Pedro Henrique Barbisan Bertuol
Em 25 de maio de 2018, após uma vacatio legis de dois anos, entrou em vigor, na União Europeia (“UE”), o Regulamento Geral sobre Proteção de Dados (General Data Protection Regulation – “GDPR”), com vistas a uniformizar as normas de proteção de dados pessoais entre os países membros do bloco, proteger a privacidade de dados de cidadãos europeus e reformular a maneira com a qual as organizações lidam com essas informações.
O âmbito de aplicação material do GDPR é bastante extenso, abrangendo praticamente qualquer operação de “tratamento” (coleta, registro, organização, conservação, utilização, divulgação destruição) de “dados pessoais” (entendidos como qualquer informação que possa servir, direta ou indiretamente, para identificar uma pessoa, como nome, e-mail, dados bancários, número de identificação).
Do ponto de vista territorial, o âmbito de aplicação do GDPR é global, já que incide sobre qualquer empresa que processe dados pessoais de indivíduos residentes da UE, independentemente da localização da empresa e do local na qual esse processamento ocorra. Portanto, empresas localizadas no Brasil também podem ser afetadas pela nova norma, caso desenvolvam atividades que requeiram o tratamento de dados pessoais de cidadãos europeus relacionado (i) à oferta de bens ou serviços a essas pessoas, ainda que gratuitamente; ou (ii) ao monitoramento do comportamento desses indivíduos.
As empresas sujeitas ao GDPR ficam obrigadas, por exemplo, a requerer, de forma clara, simples e inteligível, o consentimento do titular dos dados para seu processamento (e a obter expressamente esse consentimento), a manter seus arquivos em ordem, a informar, a qualquer pessoa que lhes solicite, se informações pessoais dela estão sendo processadas, onde ocorre o processamento e por qual motivo – ou seja, para qual finalidade as informações são utilizadas –, a fornecer cópia dessas informações ao seu titular, a notificar o titular dos dados no caso de violação que possa representar risco ao seus direitos e à sua liberdade, e a apagar os dados pessoais mediante solicitação do titular, quando deixarem de ser necessários para a finalidade que motivou sua coleta ou tratamento.
Vale ressaltar que as multas previstas no GDPR podem chegar a até 4% do faturamento anual global da empresa, limitadas a vinte milhões de euros. Por isso, é importante que as empresas brasileiras que se enquadrem nesses requisitos e que realizem tratamento de dados pessoais de cidadãos da União Europeia passem a adequar suas práticas e procedimentos internos às normas do GDPR desde já.