Por Lila Machado, advogada associada do Zaroni Advogados

O Regulamento Geral de Proteção de Dados (GDPR), aprovado pelo Parlamento da União Europeia em abril de 2016 parecia, à primeira vista, valer apenas dentro das fronteiras da União Europeia. No entanto, este novo regulamento inclui também as organizações de fora, que lidam com dados pessoais de residentes nos países membros. Portanto, este assunto merece a atenção de todas as empresas, principalmente no que se refere aos assuntos abordados abaixo.

O GDPR unifica a forma como as empresas devem administrar a privacidade, devolvendo aos residentes da UE o controle sobre os dados pessoais recolhidos para fins comerciais ou políticos.

O principal objetivo é restringir a comercialização de dados pessoais, reforçando a ideia que esse conjunto de informações não pode ser tratado como uma mercadoria. Mas, acima de tudo, como um direito fundamental e à liberdade. São mudanças que impõe um novo comportamento às empresas.

De acordo com o Artigo 4.2 do GDPR: qualquer operação ou conjunto de operações efetuadas em dados pessoais ou em conjuntos de dados, por meios automatizados ou não, como captura, registro, organização, estruturação, armazenamento, adaptação ou alteração, consulta,  utilização, divulgação, disponibilização, alinhamento ou combinação, restrição ou destruição. O regulamento também é obrigatório para empresas de fora da União Europeia que ofereçam, exigindo pagamento ou não, bens ou serviços relacionados a dados pessoais, processando e mantendo esses dados, independentemente da localização da empresa.

É importante registrar que não se trata de um cenário incomum no contexto digital de hoje. E-commerce, anúncios em mídias sociais, serviços de computação em nuvem e inúmeras atividades comerciais relacionadas à Internet, entre outras, sempre que envolverem o uso de dados pessoais de residentes em países europeus devem se submeter à aplicação das regras do documento.

As autoridades competentes têm poder total de investigação sobre os controladores e processadores, incluindo solicitação de informações, acesso às instalações de uma empresa e exigem que uma empresa execute ações positivas para cumprir todos os direitos e obrigações mencionados acima.

Qualquer empresa que não cumpra os requisitos sobre o processamento de dados pessoais dos residentes da UE está potencialmente sujeita a sanções severas, incluindo multas administrativas a partir de 10 milhões de euros e a proibição de processar dados pessoais.

Sendo assim, é importante ressaltar que todas as empresas que manipulam e processam dados pessoais devem estar cientes das novas regras e, quando aplicável, considerar a redação de novas cláusulas contratuais para assegurar que transações e operações envolvendo o uso de dados pessoais permaneçam legais.