O regulamento geral sobre a proteção de dados, aprovado pelo Parlamento da União Europeia em abril de 2016, em uma análise inicial, parece ser aplicável somente nos países que integram àquela entidade. No entanto, vale ressaltar que esse novo regulamento, que entrará em vigor no próximo dia 25 de maio, também se aplica a organizações estabelecidas fora da UE que lidam com dados pessoais de residentes da União Europeia. Portanto, esse é um assunto que merece a atenção de todas as empresas do setor.

As empresas que não cumprirem com as exigências do GDPR estão potencialmente sujeitas a graves sanções, incluindo multas administrativas de, no mínimo, € 10 milhões e proibição do tratamento de dados. Ou seja, todas as empresas que lidam e tratam de dados pessoais devem estar cientes das novas regras e, se aplicável, precisam estipular novas cláusulas contratuais de forma a garantir que as transações e operações que usam dados pessoais permaneçam lícitas de acordo com as novas regras europeias.

“O objetivo da medida é limitar a mercantilização de dados pessoais, reforçando a ideia de que tal grupo de informações não deve ser considerado como uma mercadoria, mas, acima de tudo, como um dos direitos e liberdades fundamentais dos indivíduos. A nova regulamentação unifica a maneira como as empresas devem gerenciar dados pessoais e a privacidade, devolvendo aos residentes em países que integram a UE o controle sobre os próprios dados pessoais coletados para fins comerciais ou políticos”, explica Raphael Zaroni, sócio do Zaroni Advogados.

O regulamento impõe um novo comportamento às empresas e é obrigatório mesmo para quem não tem sede ou filiais em países do velho continente, mas que oferecem, em troca de pagamento ou gratuitamente, mercadorias ou serviços relativos a dados pessoais de residentes, por meio do tratamento e retenção de dados, independentemente do local da empresa.

Essas empresas deverão observar as exigências definidas como, por exemplo, indicar um responsável pelo tratamento de dados (que deverá responder por todas as operações de processamento de dados pessoais dentro da empresa) e, em alguns casos, designar um representante situado em um país europeu para representar a empresa em caso de inspeção pelas autoridades competentes.

No atual contexto global e digital, esse não é um cenário raro. Comércio eletrônico, publicidade em mídias sociais, serviços de computação em nuvem e uma infinidade de negócios na Internet, entre outras atividades, estão sujeitos às regras do GDPR sempre que fazem o uso de dados pessoais de residentes da UE.

“Os agentes de tratamento, muitas vezes, não somente gerenciarão dados pessoais cedidos mediante consentimento expresso do titular, mas também precisarão lidar com os dados pessoais necessários para a execução de um contrato ou para garantir a conformidade com as obrigações legais impostas a esses agentes, proteger os interesses vitais dos titulares dos dados e em outras hipóteses”, destaca Zaroni.

Quanto ao consentimento necessário para o tratamento de dados pessoais de um indivíduo, é importante ressaltar que deve ser uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.

Além disso, o regulamento estabelece novos direitos para os residentes da UE, a ser garantidos pelas empresas, que de alguma forma manipulam dados pessoais destes indivíduos. Dentre os direitos dos titulares de dados, podemos citar os de remover dados pessoais a qualquer momento, pelos mesmos meios usados para obter o consentimento do titular dos dados; solicitar e obter informações sobre o tratamento de dados pessoais pela empresa; acessar os dados pessoais e receber informações sobre como esses dados são tratados, bem como a finalidade que motivou a empresa a coletar e tratar os dados, todos os destinatários dos dados pessoais e se os dados pessoais serão submetidos a decisões automatizadas; retificar e apagar dados pessoais, bem como retirar o consentimento; restringir o tratamento dos dados pessoais quando tal tratamento for ilícito ou o agente de tratamento não apagar os dados pessoais do titular e a portabilidade dos dados pessoais, pelo qual o titular pode solicitar e receber os dados que forneceu.

A partir de agora, as empresas devem monitorar todas as atividades relativas ao tratamento de dados pessoais, definir medidas técnicas para garantir um nível de segurança adequado para o tratamento de dados pessoais coletados e notificar autoridades europeias e titulares dos dados sobre qualquer violação destes.

O GDPR também permite a transferência de dados para um terceiro país, desde que seja garantido um nível de proteção adequado. Essa adequação deve levar em conta, entre outros, a primazia do estado de direito, o respeito pelos diretos humanos e liberdades fundamentais, a legislação pertinente em vigor e a existência e o efetivo funcionamento de uma ou mais autoridades de controle independentes. “Na falta da adequação, o GDPR permite a transferência de dados pessoais para um país terceiro mediante a apresentação de garantias adequadas pelos agentes de tratamento e na condição de que os titulares de dados pessoais gozem de direitos oponíveis e de medidas jurídicas corretivas eficazes ou, ainda, a transferência pode ocorrer com base em regras corporativas vinculativas aprovadas pelas autoridades nacionais”, explica Zaroni.

Para completar, as autoridades competentes têm plenos poderes para investigar os agentes de tratamento, incluindo a solicitação de informações, acesso às instalações da empresa e a exigência que a empresa adote ações positivas para cumprir com todos os direitos e obrigações acima.