Por que é importante estar atento às novas regras do Regulamento Geral de Proteção de Dados europeu 

Por: Cabanellos Advocacia em 23 de 05 de 2018

Alerta importante, principalmente para empresas que mantenham relações, ou pensem em manter, com cidadãos ou empresas europeias. O Regulamento Geral de Proteção de Dados – RGPD entra em vigor dia 25 de maio. Gabriela Coelho, sócia do Cabanellos Advocacia, traz um artigo sobre o assunto e ressalta a relevância de um compliance digital nas empresas como instrumento preventivo.

 

 

Nossa sociedade está passando por uma acelerada alteração nas estruturas de interações pessoais. A popularização da internet e dos computadores vem revolucionando a forma de comunicação e transmissão de conhecimento, gerando um impacto tão expressivo que a sociedade passou a adotar uma nova lógica de organização, na qual a posse de dados é vista como detenção de poder. Seguindo nesta perspectiva, dados e informações pessoais passaram a ter o papel de matéria prima básica para este novo formato de capitalismo, no qual toda utilização feita na rede deixa um rastro oculto de informações, permitindo que terceiros tenham acesso indiscriminado a dados do usuário, trazendo a consequente mitigação do direto à privacidade.

Na era do Facebook, Instagram, Linkedin e de tantos outros aplicativos que surgem aos milhares diariamente, as tecnologias da comunicação e informação caminham no sentido oposto à esfera privada, entendida como autodeterminação informativa, como poder de controlar a circulação das próprias informações. Ou seja, este seria o “preço” a ser pago para usufruir desta sociedade da informação.

Buscando viabilizar e regularizar esta situação que, diga-se de passagem, é inevitável, o Parlamento Europeu e o Conselho emitiram o Regulamento 2016/679 que entra em vigor no próximo dia 25 de maio de 2018. Tal norma incorpora a evolução tecnológica e a globalização como pontos de partida e introduz um novo modelo de proteção de dados, trazendo uma gestão e uso responsável da informação. O avanço trazido por esta norma para o modelo europeu de gestão e proteção de dados é inquestionável e coloca a União Europeia em um novo patamar em relação a este assunto.

O novo regulamento geral de proteção de dados pessoais passará a ser aplicável no dia 25 de maio de 2018, sendo obrigatório todos os seus elementos e diretamente aplicável a cada Estado membro da União Europeia. Passa-se de uma gestão de dados ao uso responsável da informação, e tal afirmativa vai muito mais além. Passará a se apreciar as questões através do princípio de accountability (art. 24 do RGPD), ou seja, uma responsabilidade proativa, com princípios que vão desde a privacidade por desenho e padrão (artigo 25 do RGPD) até a figura de um Delegado de proteção de dados, que nada mais seria que uma pessoa responsável por garantir a integridade e a proteção de todos os dados pessoais que transitam dentro de uma empresa.

O RGPD traz significativos avanços que passam desde uma ampliação dos chamados direitos ARCO (acesso, retificação, cancelamento e oposição), incluindo o direito ao esquecimento, direito à portabilidade de dados e decisões individuais automatizadas, como também novos conceitos como a “pseudonimização” de dados, o encarregado pela proteção de dados e a privacidade de dados desde a conceção e por padrão.

A partir de agora, o Novo Regulamento atribui a competência para declarar adequado o grau de proteção dado por determinado país fora da União Europeia ou organização internacional sobre o controle de dados pessoais, a uma Comissão. Porém, com o objetivo de auxiliar o trabalho desta Comissão, o Regulamento prevê em seu artigo 70.1 que o Comitê facilitará o trabalho da Comissão, emitindo um parecer para avaliar o nível de proteção de onde se pretende autorizar a transferência internacional de dados.

A consequência mais importante sobre esta decisão de adequação está na autorização para que a transferência seja feita a quem solicitou, não necessitando de autorização específica. Além disso, tal decisão obriga, de outra parte, o acompanhamento e supervisão por parte da Comissão de maneira contínua sobre os acontecimentos e desdobramentos de tal decisão. Haverá uma revisão sobre a decisão a cada quatro anos, pelo menos, com o objetivo de constatar se os níveis de proteção seguem estando adequados aos parâmetros estabelecidos pela Comissão.

Não sendo constatada a manutenção da proteção dos dados pessoais nestes critérios, a Comissão revogará, modificará ou suspenderá a decisão anterior, proibindo a transferência de dados pessoais, não havendo efeito retroativo desta decisão.

Ainda sobre este tema, as normas corporativas vinculantes, também conhecidas como Binding Corporate Rules (BCRs), requerem uma atenção especial. Estas normas são um elemento legitimador das transferências internacionais de dados dentro de um grupo empresarial, ou uma união de empresas, embasando políticas de proteção de dados pessoais sob a responsabilidade do encarregado de tratamento, que permitam sua proteção para além das fronteiras europeias.

As BCRs são consideradas fontes de obrigação para os responsáveis e encarregados da proteção de dados pessoais e possuem caráter vinculante enquanto declaração unilateral de vontade. Contudo, justamente ciente de que tais regras poderiam gerar problemas de aplicação, o RGPD reconhece esta regulação e prevê em seu artigo 47.1 os seus requisitos, garantindo que a autoridade de controle competente aprovará normas corporativas vinculantes sempre que forem juridicamente vinculantes e se apliquem e sejam cumpridas por todos os membros do grupo empresarial, inclusive seus empregados; confiram expressamente aos interessados direitos exigíveis em relação ao tratamento de seus dados pessoais e cumpram o apartado 2, que regula o que é considerado conteúdo mínimo para as BCRs.

O grande objetivo do legislador europeu foi de que as BCRs de fato garantissem o direito à proteção de dados pessoais, considerando o complicado e complexo panorama mundial que a cada dia realiza mais transferências internacionais. Exatamente em virtude disso, o legislador traz no artigo 47.2 o que deve contar nestas normas corporativas vinculantes, não deixando espaço para subjetividade. Após elaboradas pelo responsável de dados do grupo econômico, este deve submeter a aprovação à autoridade de controle competente.

Em um mundo globalizado como vivemos hoje, imprescindível que toda e qualquer empresa que mantenha relações, ou pense em manter, com cidadãos ou empresas europeias, busque adequar-se de forma antecipada ao que diz o presente regulamento, pois do contrário pode estar sujeito a altas multas que podem chegar até 20.000.000,00 de euros ou 4% do volume de negócios total anual da empresa.

Todos estes novos conceitos e avanços sinalizam para uma necessidade de estruturação e organização das empresas para este novo cenário, no qual o compliance digital será uma premissa para a atuação e garantias destes novos direitos e conceitos trazidos pelo RGPD.

Por Gabriela Coelho, sócia do Cabanellos Advocacia