top of page
Este site foi desenvolvido com o criador de sites
.com
. Crie seu site hoje.Começar

Regulamento Geral de Proteção de Dados (RGPD) e Compliance, as empresas ouvirão falar muito disso em



O Regulamento Geral de Proteção de Dados, (RGPD) aprovado pela União Européia ou General Data Protection Regulation (GDPR), está em vigor desde 25 de maio de 2018 (2016/679) e já causou alguns impactos no que tange aos pactos contratuais de empresas estabelecidas na União Européia com relacionamentos negociais com empresas de países fora da zona limítrofe.


O objetivo desse regulamento é proteger a privacidade das pessoas que se encontram no território da União Europeia.


É importante ressaltar que, embora essa realidade até então pudesse parecer distante, a internet rompeu barreiras e distâncias, construindo pontes inimagináveis afastando diretamente muros geográficos.


Até então, sem regras, a internet vinha se tornando terra sem lei, onde a privacidade e dados pessoais estavam fragilizados.


Escândalos ocorreram e demonstraram que as empresas não tem adotado cuidados com a armazenagem e tratamento de informações de seus “clientes”, em 2015 hackers acessaram um pacote de 9,6 gigabytes de dados do site de traição Ashley Madison. Os arquivos incluíam dados de transações financeiras, credenciais de acesso (endereço de e-mail e senha criptografada) e diversos dados cadastrais dos usuários, a invasão teria ocorrido por causa de um serviço que promete apagar todos os registros de usuário do site. Para os invasores, esse serviço era uma fraude, pois as informações de pagamento do usuário - incluindo o nome completo - continuavam armazenadas pela empresa. A companhia negou a acusação dos invasores e disse que todas as informações são removidas com o uso da opção, que depois passou a ser oferecido gratuitamente, em abril de 2015, o mundo soube que o Facebook também tinha uma fragilidade no que tange ao tratamento e segurança dos dados de seus usuários, o aplicativo dentro da rede de relacionamentos chamado "thisisyourdigitallife" utilizava a proposta de oferecer previsões sobre a personalidade do usuário com base nas respostas obtidas a partir de um quizz. Ao fazer login com a conta do Facebook, o app recebia diversos dados pessoais, como seus interesses e dados mais elementares da conta, como e-mail ou data de nascimento, a empresa teria obtido e disponibilizado para terceiros uma lista com dados como nomes, gênero, idade, local de residência e os resultados de personalidade projetados pelo quizz. Somente 270 mil pessoas teriam realmente usado o aplicativo, o que teria sido suficiente para dar acesso à companhia aos dados de milhões de pessoas.


Esses foram os escândalos que romperam fronteiras mundiais, da mesma forma que a tecnologia, os regulamentos que tratam dessas questões também acabaram abrangendo países que possuem um relacionamento direto e indireto com empresas.


Além dos prejuízos materiais, decorrentes do vazamento de informações, por inobservância de cuidados ou de legislação, ainda há o reflexo negativo e abalo de imagem das empresas que não adotam cuidados mínimos.


Os relacionamentos empresarias de companhias brasileiras com européias agora estão submetidas às cláusulas contratuais pautadas na respectiva legislação.


A obrigação das empresas brasileiras não ficam apenas vinculadas a adoção de cláusulas contratuais e sim de cumprir as exigências do RGPD, o artigo 6º do GDPR estabelece que o tratamento somente será lícito e legítimo se pelo menos um dos seguintes itens se aplicar:

(i) O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades especificas;


(ii) O tratamento é necessário para a execução de um contrato no qual o titular dos dados é parte, ou para demandas pré-contratuais a pedido do titular dos dados;


(iii) O tratamento é necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento está sujeito;


(iv) O tratamento é necessário para proteger interesses fundamentais do titular dos dados ou de outra pessoa natural;


(v) O tratamento é necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública que esteja responsável pelo tratamento;


(vi) O tratamento é necessário para atender interesses e/ou fins legítimos do responsável pelo tratamento ou de terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.


Será necessário adotar uma política de consentimento para que haja o tratamento de dados sensíveis de terceiros ou decorrentes da relação jurídica já estabelecida (mesmo que antes da vigência do Regulamento).


Direitos do titular dos dados


O Regulamento estabelece uma série de direitos aos titulares dos dados pessoais no Capítulo III, tais como:

  • Direito de informação: o titular dos dados tem o direito de obter a identidade do responsável pelo tratamento; o contato da autoridade responsável pela proteção de dados (DPO), quando aplicável; as finalidades do tratamento; e qualquer informação necessária para garantir um tratamento justo e transparente dos dados.

  • Direito de acesso: o titular tem o direto de obter a confirmação de que seus dados estão ou não sendo objeto de tratamento e, em caso positivo, pode acessar os dados e receber informações sobre o tratamento e suas finalidades, ser informado para quais terceiros os dados serão divulgados e se existem decisões tomadas automaticamente a partir dos dados tratados.

  • Direito de retificação: o controlar tem a obrigação de retificar dados incorretos, sem demora injustiçada, a pedido do titular dos dados.

  • Direito de portabilidade dos dados: o titular dos dados tem o direito de receber os dados a seu respeito ou os dados tenha fornecido, num formado estruturado, de uso comum, fácil leitura e de uma forma legível por máquinas/computadores, e o direito de transmitir esses dados a outro responsável pelo tratamento sem oposição do responsável que recebeu os dados num primeiro momento.

  • Direito de restrição: o titular tem o direito de se opor ao tratamento de seus dados pessoais, a qualquer momento, por quaisquer motivos particulares. O responsável pelo tratamento deve cessar o tratamento sem demora injustificada, a não ser que prevaleçam outros interesses legais.

  • Direito ao esquecimento/apagamento: o titular dos dados tem o direito de reivindicar ao responsável pelo tratamento de dados o apagamento/exclusão dos seus dados pessoais sem demora injustificada quando não mais são necessários para a finalidade que motivaram sua coleta; e quando o titular retira seu consentimento para o tratamento de dados e não existe outro fundamento jurídico que justifique o tratamento.

O direito ao esquecimento não se aplica obrigatoriamente quando entrar em conflito com exercício da liberdade de expressão e informação, motivos de interesse público ou cumprimento de obrigação legal prevista pelo direito da União Europeia ou de Estado-Membro a que esteja sujeito.


Em regra, a transferência de dados para países fora da União Europeia ou organizações internacionais pode ocorrer para países que asseguram o consistente nível de proteção de dados.


A Comissão Européia faz a avaliação do país que não pertence a EU, verificando se esse país tem consistentes planos e ações de tratamento de dados, se houver, a transferência de dados pessoais pode ocorrer sem autorização específica da autoridade de proteção de dados, tampouco serão necessárias medidas protetivas posteriores. A relação de países com adequação reconhecida é avaliada periodicamente, a cada quatro anos, e divulgada pela Comissão Europeia.


Em caso de transferência para países não aprovados, é necessário que os responsáveis pelo tratamento apresentem as chamadas "garantias de adequação", que vão desde assinatura de contrato aprovado pela Comissão Europeia ou pela autoridade de proteção de dados; adoção de códigos de conduta e certificações.


Empresas que tenham operações que exijam controle e tratamento seguro, tais como instituições financeiras, administradoras de cartões, rede de relacionamentos, empresas de tecnologia, entre outras , necessitam do profissional Data Protection Officer, que terá diversas atribuições, dentre elas exercer o controle sobre o cumprimento do Regulamento e responder requisições da autoridade de proteção de dados e de outros órgãos governamentais.


As empresas que tomarem conhecimento do vazamento de informações deverão comunicar as autoridades no prazo máximo de 72 (setenta e duas) horas, assim que tomarem conhecimento do fato.


As multas variam de 20 milhões de euros até 4% do valor do faturamento anual a nível mundial.


Como isso afeta as empresas brasileiras?


Se a empresa brasileira possui relacionamento com empresas que estão diretamente vinculadas ao RGPD, deverão possuir códigos de condutas e certificações, além de se submeterem a cláusulas contratuais prevendo a aplicabilidade da norma da União Européia, mais uma vez vemos a necessidade da existência de um Compliance que tem a obrigação de verificar a conformidade.


E como fica a atuação do Brasil perante a necessidade de uma norma regulatória?

Em Agosto de 2018, foi publicada a Lei 13709, que espelha as regras da União Européia, inclusive com a figura do Encarregado de Dados, similar ao Data Protection Officer.


Pois bem, no dia 28/12/18, foi publicada a MP 868, que altera o marco geral da internet e cria a e cria a Autoridade Nacional de Proteção de Dados – ANPD e exclui a figura do Encarregado de Dados seja exclusiva como pessoa natural.


Regula também dispositivos legais que se referem ao tratamento de dados por pessoas jurídicas de Direito Privado, dos dados pessoais constantes em bancos de dados e da vedação de comunicação ou uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com o objetivo de se obter vantagem econômica.


E o que difere o RGPD da União Européia com a Lei 1370/18 e a MP 868 de 28/12/18, publicada ao apagar das luzes do ano de 2018?


A RGPD tem sido uma preocupação constante das empresas europeias, incluindo a adequação, obediência e a exigência perante parceiros fora do eixo da EU, havendo a contratação de profissionais especializados para fazer cumprir todas as regras já que culturalmente existe a ideia que uma vez regra, deve-se ter obediência.


Já com relação a aplicação da Lei 1270/18 e a MP 868, as empresas caminham a passos lentos, mesmo porque não existe efetividade em fiscalização, somente agora foi criada a ANPD, ou seja, as empresas que possuem negócios com países europeus preocupam-se mais com a RGPD e fazem esforços para atende-la do que efetivamente atender ao regramento nacional, justamente por saberem que até o momento pouco se sabe ou se vê sobre efetividade da norma brasileira.




Teresa Cristina Sant'Anna





Posts Em Destaque
Posts Recentes
Arquivo
Procurar por tags
Nenhum tag.
Siga
  • Facebook Basic Square
  • Twitter Basic Square
  • Google+ Basic Square
bottom of page