SlideShare uma empresa Scribd logo
1 de 10
Baixar para ler offline
AUTORES DO ARTIGO:
Paula Mena Barreto
Sócia/Partner
T: +55 21 3262-3028
E: paula.menabarreto@cmalaw.com
Manoela Esteves
Associada
T: +55 21 3262 3042
E: manoela.esteves@cmalaw.com
CONSIDERAÇÕES SOBRE A NOVA LEI EUROPEIA DE PROTEÇÃO DE
DADOS E SEUS IMPACTOS NO BRASIL
No próximo dia 25 de maio, entrará em vigor o Regulamento Geral de Proteção de Dados, também conhecido
como “GDPR” (General Data Protection Regulation). Com o início da sua vigência, o processamento de dados
pessoais de pessoas naturais passa a ser motivo de atenção e adaptação mundo afora. Neste sentido, o
objetivo do presente trabalho é fornecer, de forma prática e objetiva, uma visão geral das novas regras
trazidas pelo GDPR, em atenção às regras atualmente existentes na legislação brasileira, e as suas implicações
para o Brasil.
ARTIGO
PROTEÇÃO DE DADOS
2
TERRITORIALIDADE DO GDPR
Para que seja passível de sua aplicação, basta que o processamento de dados pessoais se dê em
estabelecimento situado no território europeu. Todavia, o GDPR será igualmente aplicado a agentes
localizados fora da Europa sempre que (i) ocorrer a oferta de bens e serviços na União Europeia, ou (ii) no caso
de monitoramento de comportamento de titulares de dados europeus. Daí a necessidade de atenção das
empresas brasileiras sobre a possibilidade de aplicação ou não deste regulamento em suas atividades.
Ainda há, no entanto, muitas questões pendentes no que diz respeito ao alcance do GDPR, inclusive quanto à
oferta de serviços e produtos para pessoas jurídicas e não para indivíduos. Independente disso, já é possível
verificar que muitas empresas brasileiras se enquadram neste regulamento. Em outros casos, seria preciso
um exame mais detalhado de suas atividades para determinar a aplicação da legislação europeia ou evitá-la
com uma eventual blindagem técnica, jurídica e de marketing.
(i) Oferta de Serviços: As empresas que diretamente direcionam seus serviços para cidadãos europeus estarão
sujeitas ao GDPR. Há, contudo, dúvidas sobre como caracterizar este direcionamento. Por exemplo, o mero
acesso a um website brasileiro por um cidadão europeu, sem que tenha existido o direcionamento dos
serviços a esse estrangeiro, não deveria sujeitar a empresa ao GDPR. A questão de venda na moeda ou em
língua pertencente à União Europeia também será relevante para a análise da aplicação do GDPR. Assim,
hotéis, empresas de turismo, seguradoras, hospitais, empresas de marketplace (vendas online), empresas de
cartões de fidelidade ou quaisquer outras empresas que direcionam seus serviços à União Europeia podem
estar enquadrados na obrigatoriedade de cumprimento de seu regulamento, sempre dependendo de uma
análise concreta do caso.
(ii) Monitoramento de dados: As empresas que monitoram o comportamento de titulares de dados na
Comunidade Europeia também devem estar sujeitas ao GDPR, como, por exemplo, no caso de empresas que
realizam uma política de rastreamento de cookies e outros aplicativos que monitoram a navegação dos
cidadãos na internet. No entanto, o uso de cookies que não utilizam, rastreiam ou coletam dados pessoais
não deve estar, a princípio, sujeito ao GDPR. De toda forma, ainda não está claro o quão detalhado o
monitoramento precisa ser efetuado para sujeitar a empresa ao GDPR.
Feitas estas considerações, é importante discorrer brevemente sobre a regulação atualmente existente no
Brasil para que possamos efetuar um breve comparado de cada legislação.
LEGISLAÇÃO BRASILEIRA
O Brasil não possui uma legislação específica sobre proteção de dados, sendo que a maioria das disposições
envolvendo este tema está regulada pelos princípios gerais e disposições previstas na Constituição Federal,
no Código Civil e no Código do Consumidor. Além disso, o Marco Civil da Internet (Lei Federal nº 12.965/2014)
e seu Decreto (Decreto nº 8.771/2016) estabelecem princípios gerais para uso da internet, inclusive no que
concerne a coleta, armazenamento, guarda e tratamento de registros de dados pessoais online. Nota-se que
o princípio basilar das disposições esparsas sobre esse tema está na necessidade de consentimento do titular
dos dados pessoas para seu tratamento.
3
Em meio a esse avanço legislativo internacional, a pressão por uma lei específica sobre proteção de dados
vem aumentando a cada dia, principalmente em virtude de escândalos atuais envolvendo vazamento de
dados, como o caso do Facebook e Cambridge Analytics e a crescente conscientização da população acerca da
necessidade de uma tutela de sua privacidade em meio digital. Diferentes projetos de lei vêm sendo discutidos
no Congresso Nacional, em uma tentativa de unificar os preceitos já existentes na legislação pátria, os
tornando mais modernos e harmônicos com os entendimentos já firmados em legislações estrangeiras,
criando um arcabouço jurídico mais completo para atender as novas demandas trazidas pelos avanços
tecnológicos.
A seguir, serão elencadas as questões principais do GDPR e uma breve comparação com a legislação brasileira
existente sobre o tema, conforme aplicável.
DADOS PESSOAIS E DADOS SENSÍVEIS
O GDPR define “dados pessoais” como qualquer informação relacionada a uma pessoa natural identificada ou
identificável, abarcando, assim, diversos tipos de dados, tais como dados de localização, identificadores
eletrônicos, elementos específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou
social de uma pessoa singular.
No Brasil, a definição de “dados pessoais” encontra-se em consonância com o GDPR, sendo definido no
Decreto que regulamenta o Marco Civil da Internet como “dado relacionado à pessoa natural identificada ou
identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes
estiverem relacionados a uma pessoa”.
Particular atenção também foi dada aos dados sensíveis pelo GDPR, como dados relacionados à sua origem
racial ou étnica, suas as opiniões políticas, convicções religiosas ou filosóficas, filiações sindicais, relativos à
sua vida ou orientação sexual, ou seus dados genéticos, relativos à saúde ou biométricos, desde que de
identificação inequívoca. Para essas informações, o processamento é expressamente vedado, salvo quando
verificado casos excepcionais previstos nas leis, como através da coleta do consentimento explícito do
indivíduo, bem como se o tratamento dessas informações for necessário para o cumprimento de obrigações
e exercício de direitos de legislação trabalhista, de segurança e proteção social, ou, ainda, para garantir a
proteção de interesses vitais do sujeito ou de outro indivíduo, quando esse estiver incapacitado de fornecer
seu consentimento.
No Brasil, há uma menção expressa sobre a proibição de anotação de dados sensíveis pelos bancos de dados,
conforme a Lei do Crédito (Lei Federal nº 12.414/2011), que considera informações sensíveis aquelas
pertinentes à origem social e étnica, à saúde, à informação genética, à orientação sexual e às convicções
políticas, religiosas e filosóficas. No entanto, ainda não há uma disposição específica sobre a proteção dos
dados sensíveis de cada indivíduo.
4
CONTROLADOR E PROCESSADOR
O GDPR atenta-se em estabelecer importantes conceitos aplicáveis ao tema, tais como os da figura do
“controlador”, encarregado de determinar as finalidades e os meios para o tratamento dos dados. Importante
ressaltar a possibilidade de cumulação deste cargo entre dois ou mais responsáveis (“joint controllers”), desde
que as obrigações de cada um sejam determinadas especificadamente por contrato, ficando ambos aptos a
responder quando do exercício de qualquer direito de um indivíduo. Já o “processador” é a figura contratada
pelo controlador para exercer a atividade do tratamento, a partir da apresentação de garantias suficientes
para sua execução, e desde que regulado por um contrato ou ato normativo que vincule as partes,
estabelecendo suas obrigações e direitos, o objeto, a duração, a natureza e finalidade do tratamento, assim
como os tipos de dados pessoais e as categorias dos titulares dos dados envolvidos.
Estes conceitos de “processador” e “controlador” ainda não estão definidos na legislação brasileira. Contudo,
o Decreto do Marco Civil da Internet buscou definir tratamento de dados pessoais como “toda operação
realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização,
acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação,
avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
PRINCÍPIOS DO GDPR
O GDPR busca, através de um arcabouço legal robusto, tutelar a preservação da privacidade e da garantia da
proteção às pessoas naturais em relação ao processamento de suas informações como um direito
fundamental.
Dentre os princípios trazidos, é estabelecida a obrigação de oferecer um tratamento de dados lícito, justo e
transparente (“princípio da licitude, lealdade e transparência”), coletados para finalidades determinadas,
explícitas e legítimas (“purpose limitation”), que sejam adequados, pertinentes e limitados ao necessário à
finalidade a que se destinam (“data minimization”) e armazenados apenas durante o período necessário
(“storage limitation”).
No Brasil, estes princípios não são claramente definidos, mas é possível notar que o Marco Civil da Internet
determina que os dados pessoais somente poderão ser utilizados para finalidades que justifiquem sua coleta,
que não sejam vedadas pela legislação e que estejam especificadas nos respectivos contratos. Além disso, o
Código de Defesa do Consumidor dispõe que o consumidor, sempre que encontrar inexatidão nos seus dados
e cadastros, poderá exigir sua imediata correção.
O GDPR, por sua vez, inova ao trazer direitos pioneiros, tal como a portabilidade dos dados pessoais, através
do qual é possível requer a migração de dados de um controlador ao outro, por meio de formato estruturado,
de uso corrente e de leitura automática. Igualmente é garantido ao indivíduo o direito de oposição ao
tratamento de seus dados e de decisões individualizadas automatizadas. Assim, o titular dos dados poderá, a
qualquer tempo, exercer o direito de se opor, inclusive para fins de profiling e marketing direto. Nesse mesmo
sentido, em relação ao processamento automatizado para avaliação de preferências, interesses e previsão
comportamental de uma pessoa (“tomada de decisão individual automatizada” e profiling), o GDPR proíbe o
seu uso quando produzir efeitos jurídicos ou afetar significamente o indivíduo, tal como no evento de uma
recusa automática de um pedido de crédito por via eletrônica ou de práticas de recrutamento eletrônico sem
qualquer intervenção humana.
5
Destacados também se encontram o direito a requerer a retificação dos dados pessoais e a possibilidade de
ser requerida a exclusão definitiva das informações – o chamado direito ao esquecimento. Tal garantia deve
ser observada sem demora pelo controlador, quando da observância de cenários indicados pelo GDPR. É o
que ocorre, por exemplo, na hipótese dos dados pessoais não serem mais necessários em relação ao propósito
pelo qual haviam sido coletados, pela revogação do consentimento do seu titular ou, ainda, no caso de objeção
ao processamento, conforme também garantido pela lei. No Brasil, ao usuário é concedido o direito de
exclusão definitiva dos dados pessoais, a seu requerimento, ao término da relação entre as partes, ressalvadas
as hipóteses de guarda obrigatória de registros previstas no Marco Civil da Internet. Ocorre que o direito de
esquecimento não é expressamente regulado por lei, sendo reconhecido doutrinariamente, a partir de
interpretação do Código Civil, como um dos direitos de personalidade do indivíduo. Na jurisprudência, sua
aplicação ocorreu pela primeira vez em 2013 pelo Superior Tribunal de Justiça e, desde então, diversos casos
esparsos já foram decididos na justiça sobre o tema, tanto a favor como contra a sua aplicação. De todo modo,
ainda que sem a sua clara determinação em lei, o Brasil é o segundo país com mais demanda ao Google por
remoção de conteúdo da Internet, superando países mais populosos e com maiores índices de conectividade.
BASE LEGAL PARA COLETA DE DADOS PESSOAIS
Importante atentar sobre o desenvolvido aspecto da licitude para o processamento de dados. O GDPR avança
novamente ao prever diversos fundamentos legais que embasam o tratamento de dados pessoais (o chamado
“legal basis”). Diferentemente da legislação brasileira, a qual pauta-se majoritariamente no fornecimento do
consentimento do indivíduo para a coleta e tratamento de suas informações, o GDPR também prevê outras
possibilidades, tal como o processamento se pautar pela própria necessidade em virtude da execução de um
contrato da qual se faça parte.
O tratamento de dados pessoais também será considerado lícito quando necessário para o cumprimento de
uma obrigação jurídica do controlador ou em virtude de interesses legítimos por esse ou terceiros (“legitimate
interest”), desde que não violem interesses ou direitos fundamentais no individuo (como no caso de menores).
Na hipótese de fundamentar o processamento pelo legítimo interesse, devem ser levadas em consideração
as expectativas razoáveis do titular dos dados pessoais no momento da coleta de suas informações e sua
relação com o controlador. Nesse sentido, o processamento de dados para fins de marketing poderia ser
considerado como um legítimo interesse do controlador caso esse exerça atividades de comércio, por
exemplo, e, para fins de compliance, seria recomendável a oferta do mecanismo de opt-out para salvaguardar
os direitos do indivíduo – tal como orientado no contexto brasileiro. Por fim, a lei também vislumbra a
possibilidade de um tratamento legítimo em razão da defesa de interesses vitais do indivíduo ou de outrem,
bem como se necessário para o exercício de funções de interesse público.
Em que pese às determinações acima, em cenários no qual o tratamento caminhe para outras finalidades das
quais os dados foram inicialmente coletados ou sem que tenha sido obtido o consentimento do titular
(“further processing”), o controlador deverá verificar a compatibilidade deste novo escopo com a coleta inicial,
analisando a ligação entre essas finalidades, o contexto para o novo uso, a natureza dos dados tratados,
possíveis consequências para esse uso posterior e a possibilidade de aplicação de salvaguardas, tais como
encriptação e pseudonimização.
6
CONSENTIMENTO
Não obstante o acima exposto, o consentimento possui posição de destaque no GDPR, o qual determina
aspectos fundamentais para sua coleta e garantia de validade. Segundo o Artigo 7º, é condição fundamental
que o consentimento seja fornecido livremente e, caso tenha sido obtido em meio a outros assuntos, o
consentimento deverá ser obtido através de uma declaração escrita, a partir de um pedido distinto dos
demais, apresentado de modo inteligível, de fácil acesso e de linguagem clara e simples. Assim, a sua validade
é condicionada à obtenção livre, específica, informada e inequívoca da vontade do titular dos dados pessoais,
através de uma declaração ou uma clara ação de afirmação. Nesse sentido, o silêncio, o uso de caixas de coleta
de consentimento já preenchida (“pre-ticked boxes”) ou a inatividade do usuário não são suficientes para
caracterizar válido o consentimento.
No Brasil, o Marco Civil da Internet assegura ao cidadão o direito de consentimento expresso sobre a coleta,
uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais
cláusulas contratuais.
Também inova o GDRP ao garantir a esse indivíduo o direito de revogar o consentimento fornecido a qualquer
momento. Tal direito deve ser obrigatoriamente informado ao sujeito e a sua execução deverá ser realizada
de forma igualmente simples quanto o meio de obtenção do consentimento.
PSEUDONIMIZAÇÃO E ANONIMIZAÇÃO
É possível também perceber que o conceito de pseudonimização atua um importante papel no GDPR e, em
especial, em relação à análise de big data. Essa medida, entendida como o processamento de dados pessoais
que não são mais passíveis de atribuição a um determinado indivíduo sem o uso de informações adicionais
(desde que essas sejam mantidas em separado e sujeitas às medidas técnicas e organizacionais que assegurem
a sua preservação), pode diminuir os riscos associados às obrigações previstas pelo GDPR, ao garantir um nível
maior de segurança ao tratamento. Ainda, constitui uma interessante medida para atender aos princípios de
“privacy by design” e “privacy by default”, que estabelecem, de uma forma geral, a integração de medidas
técnicas de segurança para proteção dos dados e da implementação de salvaguardas por default para limitar
o acesso aos dados a um número restrito de pessoas. Nesse mesmo viés, a utilização de técnicas como
anonimização também se fazem relevantes, uma vez que, não sendo mais possível a associação de dados com
um indivíduo específico (por exemplo, como no caso de análise de big data restrita a dados anonimizados), as
normativas de privacidade não serão aplicáveis. No Brasil, tais conceitos não se encontram estabelecidos
expressamente em nossa legislação.
AUTORIDADE SUPERVISORA E DPO
O GDPR prevê a figura da Autoridade Supervisora, uma autoridade pública independente, responsável pela
fiscalização da aplicação e cumprimento do Regulamento. Além desse instituto, outro importante personagem
designado pelo GDPR é o Oficial de Proteção de Dados (Data Protection Officer, ou “DPO”), encarregado a
garantir a proteção dos dados pessoais de uma empresa ou de seu grupo econômico. Sua função será
necessária sempre que o tratamento for efetuado por uma autoridade ou um organismo público, quando as
atividades principais do controlador ou processador for o tratamento de dados que, devido à sua natureza,
âmbito e/ou finalidade, exijam um controle regular e sistemático, e, por fim, quando as atividades principais
do controlador ou processador consistam em operações de tratamento em grande escala de categorias
especiais de dados ou dados pessoais relacionados com condenações penais e infrações. Esse Oficial deverá
ser designado com base nas suas qualificações profissionais e, em especial, com base nos seus conhecimentos
especializados em direito e know-how em proteção de dados, devendo exercer as suas funções com base em
um contrato de prestação de serviços, devidamente comunicado à Autoridade Supervisora.
7
A figura da Autoridade Supervisora e do DPO não se encontram previstos na legislação brasileira atualmente.
Essa lacuna estrutural deixada pela inexistência de um órgão centralizador e fiscalizador no Brasil, inclusive,
segue como um dos principais pontos de atenção nos debates dos projetos de lei sobre proteção de dados.
DPIA
Outra importante inovação imposta pelo GDPR, também não prevista na legislação brasileira, é a condução
de uma análise prévia de impacto (Data Protection Impact Assessment, ou “DPIA”), elaborada com a ajuda e
monitoramento do DPO, nos cenários em que o processamento desejado seja passível de resultar alto risco
aos direitos e garantias das pessoas naturais, tal como no caso da utilização de novas tecnologias.
O GDPR prevê a publicação de uma lista específica que estabelece quais os tipos de processamento estarão
sujeitos à condução do DPIA. Nesse ínterim, o GDPR já estabelece determinados cenários que demandam a
realização do DPIA, quais sejam: (i) no caso de avaliação sistemática e completa por meio automatizado e que
impliquem efeitos jurídicos ou impactos significativos no titular dos dados; (ii) tratamento em grande escala
de categorias especiais de dados ou de dados relacionados com condenações penais e infrações; e (iii) controle
sistemático de zonas públicas acessíveis em grande escala. Nesse contexto, relevante o acompanhamento das
discussões e da implementação desta matéria para a consolidação dos entendimentos sobre a necessidade
da condução do DPIA pelos controladores e processadores de informações pessoais.
TRANSFERÊNCIA DE DADOS
Em relação à transferência de dados pessoais para tratamento em outro país (denominados como “third
countries”) ou para uma organização internacional, o GDPR prevê disposições para sua realização, em adição
ao cumprimento das demais provisões estabelecidas pelo Regulamento, de modo a resguardar os níveis de
proteção adequados já atingidos pela União Europeia.
Nesse caso, decisões de adequação (“adequacy decisions”) já foram emitidas em relação a determinados
países e organizações, atualmente classificados como aptos a receber dados pessoais e garantir sua proteção,
sem a necessidade de ser requisitada posteriormente uma nova autorização específica pela Autoridade
Supervisora competente para a transferência desejada. É o caso, por exemplo, da Suíça, Uruguai, Argentina,
Israel, Nova Zelândia, entre outros países. Outras salvaguardas também são previstas para dispensar a
necessidade da obtenção da autorização, tal como a adoção de regras vinculativas às empresas (“Binding
Corporate Rules”) ou a adoção de cláusulas padrões de proteção de dados adotadas pela Comissão Europeia.
Ademais, o GDPR prevê derrogações específicas aplicáveis na falta de decisões de adequação ou das
salvaguardas mencionadas, como no caso da obtenção do consentimento explícito do titular dos dados para
a transferência, mediante a sua ciência sobre os possíveis riscos, bem como na eventualidade da transferência
ser necessária para a celebração ou execução de um contrato de interesse do titular, dentre outros.
8
SEGURANÇA E VAZAMENTO DE DADOS
No decorrer de seu texto, verifica-se a relevância da temática da segurança destinada aos dados pessoais pelo
GDPR, eis que de suma importância para a preservação da intimidade da pessoa natural. O regulamento prevê
artigos relacionados ao uso de medidas técnicas e operacionais adequados, como a encriptação e
pseudonimização, que visem assegurar um nível de segurança adequado ao tratamento de dados pessoais. A
capacidade para assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes aos
sistemas utilizados, bem como a adoção de um processo para avaliar regularmente a eficácia das medidas
utilizadas são importantes medidas trazidas pela normativa. Nesta seara, quando da ocorrência de uma
violação ou vazamento dos dados pessoais que resultem riscos aos seus titulares, determina o GDPR que seja
notificada a Autoridade Supervisora em até 72 horas, e, quando resultar em alto risco aos direitos e liberdades
dos indivíduos, a comunicação também deverá ser fornecida diretamente aos titulares dos dados pessoais.
Já no Brasil, não há qualquer obrigação legal de notificação no caso de vazamento de dados pessoais, mas tão
somente diretrizes a serem seguidas, sem força legal, conforme recomendações disponibilizadas pelo Centro
de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (“Cert.br”), mantido pelo NIC.br, do
Comitê Gestor da Internet. Com relação à segurança, o Decreto regulamentador do Marco Civil dispõe sobre
a necessidade de se observar as seguintes diretrizes sobre padrões de segurança: controle estrito sobre o
acesso aos dados; a previsão de mecanismos de autenticação de acesso aos registros; criação de inventário
detalhado dos acessos aos registros de conexão e de acesso a aplicações; e uso de soluções de gestão dos
registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação ou medidas de
proteção equivalentes.
MULTAS
De acordo com o GDPR, a aplicação de multas administrativas pode advir como consequência ao não
cumprimento das normas e dos princípios determinados do Regulamento. Conforme estabelecido no Artigo
83, a violação de determinadas disposições sujeita ao pagamento de multas de €10.000.000 a €20.000.00 ou
de 2% a 4% do faturamento anual global da empresa, sendo aplicável o que for maior. Para aplicação dessa
multa, o mesmo artigo prevê a necessidade de ponderação pelas Autoridades Supervisoras, que deverão se
atentar a determinadas condições do caso específico, tal como a natureza e a gravidade da infração, a intenção
ou negligência dos responsáveis, ou, ainda, as ações tomadas para cessar a infração, dentre outros.
Paralelamente no Brasil, o Marco Civil da Internet prevê, sem prejuízo das sanções cíveis, criminais ou
administrativas aplicáveis, sanções que variam, desde de advertência, multa de 10% do faturamento do grupo
econômico no Brasil, até a suspensão ou proibição do exercício das atividades no Brasil, aplicáveis isolada ou
cumulativamente. Tais sanções são também aplicáveis a empresas estrangeiras, respondendo sua filial,
sucursal, escritório ou estabelecimento situado no território brasileiro solidariamente pelo pagamento da
multa cabível.
Com relação às multas, não está bem delineado como seria a aplicação de eventual sanção aplicada pelas
autoridades competentes a uma empresa estrangeira, fora da União Europeia. De qualquer forma, o GDPR
estabelece que o controlador ou o processador deve designar um representante na União Europeia, salvo se
o processamento for ocasional, não incluir processamento, em uma larga escala, de categorias especiais de
dados pessoais ou processamento de dados pessoais relacionado a ofensas criminais e caso seja improvável
que se resulte em risco nos direitos e liberdades das pessoas naturais.
9
CONCLUSÃO
Como visto nestas considerações iniciais sobre o novo regulamento europeu de proteção de dados pessoais,
diversas inovações deverão ser incorporadas e adequadas ao tradicional modus operandi aplicado aos
negócios.
Em meio ao exponencial desenvolvimento de novas tecnologias e da crescente utilização de dados pessoais
por diversos setores, o risco de exposição da intimidade dos indivíduos deve ser ao máximo minimizado, tanto
como pela preservação deste direito fundamental quanto pela contensão de riscos pelas empresas.
O Brasil, a vagarosos passos, ainda caminha para a promulgação de sua própria legislação aplicável ao tema,
a partir do debate de diferentes projetos de lei na Câmara e no Senado. Assim, neste cenário globalizado e de
constante troca de informações, é imprescindível estar atento aos novos paradigmas trazidos pela GDPR, o
qual serão certamente tomados como base para o desenvolvimento e aperfeiçoamento deste campo do
direito.
10
Rio de Janeiro
Rua Lauro Müller, 116 – 25º andar
Condomínio do Edifício Rio Sul Center
Botafogo – Rio de Janeiro, RJ – Brasil 22.290-906
T +55 21 3262 3000 F +55 21 3262 3011
São Paulo
Av. Pres. Juscelino Kubitschek, 360 – 10º andar
Vila Nova Conceição – São Paulo, SP – Brasil 04543-000
T +55 11 3077 3500 F +55 11 3077 3501
Nova Iorque
1251 Avenue of the Americas – 27th floor (Suite 2873)
New York, NY 10020-1104 - USA
T +1 212 335 4541
Para saber mais sobre Campos Mello Advogados, visite nosso site www.cmalaw.com ou entre em contato
a qualquer momento.
PARA MAIS INFORMAÇÕES

Mais conteúdo relacionado

Mais procurados

Tdc 2021-innovation-lgpd-dados-pessoais
Tdc 2021-innovation-lgpd-dados-pessoaisTdc 2021-innovation-lgpd-dados-pessoais
Tdc 2021-innovation-lgpd-dados-pessoaisDouglas Siviotti
 
A lei 13709 18 e o marco legal para a proteção de dados pessoais no pais
A lei 13709 18 e o marco legal para a proteção de dados pessoais no paisA lei 13709 18 e o marco legal para a proteção de dados pessoais no pais
A lei 13709 18 e o marco legal para a proteção de dados pessoais no paisAristóteles Santos
 
Artesoftware Explicando LGPD
Artesoftware Explicando LGPDArtesoftware Explicando LGPD
Artesoftware Explicando LGPDDouglas Siviotti
 
LGPD Descomplicada
LGPD DescomplicadaLGPD Descomplicada
LGPD DescomplicadaMaicon Alvim
 
Cartilha lgpd anahp
Cartilha lgpd   anahpCartilha lgpd   anahp
Cartilha lgpd anahpJarbasSouza7
 
Forum protecao dados e inovacao - febraec
Forum protecao dados e inovacao - febraecForum protecao dados e inovacao - febraec
Forum protecao dados e inovacao - febraecVinicius Carneiro
 
O que muda no nosso cotidiano com a nova Lei Geral de Proteção de Dados?
O que muda no nosso cotidiano com a nova Lei Geral de Proteção de Dados?O que muda no nosso cotidiano com a nova Lei Geral de Proteção de Dados?
O que muda no nosso cotidiano com a nova Lei Geral de Proteção de Dados?Gabriela Bornhausen Branco
 
Lei de Proteção aos Dados (LGPD)
Lei de Proteção aos Dados (LGPD)Lei de Proteção aos Dados (LGPD)
Lei de Proteção aos Dados (LGPD)Luiz Agner
 
Dicas LGPD Ometto Advocacia Setembro 2020
Dicas LGPD Ometto Advocacia Setembro 2020Dicas LGPD Ometto Advocacia Setembro 2020
Dicas LGPD Ometto Advocacia Setembro 2020Rosalia Ometto
 
Privacidade de Dados no Relacionamento com Clientes - youDb
Privacidade de Dados no Relacionamento com Clientes - youDbPrivacidade de Dados no Relacionamento com Clientes - youDb
Privacidade de Dados no Relacionamento com Clientes - youDbyouDb
 
Painel OWASP Top 10 e LGPD
Painel OWASP Top 10 e LGPDPainel OWASP Top 10 e LGPD
Painel OWASP Top 10 e LGPDOWASP-BH Chapter
 
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/ParaíbaLGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/ParaíbaRosalia Ometto
 
Novo Regulamento Geral de Proteção de Dados - guia para marketeers
Novo Regulamento Geral de Proteção de Dados - guia para marketeersNovo Regulamento Geral de Proteção de Dados - guia para marketeers
Novo Regulamento Geral de Proteção de Dados - guia para marketeersfredericocarvalho.pt
 
GDPR e o WHOIS depois de amanhã
GDPR e o WHOIS depois de amanhãGDPR e o WHOIS depois de amanhã
GDPR e o WHOIS depois de amanhãRubens Kuhl
 
Infografia : o que vai mudar na RGPD (2018)
Infografia : o que vai mudar na RGPD (2018)Infografia : o que vai mudar na RGPD (2018)
Infografia : o que vai mudar na RGPD (2018)Kwanko
 
Proteção de dados pessoais e o Marco Civil da Internet
Proteção de dados pessoais e o Marco Civil da InternetProteção de dados pessoais e o Marco Civil da Internet
Proteção de dados pessoais e o Marco Civil da InternetRenato Monteiro
 

Mais procurados (20)

Tdc 2021-innovation-lgpd-dados-pessoais
Tdc 2021-innovation-lgpd-dados-pessoaisTdc 2021-innovation-lgpd-dados-pessoais
Tdc 2021-innovation-lgpd-dados-pessoais
 
A lei 13709 18 e o marco legal para a proteção de dados pessoais no pais
A lei 13709 18 e o marco legal para a proteção de dados pessoais no paisA lei 13709 18 e o marco legal para a proteção de dados pessoais no pais
A lei 13709 18 e o marco legal para a proteção de dados pessoais no pais
 
Artesoftware Explicando LGPD
Artesoftware Explicando LGPDArtesoftware Explicando LGPD
Artesoftware Explicando LGPD
 
Dados digitais
Dados digitaisDados digitais
Dados digitais
 
LGPD Descomplicada
LGPD DescomplicadaLGPD Descomplicada
LGPD Descomplicada
 
Cartilha lgpd anahp
Cartilha lgpd   anahpCartilha lgpd   anahp
Cartilha lgpd anahp
 
Forum protecao dados e inovacao - febraec
Forum protecao dados e inovacao - febraecForum protecao dados e inovacao - febraec
Forum protecao dados e inovacao - febraec
 
O que muda no nosso cotidiano com a nova Lei Geral de Proteção de Dados?
O que muda no nosso cotidiano com a nova Lei Geral de Proteção de Dados?O que muda no nosso cotidiano com a nova Lei Geral de Proteção de Dados?
O que muda no nosso cotidiano com a nova Lei Geral de Proteção de Dados?
 
LGPD Apostila
LGPD ApostilaLGPD Apostila
LGPD Apostila
 
Lei de Proteção aos Dados (LGPD)
Lei de Proteção aos Dados (LGPD)Lei de Proteção aos Dados (LGPD)
Lei de Proteção aos Dados (LGPD)
 
Dicas LGPD Ometto Advocacia Setembro 2020
Dicas LGPD Ometto Advocacia Setembro 2020Dicas LGPD Ometto Advocacia Setembro 2020
Dicas LGPD Ometto Advocacia Setembro 2020
 
Privacidade de Dados no Relacionamento com Clientes - youDb
Privacidade de Dados no Relacionamento com Clientes - youDbPrivacidade de Dados no Relacionamento com Clientes - youDb
Privacidade de Dados no Relacionamento com Clientes - youDb
 
LGPD e Segurança da Informação
LGPD e Segurança da InformaçãoLGPD e Segurança da Informação
LGPD e Segurança da Informação
 
Painel OWASP Top 10 e LGPD
Painel OWASP Top 10 e LGPDPainel OWASP Top 10 e LGPD
Painel OWASP Top 10 e LGPD
 
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/ParaíbaLGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
 
Novo Regulamento Geral de Proteção de Dados - guia para marketeers
Novo Regulamento Geral de Proteção de Dados - guia para marketeersNovo Regulamento Geral de Proteção de Dados - guia para marketeers
Novo Regulamento Geral de Proteção de Dados - guia para marketeers
 
GDPR e o WHOIS depois de amanhã
GDPR e o WHOIS depois de amanhãGDPR e o WHOIS depois de amanhã
GDPR e o WHOIS depois de amanhã
 
201711 abordagem rgpd
201711 abordagem rgpd201711 abordagem rgpd
201711 abordagem rgpd
 
Infografia : o que vai mudar na RGPD (2018)
Infografia : o que vai mudar na RGPD (2018)Infografia : o que vai mudar na RGPD (2018)
Infografia : o que vai mudar na RGPD (2018)
 
Proteção de dados pessoais e o Marco Civil da Internet
Proteção de dados pessoais e o Marco Civil da InternetProteção de dados pessoais e o Marco Civil da Internet
Proteção de dados pessoais e o Marco Civil da Internet
 

Mais de Marketingcma

Ll oil gas_2018_br
Ll oil gas_2018_brLl oil gas_2018_br
Ll oil gas_2018_brMarketingcma
 
TST reforma só vale para ações novas
TST reforma só vale para ações novasTST reforma só vale para ações novas
TST reforma só vale para ações novasMarketingcma
 
Informativo Tributário - maio 2018
Informativo Tributário - maio 2018Informativo Tributário - maio 2018
Informativo Tributário - maio 2018Marketingcma
 
NewsletterPropriedade Intelectual e Proteção de Dados (Junho)
NewsletterPropriedade Intelectual e Proteção de Dados (Junho)NewsletterPropriedade Intelectual e Proteção de Dados (Junho)
NewsletterPropriedade Intelectual e Proteção de Dados (Junho)Marketingcma
 
Brazil fundraising
Brazil fundraisingBrazil fundraising
Brazil fundraisingMarketingcma
 
Artigos Tributário CMA - Junho 2018
Artigos Tributário CMA - Junho 2018Artigos Tributário CMA - Junho 2018
Artigos Tributário CMA - Junho 2018Marketingcma
 
Newsletter - Propriedade Intelectual e Proteção de Dados (Maio)
Newsletter - Propriedade Intelectual e Proteção de Dados (Maio)Newsletter - Propriedade Intelectual e Proteção de Dados (Maio)
Newsletter - Propriedade Intelectual e Proteção de Dados (Maio)Marketingcma
 
Informativo abril 2018
Informativo abril 2018Informativo abril 2018
Informativo abril 2018Marketingcma
 
The validity of arbitration clauses in franchise agreements in brazil
The validity of arbitration clauses in franchise agreements in brazilThe validity of arbitration clauses in franchise agreements in brazil
The validity of arbitration clauses in franchise agreements in brazilMarketingcma
 
Regulamentação Fintechs de Crédito
Regulamentação Fintechs de CréditoRegulamentação Fintechs de Crédito
Regulamentação Fintechs de CréditoMarketingcma
 
Informativo - Direito Bancário
Informativo - Direito BancárioInformativo - Direito Bancário
Informativo - Direito BancárioMarketingcma
 
Newsletter - Direito Bancário
Newsletter - Direito BancárioNewsletter - Direito Bancário
Newsletter - Direito BancárioMarketingcma
 
Informativo Tributário Mensal
Informativo Tributário Mensal Informativo Tributário Mensal
Informativo Tributário Mensal Marketingcma
 
Artigos CMA - A Tributação do Investidor Anjo
Artigos CMA - A Tributação do Investidor AnjoArtigos CMA - A Tributação do Investidor Anjo
Artigos CMA - A Tributação do Investidor AnjoMarketingcma
 
Informativo - Decisão de Diretoria n 76.2018 CETESB
Informativo - Decisão de Diretoria n 76.2018 CETESBInformativo - Decisão de Diretoria n 76.2018 CETESB
Informativo - Decisão de Diretoria n 76.2018 CETESBMarketingcma
 
Newsletter - Propriedade Intelectual e Proteção de Dados
Newsletter - Propriedade Intelectual e Proteção de Dados Newsletter - Propriedade Intelectual e Proteção de Dados
Newsletter - Propriedade Intelectual e Proteção de Dados Marketingcma
 

Mais de Marketingcma (20)

Julho
JulhoJulho
Julho
 
Ll oil gas_2018_br
Ll oil gas_2018_brLl oil gas_2018_br
Ll oil gas_2018_br
 
TST reforma só vale para ações novas
TST reforma só vale para ações novasTST reforma só vale para ações novas
TST reforma só vale para ações novas
 
Informativo Tributário - maio 2018
Informativo Tributário - maio 2018Informativo Tributário - maio 2018
Informativo Tributário - maio 2018
 
NewsletterPropriedade Intelectual e Proteção de Dados (Junho)
NewsletterPropriedade Intelectual e Proteção de Dados (Junho)NewsletterPropriedade Intelectual e Proteção de Dados (Junho)
NewsletterPropriedade Intelectual e Proteção de Dados (Junho)
 
Brazil investing
Brazil investingBrazil investing
Brazil investing
 
Brazil fundraising
Brazil fundraisingBrazil fundraising
Brazil fundraising
 
Artigos Tributário CMA - Junho 2018
Artigos Tributário CMA - Junho 2018Artigos Tributário CMA - Junho 2018
Artigos Tributário CMA - Junho 2018
 
Newsletter - Propriedade Intelectual e Proteção de Dados (Maio)
Newsletter - Propriedade Intelectual e Proteção de Dados (Maio)Newsletter - Propriedade Intelectual e Proteção de Dados (Maio)
Newsletter - Propriedade Intelectual e Proteção de Dados (Maio)
 
Informativo abril 2018
Informativo abril 2018Informativo abril 2018
Informativo abril 2018
 
The validity of arbitration clauses in franchise agreements in brazil
The validity of arbitration clauses in franchise agreements in brazilThe validity of arbitration clauses in franchise agreements in brazil
The validity of arbitration clauses in franchise agreements in brazil
 
Regulamentação Fintechs de Crédito
Regulamentação Fintechs de CréditoRegulamentação Fintechs de Crédito
Regulamentação Fintechs de Crédito
 
Boletim
BoletimBoletim
Boletim
 
Informativo - Direito Bancário
Informativo - Direito BancárioInformativo - Direito Bancário
Informativo - Direito Bancário
 
Newsletter - Direito Bancário
Newsletter - Direito BancárioNewsletter - Direito Bancário
Newsletter - Direito Bancário
 
Artigo co-working
Artigo co-workingArtigo co-working
Artigo co-working
 
Informativo Tributário Mensal
Informativo Tributário Mensal Informativo Tributário Mensal
Informativo Tributário Mensal
 
Artigos CMA - A Tributação do Investidor Anjo
Artigos CMA - A Tributação do Investidor AnjoArtigos CMA - A Tributação do Investidor Anjo
Artigos CMA - A Tributação do Investidor Anjo
 
Informativo - Decisão de Diretoria n 76.2018 CETESB
Informativo - Decisão de Diretoria n 76.2018 CETESBInformativo - Decisão de Diretoria n 76.2018 CETESB
Informativo - Decisão de Diretoria n 76.2018 CETESB
 
Newsletter - Propriedade Intelectual e Proteção de Dados
Newsletter - Propriedade Intelectual e Proteção de Dados Newsletter - Propriedade Intelectual e Proteção de Dados
Newsletter - Propriedade Intelectual e Proteção de Dados
 

PROTEÇÃO DE DADOS EUROPEIA E BRASILEIRA

  • 1. AUTORES DO ARTIGO: Paula Mena Barreto Sócia/Partner T: +55 21 3262-3028 E: paula.menabarreto@cmalaw.com Manoela Esteves Associada T: +55 21 3262 3042 E: manoela.esteves@cmalaw.com CONSIDERAÇÕES SOBRE A NOVA LEI EUROPEIA DE PROTEÇÃO DE DADOS E SEUS IMPACTOS NO BRASIL No próximo dia 25 de maio, entrará em vigor o Regulamento Geral de Proteção de Dados, também conhecido como “GDPR” (General Data Protection Regulation). Com o início da sua vigência, o processamento de dados pessoais de pessoas naturais passa a ser motivo de atenção e adaptação mundo afora. Neste sentido, o objetivo do presente trabalho é fornecer, de forma prática e objetiva, uma visão geral das novas regras trazidas pelo GDPR, em atenção às regras atualmente existentes na legislação brasileira, e as suas implicações para o Brasil. ARTIGO PROTEÇÃO DE DADOS
  • 2. 2 TERRITORIALIDADE DO GDPR Para que seja passível de sua aplicação, basta que o processamento de dados pessoais se dê em estabelecimento situado no território europeu. Todavia, o GDPR será igualmente aplicado a agentes localizados fora da Europa sempre que (i) ocorrer a oferta de bens e serviços na União Europeia, ou (ii) no caso de monitoramento de comportamento de titulares de dados europeus. Daí a necessidade de atenção das empresas brasileiras sobre a possibilidade de aplicação ou não deste regulamento em suas atividades. Ainda há, no entanto, muitas questões pendentes no que diz respeito ao alcance do GDPR, inclusive quanto à oferta de serviços e produtos para pessoas jurídicas e não para indivíduos. Independente disso, já é possível verificar que muitas empresas brasileiras se enquadram neste regulamento. Em outros casos, seria preciso um exame mais detalhado de suas atividades para determinar a aplicação da legislação europeia ou evitá-la com uma eventual blindagem técnica, jurídica e de marketing. (i) Oferta de Serviços: As empresas que diretamente direcionam seus serviços para cidadãos europeus estarão sujeitas ao GDPR. Há, contudo, dúvidas sobre como caracterizar este direcionamento. Por exemplo, o mero acesso a um website brasileiro por um cidadão europeu, sem que tenha existido o direcionamento dos serviços a esse estrangeiro, não deveria sujeitar a empresa ao GDPR. A questão de venda na moeda ou em língua pertencente à União Europeia também será relevante para a análise da aplicação do GDPR. Assim, hotéis, empresas de turismo, seguradoras, hospitais, empresas de marketplace (vendas online), empresas de cartões de fidelidade ou quaisquer outras empresas que direcionam seus serviços à União Europeia podem estar enquadrados na obrigatoriedade de cumprimento de seu regulamento, sempre dependendo de uma análise concreta do caso. (ii) Monitoramento de dados: As empresas que monitoram o comportamento de titulares de dados na Comunidade Europeia também devem estar sujeitas ao GDPR, como, por exemplo, no caso de empresas que realizam uma política de rastreamento de cookies e outros aplicativos que monitoram a navegação dos cidadãos na internet. No entanto, o uso de cookies que não utilizam, rastreiam ou coletam dados pessoais não deve estar, a princípio, sujeito ao GDPR. De toda forma, ainda não está claro o quão detalhado o monitoramento precisa ser efetuado para sujeitar a empresa ao GDPR. Feitas estas considerações, é importante discorrer brevemente sobre a regulação atualmente existente no Brasil para que possamos efetuar um breve comparado de cada legislação. LEGISLAÇÃO BRASILEIRA O Brasil não possui uma legislação específica sobre proteção de dados, sendo que a maioria das disposições envolvendo este tema está regulada pelos princípios gerais e disposições previstas na Constituição Federal, no Código Civil e no Código do Consumidor. Além disso, o Marco Civil da Internet (Lei Federal nº 12.965/2014) e seu Decreto (Decreto nº 8.771/2016) estabelecem princípios gerais para uso da internet, inclusive no que concerne a coleta, armazenamento, guarda e tratamento de registros de dados pessoais online. Nota-se que o princípio basilar das disposições esparsas sobre esse tema está na necessidade de consentimento do titular dos dados pessoas para seu tratamento.
  • 3. 3 Em meio a esse avanço legislativo internacional, a pressão por uma lei específica sobre proteção de dados vem aumentando a cada dia, principalmente em virtude de escândalos atuais envolvendo vazamento de dados, como o caso do Facebook e Cambridge Analytics e a crescente conscientização da população acerca da necessidade de uma tutela de sua privacidade em meio digital. Diferentes projetos de lei vêm sendo discutidos no Congresso Nacional, em uma tentativa de unificar os preceitos já existentes na legislação pátria, os tornando mais modernos e harmônicos com os entendimentos já firmados em legislações estrangeiras, criando um arcabouço jurídico mais completo para atender as novas demandas trazidas pelos avanços tecnológicos. A seguir, serão elencadas as questões principais do GDPR e uma breve comparação com a legislação brasileira existente sobre o tema, conforme aplicável. DADOS PESSOAIS E DADOS SENSÍVEIS O GDPR define “dados pessoais” como qualquer informação relacionada a uma pessoa natural identificada ou identificável, abarcando, assim, diversos tipos de dados, tais como dados de localização, identificadores eletrônicos, elementos específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social de uma pessoa singular. No Brasil, a definição de “dados pessoais” encontra-se em consonância com o GDPR, sendo definido no Decreto que regulamenta o Marco Civil da Internet como “dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa”. Particular atenção também foi dada aos dados sensíveis pelo GDPR, como dados relacionados à sua origem racial ou étnica, suas as opiniões políticas, convicções religiosas ou filosóficas, filiações sindicais, relativos à sua vida ou orientação sexual, ou seus dados genéticos, relativos à saúde ou biométricos, desde que de identificação inequívoca. Para essas informações, o processamento é expressamente vedado, salvo quando verificado casos excepcionais previstos nas leis, como através da coleta do consentimento explícito do indivíduo, bem como se o tratamento dessas informações for necessário para o cumprimento de obrigações e exercício de direitos de legislação trabalhista, de segurança e proteção social, ou, ainda, para garantir a proteção de interesses vitais do sujeito ou de outro indivíduo, quando esse estiver incapacitado de fornecer seu consentimento. No Brasil, há uma menção expressa sobre a proibição de anotação de dados sensíveis pelos bancos de dados, conforme a Lei do Crédito (Lei Federal nº 12.414/2011), que considera informações sensíveis aquelas pertinentes à origem social e étnica, à saúde, à informação genética, à orientação sexual e às convicções políticas, religiosas e filosóficas. No entanto, ainda não há uma disposição específica sobre a proteção dos dados sensíveis de cada indivíduo.
  • 4. 4 CONTROLADOR E PROCESSADOR O GDPR atenta-se em estabelecer importantes conceitos aplicáveis ao tema, tais como os da figura do “controlador”, encarregado de determinar as finalidades e os meios para o tratamento dos dados. Importante ressaltar a possibilidade de cumulação deste cargo entre dois ou mais responsáveis (“joint controllers”), desde que as obrigações de cada um sejam determinadas especificadamente por contrato, ficando ambos aptos a responder quando do exercício de qualquer direito de um indivíduo. Já o “processador” é a figura contratada pelo controlador para exercer a atividade do tratamento, a partir da apresentação de garantias suficientes para sua execução, e desde que regulado por um contrato ou ato normativo que vincule as partes, estabelecendo suas obrigações e direitos, o objeto, a duração, a natureza e finalidade do tratamento, assim como os tipos de dados pessoais e as categorias dos titulares dos dados envolvidos. Estes conceitos de “processador” e “controlador” ainda não estão definidos na legislação brasileira. Contudo, o Decreto do Marco Civil da Internet buscou definir tratamento de dados pessoais como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”. PRINCÍPIOS DO GDPR O GDPR busca, através de um arcabouço legal robusto, tutelar a preservação da privacidade e da garantia da proteção às pessoas naturais em relação ao processamento de suas informações como um direito fundamental. Dentre os princípios trazidos, é estabelecida a obrigação de oferecer um tratamento de dados lícito, justo e transparente (“princípio da licitude, lealdade e transparência”), coletados para finalidades determinadas, explícitas e legítimas (“purpose limitation”), que sejam adequados, pertinentes e limitados ao necessário à finalidade a que se destinam (“data minimization”) e armazenados apenas durante o período necessário (“storage limitation”). No Brasil, estes princípios não são claramente definidos, mas é possível notar que o Marco Civil da Internet determina que os dados pessoais somente poderão ser utilizados para finalidades que justifiquem sua coleta, que não sejam vedadas pela legislação e que estejam especificadas nos respectivos contratos. Além disso, o Código de Defesa do Consumidor dispõe que o consumidor, sempre que encontrar inexatidão nos seus dados e cadastros, poderá exigir sua imediata correção. O GDPR, por sua vez, inova ao trazer direitos pioneiros, tal como a portabilidade dos dados pessoais, através do qual é possível requer a migração de dados de um controlador ao outro, por meio de formato estruturado, de uso corrente e de leitura automática. Igualmente é garantido ao indivíduo o direito de oposição ao tratamento de seus dados e de decisões individualizadas automatizadas. Assim, o titular dos dados poderá, a qualquer tempo, exercer o direito de se opor, inclusive para fins de profiling e marketing direto. Nesse mesmo sentido, em relação ao processamento automatizado para avaliação de preferências, interesses e previsão comportamental de uma pessoa (“tomada de decisão individual automatizada” e profiling), o GDPR proíbe o seu uso quando produzir efeitos jurídicos ou afetar significamente o indivíduo, tal como no evento de uma recusa automática de um pedido de crédito por via eletrônica ou de práticas de recrutamento eletrônico sem qualquer intervenção humana.
  • 5. 5 Destacados também se encontram o direito a requerer a retificação dos dados pessoais e a possibilidade de ser requerida a exclusão definitiva das informações – o chamado direito ao esquecimento. Tal garantia deve ser observada sem demora pelo controlador, quando da observância de cenários indicados pelo GDPR. É o que ocorre, por exemplo, na hipótese dos dados pessoais não serem mais necessários em relação ao propósito pelo qual haviam sido coletados, pela revogação do consentimento do seu titular ou, ainda, no caso de objeção ao processamento, conforme também garantido pela lei. No Brasil, ao usuário é concedido o direito de exclusão definitiva dos dados pessoais, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas no Marco Civil da Internet. Ocorre que o direito de esquecimento não é expressamente regulado por lei, sendo reconhecido doutrinariamente, a partir de interpretação do Código Civil, como um dos direitos de personalidade do indivíduo. Na jurisprudência, sua aplicação ocorreu pela primeira vez em 2013 pelo Superior Tribunal de Justiça e, desde então, diversos casos esparsos já foram decididos na justiça sobre o tema, tanto a favor como contra a sua aplicação. De todo modo, ainda que sem a sua clara determinação em lei, o Brasil é o segundo país com mais demanda ao Google por remoção de conteúdo da Internet, superando países mais populosos e com maiores índices de conectividade. BASE LEGAL PARA COLETA DE DADOS PESSOAIS Importante atentar sobre o desenvolvido aspecto da licitude para o processamento de dados. O GDPR avança novamente ao prever diversos fundamentos legais que embasam o tratamento de dados pessoais (o chamado “legal basis”). Diferentemente da legislação brasileira, a qual pauta-se majoritariamente no fornecimento do consentimento do indivíduo para a coleta e tratamento de suas informações, o GDPR também prevê outras possibilidades, tal como o processamento se pautar pela própria necessidade em virtude da execução de um contrato da qual se faça parte. O tratamento de dados pessoais também será considerado lícito quando necessário para o cumprimento de uma obrigação jurídica do controlador ou em virtude de interesses legítimos por esse ou terceiros (“legitimate interest”), desde que não violem interesses ou direitos fundamentais no individuo (como no caso de menores). Na hipótese de fundamentar o processamento pelo legítimo interesse, devem ser levadas em consideração as expectativas razoáveis do titular dos dados pessoais no momento da coleta de suas informações e sua relação com o controlador. Nesse sentido, o processamento de dados para fins de marketing poderia ser considerado como um legítimo interesse do controlador caso esse exerça atividades de comércio, por exemplo, e, para fins de compliance, seria recomendável a oferta do mecanismo de opt-out para salvaguardar os direitos do indivíduo – tal como orientado no contexto brasileiro. Por fim, a lei também vislumbra a possibilidade de um tratamento legítimo em razão da defesa de interesses vitais do indivíduo ou de outrem, bem como se necessário para o exercício de funções de interesse público. Em que pese às determinações acima, em cenários no qual o tratamento caminhe para outras finalidades das quais os dados foram inicialmente coletados ou sem que tenha sido obtido o consentimento do titular (“further processing”), o controlador deverá verificar a compatibilidade deste novo escopo com a coleta inicial, analisando a ligação entre essas finalidades, o contexto para o novo uso, a natureza dos dados tratados, possíveis consequências para esse uso posterior e a possibilidade de aplicação de salvaguardas, tais como encriptação e pseudonimização.
  • 6. 6 CONSENTIMENTO Não obstante o acima exposto, o consentimento possui posição de destaque no GDPR, o qual determina aspectos fundamentais para sua coleta e garantia de validade. Segundo o Artigo 7º, é condição fundamental que o consentimento seja fornecido livremente e, caso tenha sido obtido em meio a outros assuntos, o consentimento deverá ser obtido através de uma declaração escrita, a partir de um pedido distinto dos demais, apresentado de modo inteligível, de fácil acesso e de linguagem clara e simples. Assim, a sua validade é condicionada à obtenção livre, específica, informada e inequívoca da vontade do titular dos dados pessoais, através de uma declaração ou uma clara ação de afirmação. Nesse sentido, o silêncio, o uso de caixas de coleta de consentimento já preenchida (“pre-ticked boxes”) ou a inatividade do usuário não são suficientes para caracterizar válido o consentimento. No Brasil, o Marco Civil da Internet assegura ao cidadão o direito de consentimento expresso sobre a coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais. Também inova o GDRP ao garantir a esse indivíduo o direito de revogar o consentimento fornecido a qualquer momento. Tal direito deve ser obrigatoriamente informado ao sujeito e a sua execução deverá ser realizada de forma igualmente simples quanto o meio de obtenção do consentimento. PSEUDONIMIZAÇÃO E ANONIMIZAÇÃO É possível também perceber que o conceito de pseudonimização atua um importante papel no GDPR e, em especial, em relação à análise de big data. Essa medida, entendida como o processamento de dados pessoais que não são mais passíveis de atribuição a um determinado indivíduo sem o uso de informações adicionais (desde que essas sejam mantidas em separado e sujeitas às medidas técnicas e organizacionais que assegurem a sua preservação), pode diminuir os riscos associados às obrigações previstas pelo GDPR, ao garantir um nível maior de segurança ao tratamento. Ainda, constitui uma interessante medida para atender aos princípios de “privacy by design” e “privacy by default”, que estabelecem, de uma forma geral, a integração de medidas técnicas de segurança para proteção dos dados e da implementação de salvaguardas por default para limitar o acesso aos dados a um número restrito de pessoas. Nesse mesmo viés, a utilização de técnicas como anonimização também se fazem relevantes, uma vez que, não sendo mais possível a associação de dados com um indivíduo específico (por exemplo, como no caso de análise de big data restrita a dados anonimizados), as normativas de privacidade não serão aplicáveis. No Brasil, tais conceitos não se encontram estabelecidos expressamente em nossa legislação. AUTORIDADE SUPERVISORA E DPO O GDPR prevê a figura da Autoridade Supervisora, uma autoridade pública independente, responsável pela fiscalização da aplicação e cumprimento do Regulamento. Além desse instituto, outro importante personagem designado pelo GDPR é o Oficial de Proteção de Dados (Data Protection Officer, ou “DPO”), encarregado a garantir a proteção dos dados pessoais de uma empresa ou de seu grupo econômico. Sua função será necessária sempre que o tratamento for efetuado por uma autoridade ou um organismo público, quando as atividades principais do controlador ou processador for o tratamento de dados que, devido à sua natureza, âmbito e/ou finalidade, exijam um controle regular e sistemático, e, por fim, quando as atividades principais do controlador ou processador consistam em operações de tratamento em grande escala de categorias especiais de dados ou dados pessoais relacionados com condenações penais e infrações. Esse Oficial deverá ser designado com base nas suas qualificações profissionais e, em especial, com base nos seus conhecimentos especializados em direito e know-how em proteção de dados, devendo exercer as suas funções com base em um contrato de prestação de serviços, devidamente comunicado à Autoridade Supervisora.
  • 7. 7 A figura da Autoridade Supervisora e do DPO não se encontram previstos na legislação brasileira atualmente. Essa lacuna estrutural deixada pela inexistência de um órgão centralizador e fiscalizador no Brasil, inclusive, segue como um dos principais pontos de atenção nos debates dos projetos de lei sobre proteção de dados. DPIA Outra importante inovação imposta pelo GDPR, também não prevista na legislação brasileira, é a condução de uma análise prévia de impacto (Data Protection Impact Assessment, ou “DPIA”), elaborada com a ajuda e monitoramento do DPO, nos cenários em que o processamento desejado seja passível de resultar alto risco aos direitos e garantias das pessoas naturais, tal como no caso da utilização de novas tecnologias. O GDPR prevê a publicação de uma lista específica que estabelece quais os tipos de processamento estarão sujeitos à condução do DPIA. Nesse ínterim, o GDPR já estabelece determinados cenários que demandam a realização do DPIA, quais sejam: (i) no caso de avaliação sistemática e completa por meio automatizado e que impliquem efeitos jurídicos ou impactos significativos no titular dos dados; (ii) tratamento em grande escala de categorias especiais de dados ou de dados relacionados com condenações penais e infrações; e (iii) controle sistemático de zonas públicas acessíveis em grande escala. Nesse contexto, relevante o acompanhamento das discussões e da implementação desta matéria para a consolidação dos entendimentos sobre a necessidade da condução do DPIA pelos controladores e processadores de informações pessoais. TRANSFERÊNCIA DE DADOS Em relação à transferência de dados pessoais para tratamento em outro país (denominados como “third countries”) ou para uma organização internacional, o GDPR prevê disposições para sua realização, em adição ao cumprimento das demais provisões estabelecidas pelo Regulamento, de modo a resguardar os níveis de proteção adequados já atingidos pela União Europeia. Nesse caso, decisões de adequação (“adequacy decisions”) já foram emitidas em relação a determinados países e organizações, atualmente classificados como aptos a receber dados pessoais e garantir sua proteção, sem a necessidade de ser requisitada posteriormente uma nova autorização específica pela Autoridade Supervisora competente para a transferência desejada. É o caso, por exemplo, da Suíça, Uruguai, Argentina, Israel, Nova Zelândia, entre outros países. Outras salvaguardas também são previstas para dispensar a necessidade da obtenção da autorização, tal como a adoção de regras vinculativas às empresas (“Binding Corporate Rules”) ou a adoção de cláusulas padrões de proteção de dados adotadas pela Comissão Europeia. Ademais, o GDPR prevê derrogações específicas aplicáveis na falta de decisões de adequação ou das salvaguardas mencionadas, como no caso da obtenção do consentimento explícito do titular dos dados para a transferência, mediante a sua ciência sobre os possíveis riscos, bem como na eventualidade da transferência ser necessária para a celebração ou execução de um contrato de interesse do titular, dentre outros.
  • 8. 8 SEGURANÇA E VAZAMENTO DE DADOS No decorrer de seu texto, verifica-se a relevância da temática da segurança destinada aos dados pessoais pelo GDPR, eis que de suma importância para a preservação da intimidade da pessoa natural. O regulamento prevê artigos relacionados ao uso de medidas técnicas e operacionais adequados, como a encriptação e pseudonimização, que visem assegurar um nível de segurança adequado ao tratamento de dados pessoais. A capacidade para assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes aos sistemas utilizados, bem como a adoção de um processo para avaliar regularmente a eficácia das medidas utilizadas são importantes medidas trazidas pela normativa. Nesta seara, quando da ocorrência de uma violação ou vazamento dos dados pessoais que resultem riscos aos seus titulares, determina o GDPR que seja notificada a Autoridade Supervisora em até 72 horas, e, quando resultar em alto risco aos direitos e liberdades dos indivíduos, a comunicação também deverá ser fornecida diretamente aos titulares dos dados pessoais. Já no Brasil, não há qualquer obrigação legal de notificação no caso de vazamento de dados pessoais, mas tão somente diretrizes a serem seguidas, sem força legal, conforme recomendações disponibilizadas pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (“Cert.br”), mantido pelo NIC.br, do Comitê Gestor da Internet. Com relação à segurança, o Decreto regulamentador do Marco Civil dispõe sobre a necessidade de se observar as seguintes diretrizes sobre padrões de segurança: controle estrito sobre o acesso aos dados; a previsão de mecanismos de autenticação de acesso aos registros; criação de inventário detalhado dos acessos aos registros de conexão e de acesso a aplicações; e uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes. MULTAS De acordo com o GDPR, a aplicação de multas administrativas pode advir como consequência ao não cumprimento das normas e dos princípios determinados do Regulamento. Conforme estabelecido no Artigo 83, a violação de determinadas disposições sujeita ao pagamento de multas de €10.000.000 a €20.000.00 ou de 2% a 4% do faturamento anual global da empresa, sendo aplicável o que for maior. Para aplicação dessa multa, o mesmo artigo prevê a necessidade de ponderação pelas Autoridades Supervisoras, que deverão se atentar a determinadas condições do caso específico, tal como a natureza e a gravidade da infração, a intenção ou negligência dos responsáveis, ou, ainda, as ações tomadas para cessar a infração, dentre outros. Paralelamente no Brasil, o Marco Civil da Internet prevê, sem prejuízo das sanções cíveis, criminais ou administrativas aplicáveis, sanções que variam, desde de advertência, multa de 10% do faturamento do grupo econômico no Brasil, até a suspensão ou proibição do exercício das atividades no Brasil, aplicáveis isolada ou cumulativamente. Tais sanções são também aplicáveis a empresas estrangeiras, respondendo sua filial, sucursal, escritório ou estabelecimento situado no território brasileiro solidariamente pelo pagamento da multa cabível. Com relação às multas, não está bem delineado como seria a aplicação de eventual sanção aplicada pelas autoridades competentes a uma empresa estrangeira, fora da União Europeia. De qualquer forma, o GDPR estabelece que o controlador ou o processador deve designar um representante na União Europeia, salvo se o processamento for ocasional, não incluir processamento, em uma larga escala, de categorias especiais de dados pessoais ou processamento de dados pessoais relacionado a ofensas criminais e caso seja improvável que se resulte em risco nos direitos e liberdades das pessoas naturais.
  • 9. 9 CONCLUSÃO Como visto nestas considerações iniciais sobre o novo regulamento europeu de proteção de dados pessoais, diversas inovações deverão ser incorporadas e adequadas ao tradicional modus operandi aplicado aos negócios. Em meio ao exponencial desenvolvimento de novas tecnologias e da crescente utilização de dados pessoais por diversos setores, o risco de exposição da intimidade dos indivíduos deve ser ao máximo minimizado, tanto como pela preservação deste direito fundamental quanto pela contensão de riscos pelas empresas. O Brasil, a vagarosos passos, ainda caminha para a promulgação de sua própria legislação aplicável ao tema, a partir do debate de diferentes projetos de lei na Câmara e no Senado. Assim, neste cenário globalizado e de constante troca de informações, é imprescindível estar atento aos novos paradigmas trazidos pela GDPR, o qual serão certamente tomados como base para o desenvolvimento e aperfeiçoamento deste campo do direito.
  • 10. 10 Rio de Janeiro Rua Lauro Müller, 116 – 25º andar Condomínio do Edifício Rio Sul Center Botafogo – Rio de Janeiro, RJ – Brasil 22.290-906 T +55 21 3262 3000 F +55 21 3262 3011 São Paulo Av. Pres. Juscelino Kubitschek, 360 – 10º andar Vila Nova Conceição – São Paulo, SP – Brasil 04543-000 T +55 11 3077 3500 F +55 11 3077 3501 Nova Iorque 1251 Avenue of the Americas – 27th floor (Suite 2873) New York, NY 10020-1104 - USA T +1 212 335 4541 Para saber mais sobre Campos Mello Advogados, visite nosso site www.cmalaw.com ou entre em contato a qualquer momento. PARA MAIS INFORMAÇÕES