1

O Regulamento GDPR aplicado às Empresas Brasileiras

Entrou em vigor dia 25 de maio de 2018, após um período de transição de dois anos, a nova legislação europeia relativa à proteção de dados pessoais – o Regulamento Geral de Proteção de Dados (GDPR). Em que pese o GDPR ser aplicado primordialmente às empresas da União Europeia (UE), que estão obrigadas a adequar suas atividades de processamento de dados para garantir a conformidade com o GDPR, também muitas empresas brasileiras deverão buscar este procedimento, devido ao âmbito territorial estendido desta regulamentação. Vamos conferir mais informações sobre o GDPR aplicado às Empresas Brasileiras.

Âmbito Territorial Estendido do GDPR

O GDPR estabelece que os controladores e processadores de dados, que não estejam estabelecidos na UE, estarão sujeitos as suas regras se o processamento estiver relacionado com: (i) oferta de bens ou serviços para indivíduos localizados na UE (mesmo sem nenhum pagamento), ou (ii) monitoramento do comportamento de titulares de dados na UE.

A questão chave para entender o GDPR aplicável às empresas brasileiras é verificar se o processador ou o controlador de dados contempla ou tem a intenção de oferecer bens ou serviços na UE. A apuração desta questão pode envolver uma combinação de fatores, como por exemplo, (i) se é um comércio eletrônico operado fora da UE, mas acessível por indivíduos na UE; (ii) se as línguas e moedas utilizadas no website são padrões dentro da UE; (iii) se existe a possibilidade de enviar mercadorias para a UE; (iv) se o website aceita usuários do exterior. Também outros serviços localizados no Brasil e destinados a usuários localizados na UE serão afetados, como serviços em nuvem (cloud) aplicações de internet, operadoras de meios de pagamento, outsourcing de folha de pagamento, licenciamentos de software por meio de SaaS e até mesmo plataformas de anúncios em redes sociais, dentre outros.

Além disso, caso o controlador ou o processador de dados estejam estabelecidos na UE aplica-se o GDPR, mesmo se a atividade de processamento dos dados não se verificar na UE. Assim, as empresas que têm filiais na UE podem ser consideradas como controlador ou processador de dados, tendo que cumprir as regras do GDPR, mesmo que esta filial mantenha os dados pessoais em servidores de grupo que estão localizados fora da UE. Esse é o ponto chave do GDPR aplicado às Empresas Brasileiras.

Sanções

O GDPR introduziu graves sanções pelo descumprimento de suas regras, as quais podem ir até 2% das receitas de negócios anual global ou 10 milhões de euros (o que for maior) e em alguns outros casos estas sanções podem ir até 4% das receitas de negócios anual global ou 20 milhões de euros (o que for maior), as quais independem das medidas corretivas que podem ser impostas pelas autoridades supervisoras.

GDPR aplicado às Empresas Brasileiras

A primeira medida a tomar é verificar se o processador ou o controlador de dados está sujeito ao âmbito territorial do GDPR, ou seja, verificar se existe a oferta de bens ou serviços para indivíduos localizados na UE ou o monitoramento do comportamento de titulares de dados na UE.

Caso seja este o caso, como o Brasil não possui uma legislação de proteção de dados similar ou compatível com o GDPR, o controlador ou o processador de dados precisa realizar um projeto de conformidade profundo.

O primeiro passo nesse projeto seria mapear e preparar um inventário dos dados pessoais tratados pela empresa. Isso acontece para que o controlador possa identificar em quais pontos reúne os dados pessoais. Além disso, o que faz com estes dados e como processa os dados pessoais.

Depois que estas questões foram avaliadas, o controlador de dados deve analisar alguns pontos. Um deles é se ele processa dados pessoais em conformidade com o GDPR. Os pontos nos quais os dados pessoais não forem processados em conformidade com o GDPR devem ser ajustados. Assim, pode-se garantir a conformidade, tomando-se as medidas necessárias para garantir a segurança dos dados pessoais. Pode ser necessária a criação de políticas e processos especiais. Por exemplo, para controle de acesso, segurança, criptografia e retenção dos dados. Incluindo também a criação de toda uma cadeia de custódia auditável. Assim pode-se verificar quem e como realiza os processamentos dos dados.

Conclusão

Serão necessários também, no GDPR aplicado às Empresas Brasileiras, compreender os riscos de vazamento. É preciso criar os planos de ação nessas situações. Pode, ainda, ser necessário nomear um representante da empresa na EU. Ele pode ser um DPO (agente de proteção de dados). Ele deve ser isento para criar, implantar e gerir as políticas de proteção de dados. Até mesmo um cyber seguro pode ser necessário. Nesse caso, cabe também a empresa entender o seu risco de tratamento dos dados para fazer essa definição.

Processadores e controladores de dados devem rever seus sistemas. Assim podem determinar em quais pontos e que tipos de dados pessoais são transferidos para fora da UE. Além disso, deve avaliar se pode se beneficiar de salvaguardas ou exceções especiais. E assim avaliar se é possível fazer esse tráfego de dados para fora da EU, mas de acordo com as regras estabelecidas no GDPR.

Um comentário em “O Regulamento GDPR aplicado às Empresas Brasileiras

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Scroll to top