Por Caio César Carvalho Lima
Post Convidado
Desde o dia 25.05.2018, o Regulamento Geral de Proteção de Dados (“GDPR” – General Data Protection Regulation) europeu passou a ser aplicável, cabendo destacar que seus efeitos vão muito além da Europa.
A nova regulamentação pode se aplicar também a empresas brasileiras, desde que ocorra qualquer um desses fatores: i) a organização ofereça bens ou serviços a pessoas localizadas no território da União Europeia, independentemente da cidadania do titular dos dados; ou ii) haja prática do monitoramento de comportamento de pessoas naturais que estejam no território da União. Adicionalmente, nas situações em que empresas brasileiras tiverem filial, sucursal ou outro tipo de estabelecimento na Europa, isso também pode trazer a incidência do GDPR para parte de suas atividades.
Diante disso, importante que as organizações estejam atentas aos impactos dessa legislação, sendo fundamental que realizem estudo para identificar se estão dentro de uma das situações que atraem a incidência do Regulamento. Se for positiva a resposta, devem ter especial atenção para alguns pontos.
Primeiramente, deve ser realizada uma análise sobre o ciclo de vida dos dados pessoais (contemplando coleta, uso, armazenamento, compartilhamento e exclusão dos dados), avaliando a eventual necessidade de nomeação de representante na Europa ou DPO (Data Protection Officer), confirmando que há base legal para o tratamento (consentimento; execução de contrato; legítimos interesses, entre outros) e que tudo é realizado de acordo com os princípios gerais do GDPR (limitação do propósito, minimização da coleta, transparência, entre outros), inclusive respeitando-se todos os direitos dos usuários (acesso à informação, retificação, esquecimento, oposição, limitação, portabilidade dos dados, a estes não se limitando).
Com essa avaliação inicial, a qual é fundamental até mesmo diante do princípio de accountability (o qual obriga às organizações a terem evidências sobre o cumprimento do GDPR), a empresa conseguirá mapear especificamente os eventuais pontos de atenção, passando ao segundo passo, que contempla a elaboração de políticas e regras correlacionadas ao tratamento dos dados, as quais englobam principalmente:
– Política Interna Global de Proteção de Dados;
– Manual de Vazamento de Dados Pessoais;
– Revisão dos contratos com prestadores de serviços que tratam dados pessoais;
– Formulário de Registro de Atividades de Tratamento;
– Formulário de Análise de Risco das Atividades de Tratamento;
– Formulário para realização de DPIA (Data Protection Impact Assesment, que representa avaliação específica destinada as atividades forem classificadas como sendo de alto risco);
– Aviso de Privacidade interno aos empregados; e
– Elaboração da Política de Privacidade e de Cookies do site acessível para os titulares que se encontram na Europa.
Realizados esses passos, certamente a organização estará em ótimo caminho para que esteja compliant não apenas com o GDPR, mas também com as leis setoriais brasileiras sobre o tema (Código de Defesa do Consumidor e Marco Civil da Internet, principalmente) e futura legislação nacional geral sobre proteção de dados (a qual certamente terá como inspiração o GDPR), cabendo destacar que os principais Projetos de Lei sobre o tema tramitam com celeridade nas Casas Legislativas e a Lei Geral de Proteção de Dados brasileira pode ser aprovada ainda neste ano.
