudonimização. Trata-se de uma forma de proteção de dados por meio da ocultação ou substituição de determinadas informações que possam identificar o usuário.

O descumprimento dessas e de outras obrigações previstas na GDPR pode implicar multa de até 20 milhões de euros ou no valor equivalente a 4% do último faturamento anual da companhia — o que for mais alto. A finalidade, portanto, é fazer com que as empresas adotem as medidas de proteção necessárias, assumindo essa responsabilidade perante seus usuários.

Como a GDPR afeta o Brasil?

Embora se trate de uma legislação internacional, ela obriga toda e qualquer empresa que armazene, colete ou processe dados de cidadãos que residam em algum país da União Europeia, independentemente de onde seja a sua sede. Isso se aplica, consequentemente, às empresas brasileiras que se encaixam nessa descrição.

Assim, se uma empresa brasileira de marketing digital, por exemplo, presta serviço para alguém que resida em qualquer país da União Europeia, ela precisa se adaptar a essas exigências, sob pena de ser condenada ao pagamento de multa ou outra sanção.

Empresas multinacionais, como de redes sociais e serviços de streaming, que adotaram as exigências da GDPR o fizeram para todos os seus usuários, e não apenas para os europeus. Por essa razão, muitas pessoas residentes no Brasil receberam e-mails para autorizar o uso de seus dados. Isso pode se dever tanto a uma questão prática, já que é mais fácil adotar um único sistema para todos, quanto à adoção de uma nova política de proteção.

Nesse sentido, essa também é uma oportunidade de as empresas brasileiras que coletam dados de cidadãos do bloco europeu adotarem as práticas de proteção de dados também para os nacionais. Além de respeito aos clientes, seria uma forma de já se antecipar às obrigações da Lei Geral de Proteção de Dados do Brasil, publicada em agosto de 2018 e que entra em vigor em fevereiro de 2020.

Agora que você já sabe o que é GDPR, pode se adaptar às suas exigências caso a sua empresa colete ou armazene dados de cidadãos europeus.

Fonte: Galvão & Silva Advocacia.

Sobre o Autor

Redação

O Bizmeet é um das principais referências do Centro-Oeste nas áreas de Tecnologia e Inovação. É ganhador de prêmios regionais e até mundialmente reconhecido. Empresas e instituições de grande renome já investiram em iniciativas do portal

Share This

Newsletter

Inscreva-se para receber notícias e atualizações.

Sua inscrição foi realizada com sucesso