Informamos que em 25 de maio de 2018, o GDPR entrou em vigor e, embora seja um regulamento europeu, tem alcance extraterritorial, ou seja, afeta nossos negócios aqui no Brasil e na América Latina. O GDPR mudará a maneira como processamos os dados.

GDPR significa Regulação Geral de Proteção de Dados. Trata-se de um novo regulamento europeu que abrange a proteção de dados pessoais e o modo como esses dados devem ser tratados, desde o momento em que são coletados.

O GDPR considera DADOS PESSOAIS qualquer informação que possa tornar alguém identificável, direta ou indiretamente, a partir de um dado ou grupo de dados, como informações de localização ou identificador online.

Basicamente, o regulamento aplica-se as empresas localizadas na UE, independentemente do processamento ter lugar na UE ou não, mas também se aplica ao processamento de dados de pessoas que estão na EU, não importando se a pessoa é um cidadão ou um visitante na EU.

Considerando isso, todas as empresas brasileiras que oferecem serviços envolvendo dados na EU estão sujeitas ao GDPR. Isso vale para as empresas brasileiras que processam dados de pessoas localizadas na UE (cidadãos europeus ou não) ou empresas brasileiras que têm subsidiárias, seus parceiros, ou que tem sede na UE e deseja compartilhar as informações com suas filiais, todas devem estar em conformidade com o GDPR.

O GDPR coloca o consentimento como o tópico fundamental para o processamento de dados. Agora, restou determinado que uma pessoa tem que autorizar expressamente o uso de sua informação (“opt in”) e as empresas não podem mais usar o conceito de que se uma pessoa não quer que sua informação seja usada, tal pessoa tem que se opor (“opt out”).

“TAKE OR LEAVE IT CONSENT”: a prestação de um serviço não pode estar condicionada ao consentimento de dados pessoais que não sejam necessários para a execução do serviço. No Brasil nós chamamos isso de “venda casada”, que é quando vendemos um produto ou serviço atrelado a outro, o que é legalmente proibido.

SANÇÕES: As infrações estarão sujeitas a multas de até 20 milhões de euros ou até 4% do volume de negócios globais da empresa, tomando por base o ano financeiro anterior, aplicando-se aquilo que for mais elevado.

DIREITOS SOB GDPR: O GDPR tem como objetivo dar aos indivíduos (sejam eles clientes, contratados ou membros da equipe) mais controle e responsabilidades sobre as maneiras pelas quais as empresas trabalham como o processamento de dados pessoais, e isso levou à concessão de novos direitos para esses indivíduos:

(1) Direito de ser informado: a empresa tem a obrigação de informar à pessoa o que será feito com os seus dados e por quanto tempo essas informações serão mantidas;

(2) Direito de Acesso: a empresa deve fornecer à pessoa a confirmação de que seus dados estão sendo processados, bem como prover a pessoa o acesso aos seus dados pessoais e outras informações suplementares;

(3) Direito à retificação: uma pessoa pode ter seus dados pessoais corrigidos, se determinada informação estiver imprecisa ou incompleta;

(4) Direito de apagar / ser esquecido: uma pessoa tem o direito de apagar os seus dados quando: (a) os dados pessoais deixaram de ser necessários com relação à finalidade para a qual foram recolhidos / processados; (b) a pessoa retira o seu consentimento ou objeta para o processamento e não há interesse legítimo para continuar o processamento; (c) os dados pessoais foram tratados ilegalmente ou têm de ser apagados para cumprir uma obrigação legal; (d) os dados pessoais são processados ​​em relação à oferta de serviços sociais e de informação de uma criança;

(5) O direito de restringir o processamento: uma pessoa tem o direito de restringir o processamento de dados pessoais quando: (a) contestou sua exatidão; (b) ele / ela se opôs ao processamento e a empresa está considerando se há possui legítimo motivo para a substituição; (c) o processamento é ilegal; (d) a empresa não precisa mais dos dados, mas a pessoa exige que ela estabeleça, exerça ou defenda uma reivindicação legal;

(6) Direito à portabilidade de dados: o direito à portabilidade de dados permite que uma pessoa mova, copie ou transfira dados pessoais facilmente de um ambiente de TI para outro, de forma segura e protegida, sem obstáculos à usabilidade;

(7) O direito de objeto: a pessoa tem o direito de se opor à comercialização direta (incluindo “profiling”), processamento com base em interesse legítimo, e fins de pesquisa científica e histórica e estatística, caso em que a empresa deve parar de processar os dados pessoais imediatamente e a qualquer momento, sem isenções ou motivos para recusar, gratuitamente;

(8) Direitos relativos à tomada de decisões e perfis automatizados: se as operações de processamento de uma empresa constituem tomada de decisão automatizada, incluindo perfis, os indivíduos têm o direito de não estarem sujeitos a uma decisão e devem ser capazes de obter intervenção humana, expressar seu ponto de vista, e obter uma explicação da decisão e desafiá-la. O direito não se aplica se a decisão automatizada for uma necessidade contratual entre empresa e pessoa, se for autorizada por lei ou se for baseada em consentimento explícito.

No Brasil ainda não temos uma lei semelhante, embora os dados pessoais sejam protegidos pela Constituição e tenhamos o Marco Civil da Internet, oficialmente chamado de Lei N° 12.965/14 e que regulamenta o uso da internet e de seus dados, mas há dois projetos específicos de lei no Congresso brasileiro que visam tratar do manuseio de dados pessoais (um deles muito semelhante ao GDPR), e agora, devido ao fato de que o GDPR ter entrado em vigor, ambos os projetos estão no caminho mais rápido do Congresso.