anos Impactos da legislação europeia sobre proteção de dados no Brasil
2
REGULAMENTO GERAL DE PROTEÇÃO DE DADOS (GDPR) DA UNIÃO EUROPEIA O Regulamento Geral de Proteção de Dados (GDPR) da União Europeia entrará em vigor em maio de 2018 e muitas empresas europeias e brasileiras ainda desconhecem os impactos da norma sobre seus negócios. Ao contrário do atual cenário regulatório europeu sobre proteção de dados, o GDPR estabelecerá uma norma unificada para toda a União Europeia. Haverá alguma flexibilidade para as leis nacionais, porém o GDPR harmonizará o quadro normativo das jurisdições. Apesar do Brexit, o Reino Unido também adotará integralmente o GDPR. ÂMBITO DE INCIDÊNCIA DO GDPR O GDPR se aplica ao uso e tratamento de dados pessoais no âmbito da oferta de qualquer produto e/ou serviço, ou na criação de perfis de indivíduos que estejam na União Europeia. O GDPR é focado nos cidadãos cujos dados são utilizados e não necessariamente nas organizações que os manipulam. Consequentemente, qualquer empresa estrangeira que possua clientes localizados na União Europeia estará sujeita ao GPDR. O GPDR também abrangerá a ferramenta de rastreamento de uso individual da internet na União Europeia, também conhecido como cookies. A localização dos servidores e o local de processamento dos dados deixa de ser preponderante para efeito de aplicação do GDPR, pois as empresas estrangeiras estarão sujeitas ao GDPR sempre que processarem 3
dados de cidadãos europeus, ainda que fora da União Europeia. Em resumo, empresas brasileiras com filiais e negócios na UE ou que processem dados de cidadãos europeus no Brasil deverão observar o GDPR. ALGUNS ASPECTOS RELEVANTES DO GDPR Os indivíduos podem revogar o consentimento a qualquer momento e as empresas devem adotar mecanismos de fácil compreensão para esse procedimento, assim como efetuar a retirada imediatamente. O direito ao esquecimento passará a ter previsão expressa. Os indivíduos terão o direito de se opor à análise do perfil de usuário. CONSENTIMENTO Obter o consentimento de indivíduos para o processamento de seus dados será mais difícil. O consentimento será obrigatoriamente expresso. O uso de ferramentas de seleção opt-in deve ser a regra, de maneira que as escolhas não sejam pré-marcadas. CRIANÇAS A idade de consentimento das crianças para o processamento de seus dados será aumentada. Cada jurisdição da UE poderá definir a idade entre 13 e 16 anos. Abaixo disso, o consentimento do responsável será necessário. O controlador de dados deve expor claramente como os dados serão utilizados. 4
OBRIGATORIEDADE As empresas serão obrigadas a cumprir as medidas de proteção de dados a partir da criação de qualquer nova tecnologia, produto ou empresa. As empresas serão obrigadas a garantir que mecanismos de proteção adequados sejam incorporados às tecnologias, produtos ou empresas já existentes (privacy by design). As empresas também devem coletar e processar os dados minimamente necessários e nos limites do consentimento concedido. PROCESSADORES Os processadores de dados serão diretamente sujeitos às disposições do GDPR. Para processadores de dados que empreguem 250 ou mais pessoas será necessário manter registros detalhados de suas atividades. DATA PROTECTION OFFICER Empresas responsáveis pelo processamento de um volume significativo de dados ou de dados sensíveis poderão ser demandados a nomear um Data Protection Officer (DPO). O DPO será responsável por monitorar as atividades de processamento de dados e garantir o cumprimento do GDPR. É esperado que as empresas voluntariamente designem um DPO, como forma de demonstrar o cumprimento espontâneo da norma. VAZAMENTO DE DADOS As violações à privacidade de dados deverão ser notificadas ao órgão regulador o mais rápido possível ou, no máximo, 72 horas após a violação ser identificada. O GDPR afirma que as violações que não são susceptíveis de riscos para os indivíduos não exigem reportes. 5
TRANSFERÊNCIAS DE DADOS As transferência de dados de cidadãos europeus para fora da União Europeia serão reguladas pelo GDPR. A Comissão da União Europeia pode identificar jurisdições que considera com proteção de dados adequada e permitir transferências para essas jurisdições. Como resultado de decisões recentes do Tribunal de Justiça Europeu, os Estados Unidos não estão atualmente incluídos nesta lista. A União Europeia e os Estados Unidos negociaram um novo acordo de transferência de dados (privacy shield) para substituir os acordos anteriores de transferência. O privacy shield permite transferências de dados para destinatários nos Estados Unidos que estão sujeitos à regulamentação da Comissão Federal de Comércio ou pelo Departamento de Transporte e que demonstraram sua conformidade com os requisitos do privacy shield. Não sendo esse o caso, as transferências de dados pessoais só podem ser feitas: Por meio de um acordo de transferência de dados com cláusulas contratuais específicas prescritas; Por uma empresa sediada na União Europeia para outros membros do seu grupo, por meio de regras corporativas vinculantes (BDRs). As regras corporativas vinculantes devem ser aprovadas pelo Escritório do Comissário da Informação. AUTORIDADE REGULADORA Uma empresa com operações em várias jurisdições da União Europeia precisará identificar um estabelecimento principal na União Europeia. A autoridade reguladora da jurisdição do estabelecimento principal supervisionará o 6
negócio e será responsável pela coordenação das autoridades reguladoras. As empresas subsidiárias estarão sujeitas à autoridade reguladora de sua jurisdição. As autoridades reguladoras poderão realizar auditorias de proteção de dados e exigir o fornecimento de qualquer informação relevante. SANÇÕES As sanções previstas no GDPR são significativamente mais altas do que as atuais. Multas de até 2% do volume anual de negócios mundiais da empresa (com uma multa mínima de 10 milhões). Para violações graves, multas de até 4% do volume anual de negócios mundiais da empresa (com uma multa mínima de 20 milhões) RECOMENDAÇÕES As empresas que coletem e utilizem dados de qualquer pessoa na União Europeia devem considerar as seguintes etapas: Entender o cenário regulatório e identificar restrições legais aplicáveis; Identificar a autoridade reguladora a que estará sujeita; Revisar os processos pelos quais o consentimento para o processamento de dados é obtido ou identificar se o tratamento de dados é possível dentro das hipóteses que não exigem o consentimento; Verificar se são fornecidas informações claras e completas sobre a utilização dos dados coletados; Revisar todos os acordos de processamento e transferência de dados para garantir o cumprimento das novas obrigações; 7
Rever os mecanismos de transferência de dados de dentro para fora da União Europeia, por meio de outra empresa do grupo ou terceiro; Verificar a necessidade de designação de um diretor de Proteção de Dados (DPO); Revisar as políticas corporativas e políticas de incidentes de dados para garantir o cumprimento dos requisitos do GDPR, inclusive no que tange as notificações obrigatórias de incidentes 8
NOSSOS RECONHECIMENTOS Telecommunications & Technology (2015 2018) Telecoms & Media (2016 2017) TMT (2014 2017) NOSSOS SÓCIOS Fabio Kujawski kujawski@mattosfilho.com.br Tel.: +55 11 3147 2795 São Paulo Thiago Luís Sombra thiago.sombra@mattosfilho.com.br Tel.: +55 61 3218 6010 Brasília 9
São Paulo Paulista Alameda Joaquim Eugênio de Lima, 447 01403 001 São Paulo SP Brasil São Paulo Faria Lima Rua Campo Verde, 61 3ºandar 01456 000 São Paulo SP Brasil Rio de Janeiro Praia do Flamengo, 200 11 andar 22210 901 Rio de Janeiro RJ Brasil Brasília SHS Q6 Bloco C Sala 1901 70322 915 Brasília DF Brasil New York 712 Fifth Avenue 26 th floor New York NY U.S.A. 10019 London 5 th floor, 32 Cornhill London UK EC3V 3SG www.mattosfilho.com.br anos 10
11
12 anos